Durante a última década, as ameaças cibernéticas têm sido, sem dúvida, a maior preocupação das empresas e dos consumidores. É por isso que privacidade ao usar a Internet é uma grande preocupação de 92% dos americanos. Em resposta, a Califórnia aprovou a California Consumer Privacy Act (CCPA) em 28 de junho de 2018, para dar aos consumidores mais controle sobre seus dados.
A lei foi promulgada em 1o de janeiro de 2020, e é aplicada pelo Ministério Público da Califórnia. E as empresas que coletam dados pessoais de residentes da Califórnia devem obedecê-la.
Neste artigo, você aprenderá tudo o que precisa saber sobre o CCPA e seu impacto em seus negócios.
A California Consumer Privacy Act (CCPA) é uma lei que dá aos residentes da Califórnia o direito de saber quais informações pessoais estão sendo coletadas sobre eles, o direito de ter essas informações apagadas e o direito de recusar sua venda.
A lei se aplica a qualquer empresa com fins lucrativos que conduza negócios na Califórnia e atenda a um ou mais dos seguintes critérios:
Existem quatro requisitos principais para as empresas:
Além disso, as empresas devem fornecer um link claro e conspícuo em sua página inicial intitulada "Não vender minhas informações pessoais" que leva os consumidores a uma página de opt-out.
Em comparação com o GDPR, o CCPA tem uma definição mais ampla de dados sensíveis. A GDPR concentra-se na proteção de dados específicos, enquanto que a Lei de Proteção de Dados da Califórnia está mais preocupada com o que constitui informação sensível.
Por exemplo, dados olfativos, histórico de navegação do site e registros de atividades do usuário estão todos incluídos. De acordo com AB 375, "informações pessoais" refere-se a:
A Procuradoria Geral da Califórnia aplica qualquer violação do CCPA e pode resultar em penalidades civis de até US$ 2.500 por violação ou US$ 7.500 por violação intencional.
O CCPA também dá aos consumidores o direito de arquivar um direito de ação particular se suas informações pessoais forem violadas devido à falha de uma empresa em implementar medidas de segurança razoáveis. Nesses casos, os consumidores podem recuperar danos de até $750 por consumidor por incidente ou danos reais, o que for maior.
Um "terceiro" é definido como uma pessoa ou entidade não sujeita ao CCPA. Isto inclui empresas que são isentas e quaisquer prestadores de serviços que processam informações pessoais em nome de uma empresa.
Terceiros também podem incluir corretores de dados, que são empresas que compram e vendem informações pessoais. Os despachantes de dados não estão sujeitos atualmente à CCPA, mas estarão em 2023.
A isenção mais notável é para empresas regidas por outras leis de privacidade, como a Gramm-Leach-Bliley Act (GLBA) ou a Health Insurance Portability and Accountability Act (HIPAA).
Outras isenções do CCPA incluem:
O CCPA também isenta empresas com menos de US$ 25 milhões em receita anual, empresas que não vendem informações pessoais e empresas que coletam apenas uma quantidade limitada de informações pessoais.
O CCPA oferece alguma margem de manobra para as empresas cumprirem a lei. No entanto, é importante observar que a lei se aplica a todas as empresas que coletam as informações pessoais dos residentes da Califórnia.
Não é raro que as pessoas se refiram ao CCPA como o GDPR da Califórnia. No entanto, isso não é verdade. Além de proteger os direitos à privacidade dos dados para os cidadãos da UE, o Regulamento Geral de Proteção de Dados tem várias diferenças em relação ao CCPA.
Primeiro, o CCPA se aplica apenas às informações pessoais, enquanto que GDPR se aplica a quaisquer dados. Isso inclui dados pessoais e não pessoais.
Em segundo lugar, dá aos consumidores o direito de saber quais informações pessoais estão sendo coletadas sobre eles, o direito de apagar suas informações pessoais e o direito de optar por não ter suas informações pessoais vendidas. A GDPR dá aos consumidores todos esses direitos mais o direito de acessar seus dados pessoais, o direito de mudar de ideia (opt-in) e o direito de receber uma cópia de seus dados em um formato portátil.
Em terceiro lugar, o CCPA se aplica somente às empresas que coletam ou vendem as informações pessoais dos residentes da Califórnia. A GDPR aplica-se a qualquer empresa que processe ou pretenda processar os dados dos cidadãos da UE, independentemente de onde a empresa esteja localizada.
Em quarto lugar, aplica-se a empresas com receita anual de US$ 25 milhões. A GDPR aplica-se a qualquer empresa que processe ou pretenda processar os dados dos cidadãos da UE, independentemente de do tamanho da empresa.
Os reguladores notificarão as empresas que violarem a lei, e terão 30 dias para resolver o problema. Se não for resolvido dentro desse prazo, a empresa será multada em até US$ 7.500 para cada registro.
Embora $7.500 possa parecer uma taxa acessível para grandes corporações, esse não é necessariamente o caso. Este número pode aumentar exponencialmente se você contabilizar o número de registros afetados por violação.
Além disso, a CCPA permite que os consumidores registrem um direito de ação particular se suas informações pessoais não criptografadas ou não retroativas estiverem sujeitas a acesso não autorizado e extração, roubo ou divulgação devido à violação da CCPA por parte da empresa.
Isto significa que os consumidores individuais podem processar as empresas por danos, que podem ser caros. Além disso, o procurador-geral tem o direito de mover uma ação civil contra empresas por violações da lei.
Portanto, não só existem penalidades financeiras para as empresas que violam o CCPA, mas também há riscos de reputação. Os consumidores estão se tornando cada vez mais conscientes de seus direitos de privacidade de dados e estão mais propensos a tomar medidas contra as empresas que os violam.
Além disso, a lei de privacidade da Califórnia determina que as empresas deem aos consumidores uma opção de exclusão do compartilhamento de dados usando um rodapé claramente visível em websites. O não cumprimento pode resultar em multas entre US$ 100 e US$ 750 por violação. Além disso, abre outro caminho para os consumidores entrarem com ações judiciais.
Além de sanções e processos judiciais, você também enfrentará outros custos relacionados a violações. Estes podem incluir notificar os consumidores sobre a violação, fornecer-lhes serviços de monitoramento de crédito e lidar com as consequências a partir de uma perspectiva de relações públicas.
Todos esses custos podem somar-se e ressaltam a importância do cumprimento do CCPA. Compreender a lei e tomar medidas para cumpri-la pode ajudar a proteger seu negócio de penalidades onerosas e danos à reputação.
Com tanto em jogo, as empresas devem entender o CCPA e tomar as medidas necessárias para garantir o cumprimento.
O cumprimento da CCPA não é um feito fácil, mas as empresas podem tomar algumas medidas para garantir o cumprimento da lei.
O primeiro passo é determinar se o CCPA se aplica ao seu negócio. Aplica-se a qualquer negócio com fins lucrativos que faça negócios na Califórnia e atenda a um ou mais dos seguintes critérios:
Se o CCPA se aplica ao seu negócio, então você precisa tomar medidas para garantir a conformidade.
A próxima etapa é identificar as informações pessoais coletadas e armazenadas. CCPA define informação pessoal como "informação que identifica, relaciona-se, descreve, é capaz de ser associada, ou poderia razoavelmente ser ligada, direta ou indiretamente, a um determinado consumidor ou domicílio."
Estes incluem nomes, endereços, endereços de e-mail, números de telefone, números da previdência social, números da carteira de habilitação e muito mais. Uma vez identificadas as informações pessoais que você coleta e armazena, você precisa tomar medidas para proteger essas informações.
O CCPA exige que as empresas tomem medidas de segurança razoáveis para proteger as informações pessoais dos consumidores contra acesso não autorizado, destruição, uso, modificação ou divulgação. Isso inclui criptografar informações pessoais e garantir que apenas funcionários autorizados tenham acesso a essas informações.
Você também deve auditar sua estrutura de privacidade e segurança da informação para garantir o cumprimento do CCPA. Isto inclui garantir que você tenha uma política de retenção de dados, compreender como as informações pessoais são coletadas e utilizadas e garantir que os consumidores possam exercer seus direitos sob a lei.
O CCPA dá aos consumidores o direito de saber quais informações pessoais estão sendo coletadas sobre eles, o direito de saber como essas informações estão sendo usadas, o direito de ter essas informações apagadas e o direito de optar por não compartilhar dados.
Você deve assegurar-se de que tem políticas e procedimentos para tratar desses direitos.
A conformidade com CCPA é um esforço de equipe. É importante envolver todas as equipes e departamentos no processo de conformidade do CCPA, desde o departamento de TI até o departamento de marketing.
Cada equipe terá diferentes responsabilidades relacionadas ao CCPA. Por exemplo, a equipe de marketing precisará garantir que não estejam coletando ou usando informações pessoais de uma forma que a CCPA proíba. A equipe de TI precisará garantir que as informações pessoais sejam devidamente protegidas.
Depois de envolver todas as equipes e departamentos, você deve desenvolver um plano de conformidade CCPA. Este plano deve incluir as medidas que você está tomando para cumprir, quem é responsável pelo cumprimento do CCPA, e como você irá monitorar o cumprimento.
É importante notar que o CCPA é uma lei fluida. Está em constante evolução, e novos regulamentos podem ser acrescentados a qualquer momento. Como tal, é importante rever regularmente seu plano de conformidade CCPA e garantir que ele esteja atualizado.
Ao se preparar para se tornar compatível com o CCPA, você pode esperar perturbações em todos os níveis da organização. Para garantir uma implantação bem sucedida do CCPA, é importante estabelecer uma força-tarefa designada.
Esta força-tarefa CCPA deve ser responsável pelo desenvolvimento e implementação do plano de conformidade CCPA. A força-tarefa também deve ser responsável por educar os funcionários sobre o CCPA e assegurar que todos os funcionários conheçam suas obrigações perante a lei.
Uma vez que você tenha desenvolvido um plano de conformidade CCPA, você deve implementar políticas e procedimentos de conformidade CCPA. Estas políticas e procedimentos devem ser projetados para ajudar sua empresa a cumprir a lei.
Algumas coisas que você pode querer incluir em suas políticas e procedimentos de conformidade CCPA incluem políticas de retenção de dados, processos de opt-out, e programas de treinamento.
Os regulamentos do CCPA se aplicam aos residentes da Califórnia. Entretanto, não faz sentido ter estruturas de segurança separadas se você também atende clientes de fora do estado ou planeja fazer isso. Portanto, você deve tratar cada cliente como se fosse um residente da Califórnia para garantir a conformidade com o CCPA.
Isto envolve assegurar que todas as informações pessoais sejam devidamente protegidas e que somente funcionários autorizados possam acessar estas informações. Inclui também garantir que os consumidores possam exercer seus direitos sob a CCPA, independentemente de sua residência.
Ao fazer isso, você isolará a empresa do incômodo de se ajustar às estruturas de segurança de outros estados à medida que elas são implementadas.
O cumprimento do CCPA não deve ser visto como um evento pontual. Ao invés disso, deve ser integrado à cultura de sua empresa. O cumprimento do CCPA deve ser um processo contínuo que é regularmente revisto e atualizado conforme necessário.
Uma maneira de fazer isso é tornar o cumprimento do CCPA parte do processo de embarque de seu funcionário. Isso ajudará a garantir que todos os novos funcionários conheçam e compreendam suas obrigações perante a lei.
Ao integrar a conformidade com a CCPA à cultura da sua empresa, você pode ajudar a garantir que a conformidade com a CCPA seja tratada como prioridade e que os funcionários estejam sempre cientes de suas obrigações nos termos da lei.
Assim como em outras atividades, os funcionários desempenharão um papel central na capacidade de sua empresa de atingir e manter a conformidade com o CCPA. Ela exige que as empresas tomem medidas razoáveis para garantir que os funcionários entendam o CCPA e como ele se aplica a suas funções.
Uma maneira de fazer isso é realizando treinamentos CCPA regulares para todos os funcionários. Este treinamento deve ser projetado para ajudar os funcionários a compreender o CCPA e como ele afeta seu dia-a-dia de trabalho.
Ao realizar treinamento regular do pessoal, você pode ajudar a garantir que os funcionários estejam sempre atualizados sobre o CCPA e que eles entendam suas obrigações perante a lei.
Finalmente, você precisa monitorar o cumprimento do CCPA. Isto inclui a auditoria regular de sua estrutura de privacidade e segurança da informação, assegurando que os consumidores possam exercer seus direitos sob CCPA, e monitorando mudanças.
Ao monitorar a conformidade CCPA, você pode ajudar a garantir que sua empresa permaneça em conformidade.
Em novembro de 2020, os californianos votaram para aprovar a Proposta 24, também conhecida como Lei de Direitos de Privacidade da Califórnia (CPRA). O CPRA altera o CCPA de várias maneiras fundamentais e entra em vigor em janeiro de 2023.
Uma das mudanças mais significativas é a criação de uma nova agência de fiscalização, California Privacy Protection Agency (CPPA). O CPPA terá autoridade para investigar reclamações, emitir multas e criar regulamentos.
Outra mudança fundamental é a expansão do direito de ação privada do CCPA. Sob o CCPA, somente consumidores cujas informações pessoais não criptografadas ou não retroativas estão sujeitas a acesso não autorizado, e extração, roubo ou divulgação como resultado de uma violação de uma empresa poderiam registrar um direito de ação particular.
CPRA expande esse direito privado de ação para incluir qualquer violação do CCPA, independentemente de haver um risco de danos. Essa mudança significa que mais consumidores poderão processar empresas por violações do CCPA, e os possíveis danos serão maiores.
Finalmente, o CPRA reforça as exigências de "opt-out" do CCPA. Sob CCPA, as empresas devem fornecer um link "Não vender minhas informações pessoais" em sua página inicial.
CPRA vai um passo além ao exigir que as empresas declarem explicitamente em suas políticas de privacidade se eles vendem informações pessoais dos consumidores e que tipo de informações pessoais eles vendem. Se uma empresa vende informações pessoais, ela também deve fornecer um botão de "opt-out" em cada página onde as informações pessoais são coletadas.
A CPRA também dá aos consumidores o direito de recusar a venda de suas informações pessoais confidenciais, como raça, etnia, religião e orientação sexual.
Com o aumento da preocupação com a privacidade dos dados, é de se esperar que surjam mais regulamentações e que as existentes sejam atualizadas. Como tal, você precisa ser mais cauteloso e deliberado com a forma como você lida com os dados do consumidor.
Compreensivelmente, a conformidade e a governança de dados podem ser intimidantes, especialmente com regulamentos emergentes e em evolução. Para começar, você precisará de uma capacidade de arquivamento que lhe permita encontrar rapidamente informações relevantes. Nesse aspecto, a Veritas pode ajudar.
Aproveitando o portfólio Veritas Digital Compliance, você ganhará maior visibilidade e controle de dados e regulamentos. Ele lhe dá a capacidade de capturar, arquivar e encontrar dados relevantes de mais de 110 fontes de conteúdo. Com isso, você otimizará a conformidade dos dados e abordará quaisquer lacunas em sua governança de dados.
A Lei de Privacidade do Consumidor da Califórnia é uma lei pioneira que dá aos consumidores mais controle sobre suas informações pessoais. O CCPA exige que as empresas tomem medidas para proteger informações pessoais e permite que os consumidores exerçam vários direitos, incluindo o direito de optar pela não venda de suas informações pessoais.
Mas agora, com o CPRA no horizonte, você também precisa começar a se preparar para o novo. O CPRA altera o CCPA de várias maneiras fundamentais e entra em vigor em janeiro de 2023.
Entre em contato conosco hoje para saber mais sobre como podemos ajudar a manter sua organização em conformidade.
Os clientes da Veritas incluem 95% das empresas da Fortune 100, e o NetBackup™ é a escolha nº 1 para empresas que procuram proteger grandes quantidades de dados.
Saiba como a Veritas mantém seus dados totalmente protegidos em cargas de trabalho virtuais, físicas, na nuvem e legadas com seus serviços de proteção de dados para empresas.