Como líder de negócios, seu foco principal deve ser atender às necessidades do consumidor excepcionalmente bem para mantê-los retornando. Tradicionalmente, isso envolvia oferecer produtos impecáveis e pelo preço certo.
Porém, é preciso oferecer muito mais para conquistar o consumidor moderno. Por exemplo, sua marca precisa de valores relacionáveis e a jornada do consumidor deve ser suave e desejável. E com os problemas recentes de segurança cibernética e violações de dados, os consumidores precisam saber que podem confiar em você com seus dados.
De acordo com o PEW Research Report, a preocupação com o uso de dados das empresas é generalizada entre os americanos, com 79% expressando ansiedade sobre o assunto. Como resultado, a maioria dos consumidores só está disposta a compartilhar seus dados com as marcas.
Para ajudar a proteger seus residentes, a Califórnia adotou uma abordagem progressiva e severa para a regulamentação de privacidade de dados. Na vanguarda desses esforços está a Lei de Privacidade do Consumidor da Califórnia (CCPA), aprovada em 2018 e que entrou em vigor em janeiro de 2020.
Mas, no futuro, as empresas voltadas para os residentes da Califórnia também terão que cumprir regulamentos mais rígidos. Isso estará sob a Lei de Direitos de Privacidade da Califórnia de 2020, uma extensão do CCPA.
Considerando o impacto e as possíveis ramificações, é importante entender o que o CPRA envolve e se preparar para isso. Neste artigo, você aprenderá tudo o que há para saber sobre CPRA.
Antes de entrar no que o CPRA implicará para sua empresa, é vital observar a natureza atual dos regulamentos de privacidade da Califórnia. Como o CPRA se baseia no CCPA, é importante entender o último primeiro.
Para começar, o CCPA foi uma resposta ao clamor público após violações de dados em larga escala. Dá aos residentes da Califórnia mais controle sobre suas informações pessoais:
A lei se aplica a qualquer empresa com fins lucrativos que faz negócios na Califórnia, independentemente de terem presença física lá. E se uma empresa não cumprir, pode ser multada em até US$ 7.500 por violação.
A CPRA é uma extensão da CCPA aprovada pelos eleitores californianos em 2020. A lei entrará em vigor em janeiro de 2023 e dará aos residentes da Califórnia maior controle sobre seus dados.
A CPRA se baseia nos regulamentos já existentes estabelecidos pela CCPA. Mas também inclui novas disposições destinadas a proteger ainda mais a privacidade do consumidor. Por exemplo, a CPRA irá:
Além disso, a CPRA também expandirá a definição de informações pessoais para incluir coisas como endereços IP, dados biométricos e dados de geolocalização.
Não, a CPRA não substitui a CCPA. Em vez disso, baseia-se nas regulamentações existentes para criar uma estrutura ainda mais forte para proteger a privacidade do consumidor. As empresas que estão em conformidade com a CCPA ainda precisarão cumprir a CPRA quando ela entrar em vigor em 2023.
Agora que você conhece os fundamentos da CPRA, dê uma olhada mais detalhada no que a lei implica.
Conforme mencionado, a CPRA se baseia nos regulamentos existentes estabelecidos pela CCPA. Mas também inclui novas disposições destinadas a melhorar a proteção da privacidade do consumidor.
A CPRA se aplica a qualquer empresa com fins lucrativos que faz negócios na Califórnia e coleta as informações pessoais dos residentes californianos, independentemente de terem presença física lá.
Além disso, sob a CPRA, menos empresas serão obrigadas a cumprir. No entanto, aqueles que são elegíveis precisarão fazer muito mais para alcançar a conformidade.
Assim que entrar em vigor:
Outra mudança importante que a CPRA traz é a expansão da definição de informações pessoais confidenciais. De acordo com a CPRA, as informações pessoais confidenciais incluirão o seguinte:
Esta é uma expansão significativa da CCPA, que incluía apenas números de previdência social e carteira de motorista.
A definição expandida de informações pessoais confidenciais significa que as empresas devem tomar cuidado extra para proteger esse tipo de dados. Eles também precisarão do consentimento explícito do consumidor antes de coletá-lo, usá-lo ou compartilhá-lo.
Juntamente com uma definição mais ampla de informações confidenciais, a CPRA também expande os direitos do consumidor. A CPRA dará aos residentes da Califórnia o direito de:
Estes são semelhantes aos direitos estabelecidos pela CCPA. Mas a CPRA vai um passo além, dando aos consumidores o direito de ditar como você usa seus dados.
Por exemplo, sob a CPRA, se um consumidor optar por não ter seus dados vendidos, você precisará parar de vendê-los. Portanto, ao contrário da CCPA, não se trata de notificar os clientes sobre como você está usando os dados deles, mas obter a aprovação deles primeiro.
Com as leis de privacidade atuais da Califórnia, as empresas devem incluir um link "Não venda minhas informações pessoais" na página inicial. Deve conduzir a uma página dedicada onde os consumidores possam exercer os seus direitos de exclusão.
Com a CPRA, você também terá que adicionar um segundo link chamado "Limitar o uso de minhas informações pessoais confidenciais". Ele deve ter um link para uma página dedicada onde eles podem ditar como você pode usar suas informações pessoais. Além disso, desde que a intenção do cliente seja clara, você pode deixá-lo expressá-la de outras maneiras.
A CPRA criará uma nova agência estadual, a California Privacy Protection Agency (CPPA), para fazer cumprir essas regras. A CPPA terá o poder de impor multas de até $ 7.500 para cada violação. E também pode mover ações civis contra empresas que violarem a lei.
Este é um grande passo, considerando que a CCPA deixou a fiscalização a cargo do procurador-geral do estado. A CPPA terá mais recursos e estará mais bem equipado para lidar com a fiscalização do que o escritório do procurador-geral.
A CCPA permite que os consumidores desativem sua capacidade de vender seus dados. A CPRA vai além ao dar aos indivíduos o direito de optar por não divulgar ou compartilhar suas informações com terceiros, independentemente de envolver ou não pagamento.
Na era do big data, o perfil de dados é um ativo inestimável para as empresas. Isso os ajuda a segmentar anúncios, personalizar conteúdo e melhorar a experiência do cliente.
No entanto, o CPRA colocará algumas restrições na tomada de decisão automatizada. As empresas ainda poderão fazê-lo, mas primeiro precisarão obter o consentimento explícito do consumidor. E eles precisarão explicar como o processo funciona de uma maneira fácil para os consumidores entenderem.
A CPRA também dará aos consumidores o direito de corrigir quaisquer dados imprecisos ou incompletos que as empresas tenham sobre eles. Isso contrasta fortemente com a CCPA, que permitia apenas que os consumidores solicitassem a exclusão de seus dados.
Agora, se um consumidor achar que algumas de suas informações sobre ele estão erradas, ele pode entrar em contato com você e pedir que você as corrija. Se você não atender ao pedido deles, eles podem registrar uma reclamação junto ao CPPA.
Conforme determinado pela CCPA, as empresas devem fornecer explicações detalhadas sobre os dados que coletam, como são usados e se são compartilhados com outras partes. Mas isso não é tudo. Para cada categoria de dados, você deve informar ao titular dos dados por quanto tempo você reterá os dados ou explicar os métodos para determinar por quanto tempo.
Além disso, o CPRA colocará algumas restrições sobre quanto tempo as empresas podem manter os dados do consumidor. As empresas só poderão reter os dados pelo tempo necessário para atingir a finalidade para a qual foram recolhidos.
Essa é uma das principais mudanças da CCPA, que permitiu às empresas manter os dados por até sete anos. A CPRA forçará as empresas a reavaliar suas práticas de retenção de dados e garantir que não retenham os dados por mais tempo do que o necessário.
Além das principais características do regulamento, a CPRA também fará algumas outras mudanças notáveis, incluindo:
A CPRA foi descrito como o "GDPR da Califórnia". E embora existam algumas semelhanças entre os dois regulamentos, também existem algumas diferenças importantes.
Primeiro, a CPRA tem um escopo muito mais restrito do que o GDPR. Aplica-se apenas a empresas que fazem negócios na Califórnia ou processam dados de residentes na Califórnia. O GDPR, por outro lado, aplica-se a qualquer empresa que processe dados de cidadãos da UE, independentemente de onde estejam localizados.
Em segundo lugar, a CPRA dá aos consumidores mais direitos do que o GDPR. Por exemplo, a CPRA dá aos consumidores o direito de optar por não divulgar ou compartilhar suas informações com terceiros, independentemente de envolver ou não pagamento. O GDPR permite apenas que os indivíduos optem por não usar dados pessoais para fins de marketing.
Finalmente, a CPRA é muito mais branda quando se trata de fiscalização. A multa máxima para uma violação da CPRA é de US$ 7500, enquanto o máximo para uma violação da GDPR é de 20 milhões de euros (cerca de US$ 24 milhões).
A CPRA é a lei de privacidade mais abrangente dos Estados Unidos. E outros estados provavelmente seguirão o exemplo da Califórnia e aprovarão leis semelhantes por conta própria. Isso significa que a conformidade com CPRA não é apenas uma boa ideia; é essencial para as empresas que desejam se manter à frente.
Se sua empresa coleta informações pessoais de residentes da Califórnia, você deve começar a se preparar para a CPRA agora. Assim, quando a lei entrar em vigor em 2023, você poderá cumpri-la facilmente.
Se a sua empresa está sujeita à CCPA, você já percorreu quase todo o caminho em relação à conformidade com a CPRA. Mas ainda há algumas etapas importantes que você precisa seguir.
Antes de alcançar a conformidade com a CPRA, você deve primeiro determinar onde está aquém. Realize uma avaliação de lacunas para identificar áreas em que suas práticas de privacidade não atendem aos padrões da CPRA.
Depois de saber o que precisa mudar, você pode atualizar sua política de privacidade. Certifique-se de que sua apólice seja clara e concisa e cubra todas as bases. Inclua informações sobre quais dados pessoais você coleta, por que os coleta, como os usa e por quanto tempo os retém.
Depois de atualizar sua política de privacidade, é hora de implementar alterações em suas práticas de tratamento de dados. Se a CPRA exigir que você altere a forma como coleta ou processa dados, certifique-se de que essas alterações sejam refletidas em seus sistemas e processos.
Seus funcionários são a chave para a conformidade com a CPRA. Eles devem estar atualizados sobre a lei e as práticas de privacidade de sua empresa. Certifique-se de que eles saibam o que podem e o que não podem fazer com os dados pessoais e entendam as cláusulas de exclusão da CPRA.
A CPRA define informações pessoais confidenciais de forma mais ampla do que a CCPA. As informações pessoais agora incluirão raça, etnia, orientação sexual e dados de saúde. Você precisa identificar todas as formas de coletar e usar esse tipo de informação. Em seguida, você pode determinar se esses usos são ou não compatíveis com a CPRA.
Um mapa de dados ajudará você a acompanhar todos os dados pessoais coletados, de onde vêm e para onde vão. Esta é uma ferramenta valiosa para a conformidade com a CPRA porque permite que você veja rapidamente se está ou não atendendo aos requisitos da CPRA.
De acordo com a CPRA, as empresas devem fornecer aos clientes certas divulgações antes que os dados pessoais sejam coletados. Isso inclui as informações de contato da sua empresa e uma descrição dos direitos do cliente de acordo com o CPRA.
Você também deve obter o consentimento explícito dos clientes antes de coletar informações pessoais confidenciais. Portanto, inclua os links obrigatórios para cancelamento e uso de informações pessoais.
Se você compartilhar dados pessoais com terceiros, deverá ter contratos que garantam a conformidade com a CPRA. Esses contratos devem estipular que o terceiro só usará os dados para a finalidade especificada no contrato e que protegerá os dados de acordo com os requisitos da CPRA.
Considerando as ramificações da não conformidade, será vital realizar análises de risco de privacidade regularmente. E a melhor maneira de fazer isso é com um software de gerenciamento de tags. Este software irá ajudá-lo a identificar e avaliar os riscos, para que você possa tomar medidas para mitigá-los.
Além disso, o software de gerenciamento de tags ajudará você a gerenciar consentimentos, rastrear desativações e gerar relatórios. Esses recursos serão inestimáveis enquanto você trabalha para alcançar a conformidade com a CPRA.
Existem várias armadilhas potenciais quando se trata de aplicação e litígio da CPRA. Para evitá-los, você deve estar familiarizado com a lei e seus direitos e obrigações.
Algumas das coisas que você deve saber incluem:
A minimização de dados é a prática de coletar e reter apenas os dados necessários para uma finalidade específica. Essa é uma boa estratégia de conformidade com CPRA porque reduz o risco de violação de dados e uso não autorizado de dados pessoais.
A segurança deve ser uma prioridade para qualquer empresa, mas é especialmente importante ao lidar com dados pessoais. A CPRA exige que as empresas tomem medidas de segurança razoáveis para proteger os dados pessoais contra acesso, destruição ou uso não autorizado.
Algumas das coisas que você pode fazer para melhorar sua segurança incluem:
A conformidade com a CPRA pode parecer muito trabalhosa, mas vale a pena. Existem muitos benefícios da conformidade com CPRA para empresas, incluindo:
Com a CPRA se aproximando, é vital que você aprimore suas políticas e procedimentos de conformidade e governança de dados. Ao fazer isso, lembre-se de que outras regulamentações de privacidade de dados podem surgir com o tempo. Portanto, não se trata apenas de cumprir a CPRA, mas de garantir que você adote práticas ideais de tratamento de dados.
Com isso em mente, é importante ter recursos de arquivamento de dados para ajudar a reter e acelerar a recuperação de informações relevantes. É aqui que uma solução como o portfólio Veritas Digital Compliance é útil.
O arquivamento de dados ajuda você a indexar, pesquisar e auditar dados enquanto garante a segurança e a privacidade das informações.
O portfólio também inclui o Data Insight , que usa aprendizado de máquina para identificar dados confidenciais em toda a rede de uma organização. Essa solução oferece visibilidade de como os dados estão sendo usados, compartilhados e acessados. Como resultado, você pode tomar medidas para reduzir os riscos e melhorar a conformidade.
A CPRA é uma lei complexa com muitos requisitos. E outros estados provavelmente seguirão o exemplo da Califórnia e aprovarão leis semelhantes por conta própria. Isso significa que a conformidade com CPRA não é apenas uma boa ideia; é essencial para as empresas que desejam se manter à frente.
Se sua empresa coleta informações pessoais de residentes da Califórnia, você deve começar a se preparar para a CPRA agora. Assim, quando a lei entrar em vigor em 2023, você poderá cumpri-la facilmente.
Realize uma avaliação de lacunas para identificar áreas em que suas práticas de privacidade não atendem aos padrões da CPRA e atualize sua política de privacidade para refletir a nova lei. A conformidade com a CPRA pode parecer muito trabalhosa, mas vale a pena.
Entre em contato conosco hoje para saber mais sobre como podemos ajudar a manter sua organização em conformidade.
Os clientes da Veritas incluem 95% das empresas da Fortune 100, e o NetBackup™ é a escolha nº 1 para empresas que procuram proteger grandes quantidades de dados.
Saiba como a Veritas mantém seus dados totalmente protegidos em cargas de trabalho virtuais, físicas, em nuvem e herdadas com o Data Protection Services for Enterprise Businesses.