Centro de informações

O que é CPRA e o que isso significa para o seu negócio?

Como líder de negócios, seu foco principal deve ser atender às necessidades do consumidor excepcionalmente bem para mantê-los retornando. Tradicionalmente, isso envolvia oferecer produtos impecáveis e pelo preço certo.

Porém, é preciso oferecer muito mais para conquistar o consumidor moderno. Por exemplo, sua marca precisa de valores relacionáveis e a jornada do consumidor deve ser suave e desejável. E com os problemas recentes de segurança cibernética e violações de dados, os consumidores precisam saber que podem confiar em você com seus dados.

De acordo com o PEW Research Report, a preocupação com o uso de dados das empresas é generalizada entre os americanos, com 79% expressando ansiedade sobre o assunto. Como resultado, a maioria dos consumidores só está disposta a compartilhar seus dados com as marcas.

Para ajudar a proteger seus residentes, a Califórnia adotou uma abordagem progressiva e severa para a regulamentação de privacidade de dados. Na vanguarda desses esforços está a Lei de Privacidade do Consumidor da Califórnia (CCPA), aprovada em 2018 e que entrou em vigor em janeiro de 2020.

Mas, no futuro, as empresas voltadas para os residentes da Califórnia também terão que cumprir regulamentos mais rígidos. Isso estará sob a Lei de Direitos de Privacidade da Califórnia de 2020, uma extensão do CCPA.

Considerando o impacto e as possíveis ramificações, é importante entender o que o CPRA envolve e se preparar para isso. Neste artigo, você aprenderá tudo o que há para saber sobre CPRA.

Uma recapitulação do CCPA

Antes de entrar no que o CPRA implicará para sua empresa, é vital observar a natureza atual dos regulamentos de privacidade da Califórnia. Como o CPRA se baseia no CCPA, é importante entender o último primeiro.

Para começar, o CCPA foi uma resposta ao clamor público após violações de dados em larga escala. Dá aos residentes da Califórnia mais controle sobre suas informações pessoais:

  • Dando-lhes o direito de saber quais informações estão sendo coletadas sobre eles
  • Permitir que eles solicitem a exclusão de seus dados
  • Pedir às empresas que obtenham consentimento explícito antes de vender seus dados
  • Proibir a discriminação contra indivíduos que exercem esses direitos

A lei se aplica a qualquer empresa com fins lucrativos que faz negócios na Califórnia, independentemente de terem presença física lá. E se uma empresa não cumprir, pode ser multada em até US$ 7.500 por violação.

O que é CPRA?

A CPRA é uma extensão da CCPA aprovada pelos eleitores californianos em 2020. A lei entrará em vigor em janeiro de 2023 e dará aos residentes da Califórnia maior controle sobre seus dados.

A CPRA se baseia nos regulamentos já existentes estabelecidos pela CCPA. Mas também inclui novas disposições destinadas a proteger ainda mais a privacidade do consumidor. Por exemplo, a CPRA irá:

  • Dar aos consumidores o direito de optar por não ter seus dados vendidos
  • Colocar limites mais rígidos sobre como as empresas podem usar informações pessoais confidenciais
  • Criar uma nova agência estadual, a California Privacy Protection Agency (CPPA), para aplicar essas regras

Além disso, a CPRA também expandirá a definição de informações pessoais para incluir coisas como endereços IP, dados biométricos e dados de geolocalização.

A CPRA substitui a CCPA?

Não, a CPRA não substitui a CCPA. Em vez disso, baseia-se nas regulamentações existentes para criar uma estrutura ainda mais forte para proteger a privacidade do consumidor. As empresas que estão em conformidade com a CCPA ainda precisarão cumprir a CPRA quando ela entrar em vigor em 2023.

O que significa CPRA?

Agora que você conhece os fundamentos da CPRA, dê uma olhada mais detalhada no que a lei implica.

Conforme mencionado, a CPRA se baseia nos regulamentos existentes estabelecidos pela CCPA. Mas também inclui novas disposições destinadas a melhorar a proteção da privacidade do consumidor.

1. Elegibilidade

A CPRA se aplica a qualquer empresa com fins lucrativos que faz negócios na Califórnia e coleta as informações pessoais dos residentes californianos, independentemente de terem presença física lá.

Além disso, sob a CPRA, menos empresas serão obrigadas a cumprir. No entanto, aqueles que são elegíveis precisarão fazer muito mais para alcançar a conformidade.

Assim que entrar em vigor:

  • Os dispositivos não serão mais incluídos no limite
  • O número de pessoas ou famílias necessárias aumentará para 100 mil

2.  Informações Pessoais Sensíveis

Outra mudança importante que a CPRA traz é a expansão da definição de informações pessoais confidenciais. De acordo com a CPRA, as informações pessoais confidenciais incluirão o seguinte:

  • Dados de geolocalização
  • dados biométricos;
  • Raça
  • Etnia
  • Opiniões políticas
  • Religião
  • Dados de saúde
  • Orientação sexual

Esta é uma expansão significativa da CCPA, que incluía apenas números de previdência social e carteira de motorista.

A definição expandida de informações pessoais confidenciais significa que as empresas devem tomar cuidado extra para proteger esse tipo de dados. Eles também precisarão do consentimento explícito do consumidor antes de coletá-lo, usá-lo ou compartilhá-lo.

3. Direitos do Consumidor

Juntamente com uma definição mais ampla de informações confidenciais, a CPRA também expande os direitos do consumidor. A CPRA dará aos residentes da Califórnia o direito de:

  • Dando-lhes o direito de saber quais informações estão sendo coletadas sobre eles
  • Solicitar exclusão de seus dados
  • Optar por não ter seus dados vendidos
  • Receber um serviço igual, independentemente de exercerem ou não seus direitos de privacidade

Estes são semelhantes aos direitos estabelecidos pela CCPA. Mas a CPRA vai um passo além, dando aos consumidores o direito de ditar como você usa seus dados.

Por exemplo, sob a CPRA, se um consumidor optar por não ter seus dados vendidos, você precisará parar de vendê-los. Portanto, ao contrário da CCPA, não se trata de notificar os clientes sobre como você está usando os dados deles, mas obter a aprovação deles primeiro.

4. Links para exibição

Com as leis de privacidade atuais da Califórnia, as empresas devem incluir um link "Não venda minhas informações pessoais" na página inicial. Deve conduzir a uma página dedicada onde os consumidores possam exercer os seus direitos de exclusão.

Com a CPRA, você também terá que adicionar um segundo link chamado "Limitar o uso de minhas informações pessoais confidenciais". Ele deve ter um link para uma página dedicada onde eles podem ditar como você pode usar suas informações pessoais. Além disso, desde que a intenção do cliente seja clara, você pode deixá-lo expressá-la de outras maneiras.

5. Execução

A CPRA criará uma nova agência estadual, a California Privacy Protection Agency (CPPA), para fazer cumprir essas regras. A CPPA terá o poder de impor multas de até $ 7.500 para cada violação. E também pode mover ações civis contra empresas que violarem a lei.

Este é um grande passo, considerando que a CCPA deixou a fiscalização a cargo do procurador-geral do estado. A CPPA terá mais recursos e estará mais bem equipado para lidar com a fiscalização do que o escritório do procurador-geral.

6. Restrições do consumidor

A CCPA permite que os consumidores desativem sua capacidade de vender seus dados. A CPRA vai além ao dar aos indivíduos o direito de optar por não divulgar ou compartilhar suas informações com terceiros, independentemente de envolver ou não pagamento.

7. Tomada de decisão automatizada

Na era do big data, o perfil de dados é um ativo inestimável para as empresas. Isso os ajuda a segmentar anúncios, personalizar conteúdo e melhorar a experiência do cliente.

No entanto, o CPRA colocará algumas restrições na tomada de decisão automatizada. As empresas ainda poderão fazê-lo, mas primeiro precisarão obter o consentimento explícito do consumidor. E eles precisarão explicar como o processo funciona de uma maneira fácil para os consumidores entenderem.

8. Correção de dados

A CPRA também dará aos consumidores o direito de corrigir quaisquer dados imprecisos ou incompletos que as empresas tenham sobre eles. Isso contrasta fortemente com a CCPA, que permitia apenas que os consumidores solicitassem a exclusão de seus dados.

Agora, se um consumidor achar que algumas de suas informações sobre ele estão erradas, ele pode entrar em contato com você e pedir que você as corrija. Se você não atender ao pedido deles, eles podem registrar uma reclamação junto ao CPPA.

9. Retenção de dados

Conforme determinado pela CCPA, as empresas devem fornecer explicações detalhadas sobre os dados que coletam, como são usados e se são compartilhados com outras partes. Mas isso não é tudo. Para cada categoria de dados, você deve informar ao titular dos dados por quanto tempo você reterá os dados ou explicar os métodos para determinar por quanto tempo.

Além disso, o CPRA colocará algumas restrições sobre quanto tempo as empresas podem manter os dados do consumidor. As empresas só poderão reter os dados pelo tempo necessário para atingir a finalidade para a qual foram recolhidos.

Essa é uma das principais mudanças da CCPA, que permitiu às empresas manter os dados por até sete anos. A CPRA forçará as empresas a reavaliar suas práticas de retenção de dados e garantir que não retenham os dados por mais tempo do que o necessário.

Outras mudanças notáveis sob CPRA

Além das principais características do regulamento, a CPRA também fará algumas outras mudanças notáveis, incluindo:

  • Se você souber que o titular dos dados tem 16 anos ou menos, a penalidade máxima por violação é triplicada. Você pode ser multado em até $ 7.500 por uma violação intencional e apenas $ 2.500 por uma violação não intencional.
  • A isenção temporária de dados business-to-business e de recursos humanos foi estendida até 1º de janeiro de 2023.
  • De acordo com a CCPA, os indivíduos podem entrar com ações civis por qualquer violação de dados envolvendo informações pessoais não criptografadas. A CPRA expande isso para qualquer violação em que os hackers acessem qualquer combinação de informações pessoais que lhes dê acesso a uma conta. Isso inclui senhas, nomes de usuário e perguntas de segurança.

Como a CPRA se compara ao GDPR

A CPRA foi descrito como o "GDPR da Califórnia". E embora existam algumas semelhanças entre os dois regulamentos, também existem algumas diferenças importantes.

Primeiro, a CPRA tem um escopo muito mais restrito do que o GDPR. Aplica-se apenas a empresas que fazem negócios na Califórnia ou processam dados de residentes na Califórnia. O GDPR, por outro lado, aplica-se a qualquer empresa que processe dados de cidadãos da UE, independentemente de onde estejam localizados.

Em segundo lugar, a CPRA dá aos consumidores mais direitos do que o GDPR. Por exemplo, a CPRA dá aos consumidores o direito de optar por não divulgar ou compartilhar suas informações com terceiros, independentemente de envolver ou não pagamento. O GDPR permite apenas que os indivíduos optem por não usar dados pessoais para fins de marketing.

Finalmente, a CPRA é muito mais branda quando se trata de fiscalização. A multa máxima para uma violação da CPRA é de US$ 7500, enquanto o máximo para uma violação da GDPR é de 20 milhões de euros (cerca de US$ 24 milhões).

O que a CPRA significa para as empresas?

A CPRA é a lei de privacidade mais abrangente dos Estados Unidos. E outros estados provavelmente seguirão o exemplo da Califórnia e aprovarão leis semelhantes por conta própria. Isso significa que a conformidade com CPRA não é apenas uma boa ideia; é essencial para as empresas que desejam se manter à frente.

Se sua empresa coleta informações pessoais de residentes da Califórnia, você deve começar a se preparar para a CPRA agora. Assim, quando a lei entrar em vigor em 2023, você poderá cumpri-la facilmente.

Atingindo a Conformidade com a CPRA

Se a sua empresa está sujeita à CCPA, você já percorreu quase todo o caminho em relação à conformidade com a CPRA. Mas ainda há algumas etapas importantes que você precisa seguir.

1. Realize uma avaliação de lacunas

Antes de alcançar a conformidade com a CPRA, você deve primeiro determinar onde está aquém. Realize uma avaliação de lacunas para identificar áreas em que suas práticas de privacidade não atendem aos padrões da CPRA.

2. Atualize sua política de privacidade

Depois de saber o que precisa mudar, você pode atualizar sua política de privacidade. Certifique-se de que sua apólice seja clara e concisa e cubra todas as bases. Inclua informações sobre quais dados pessoais você coleta, por que os coleta, como os usa e por quanto tempo os retém.

3. Implemente mudanças em suas práticas de manipulação de dados

Depois de atualizar sua política de privacidade, é hora de implementar alterações em suas práticas de tratamento de dados. Se a CPRA exigir que você altere a forma como coleta ou processa dados, certifique-se de que essas alterações sejam refletidas em seus sistemas e processos.

4. Treine seus funcionários

Seus funcionários são a chave para a conformidade com a CPRA. Eles devem estar atualizados sobre a lei e as práticas de privacidade de sua empresa. Certifique-se de que eles saibam o que podem e o que não podem fazer com os dados pessoais e entendam as cláusulas de exclusão da CPRA.

5. Identifique e avalie todos os usos de informações pessoais confidenciais

A CPRA define informações pessoais confidenciais de forma mais ampla do que a CCPA. As informações pessoais agora incluirão raça, etnia, orientação sexual e dados de saúde. Você precisa identificar todas as formas de coletar e usar esse tipo de informação. Em seguida, você pode determinar se esses usos são ou não compatíveis com a CPRA.

6. Crie um mapa de dados

Um mapa de dados ajudará você a acompanhar todos os dados pessoais coletados, de onde vêm e para onde vão. Esta é uma ferramenta valiosa para a conformidade com a CPRA porque permite que você veja rapidamente se está ou não atendendo aos requisitos da CPRA.

7. Dê aos clientes acesso ao consentimento obrigatório e divulgações

De acordo com a CPRA, as empresas devem fornecer aos clientes certas divulgações antes que os dados pessoais sejam coletados. Isso inclui as informações de contato da sua empresa e uma descrição dos direitos do cliente de acordo com o CPRA.

Você também deve obter o consentimento explícito dos clientes antes de coletar informações pessoais confidenciais. Portanto, inclua os links obrigatórios para cancelamento e uso de informações pessoais.

8. Atualizar contratos de clientes e fornecedores

Se você compartilhar dados pessoais com terceiros, deverá ter contratos que garantam a conformidade com a CPRA. Esses contratos devem estipular que o terceiro só usará os dados para a finalidade especificada no contrato e que protegerá os dados de acordo com os requisitos da CPRA.

9. Use o software de gerenciamento de tags para realizar análises de risco de privacidade

Considerando as ramificações da não conformidade, será vital realizar análises de risco de privacidade regularmente. E a melhor maneira de fazer isso é com um software de gerenciamento de tags. Este software irá ajudá-lo a identificar e avaliar os riscos, para que você possa tomar medidas para mitigá-los.

Além disso, o software de gerenciamento de tags ajudará você a gerenciar consentimentos, rastrear desativações e gerar relatórios. Esses recursos serão inestimáveis enquanto você trabalha para alcançar a conformidade com a CPRA.

10. Evite armadilhas de execução e litígios

Existem várias armadilhas potenciais quando se trata de aplicação e litígio da CPRA. Para evitá-los, você deve estar familiarizado com a lei e seus direitos e obrigações.

Algumas das coisas que você deve saber incluem:

  • Os tipos de penalidades que podem ser impostas por violações da CPRA
  • Os tipos de danos que podem ser concedidos em litígios da CPRA
  • Como funciona o direito privado de ação da CPRA
  • O estatuto de limitações para reivindicações CPRA

11. Adote a minimização de dados

A minimização de dados é a prática de coletar e reter apenas os dados necessários para uma finalidade específica. Essa é uma boa estratégia de conformidade com CPRA porque reduz o risco de violação de dados e uso não autorizado de dados pessoais.

12. Seja proativo em relação à segurança

A segurança deve ser uma prioridade para qualquer empresa, mas é especialmente importante ao lidar com dados pessoais. A CPRA exige que as empresas tomem medidas de segurança razoáveis para proteger os dados pessoais contra acesso, destruição ou uso não autorizado.

Algumas das coisas que você pode fazer para melhorar sua segurança incluem:

  • Implementação de fortes medidas de controle de acesso
  • Criptografia de dados pessoais em trânsito e em repouso
  • Realização de auditorias de segurança regulares
  • Mantendo seu software atualizado

Benefícios da conformidade com CPRA para empresas

A conformidade com a CPRA pode parecer muito trabalhosa, mas vale a pena. Existem muitos benefícios da conformidade com CPRA para empresas, incluindo:

  • Maior confiança do consumidor: os consumidores estão cada vez mais preocupados com sua privacidade e são mais propensos a fazer negócios com empresas que respeitam seus direitos. A conformidade com a CPRA mostrará aos consumidores que você está comprometido em proteger seus dados pessoais.
  • Segurança aprimorada: essa é uma boa estratégia de conformidade com CPRA porque reduz o risco de violação de dados e uso não autorizado de dados pessoais.
  • Maior eficiência: a conformidade com CPRA não precisa ser complicada ou demorada. Você pode automatizar muitas tarefas associadas à conformidade com CPRA usando o software de gerenciamento de tags.
  • Evite multas por descumprimento: a CPRA tem severas penalidades monetárias para empresas que infringirem a lei. Estes podem variar de $ 2.500 a $ 7.500 por consumidor por incidente. A conformidade com a CPRA ajudará você a evitar essas multas caras.
  • Proteção de litígio: CPRA fornece um direito privado de ação para consumidores prejudicados pela violação da lei por parte de uma empresa. Se você for processado por violações da CPRA, a conformidade será usada como defesa contra a responsabilidade.
  • Melhores práticas de negócios: a conformidade com CPRA forçará você a reavaliar suas práticas de coleta e armazenamento de dados . Como resultado, você pode descobrir maneiras mais eficientes e eficazes de fazer negócios.

Como Veritas pode ajudar

Com a CPRA se aproximando, é vital que você aprimore suas políticas e procedimentos de conformidade e governança de dados. Ao fazer isso, lembre-se de que outras regulamentações de privacidade de dados podem surgir com o tempo. Portanto, não se trata apenas de cumprir a CPRA, mas de garantir que você adote práticas ideais de tratamento de dados.

Com isso em mente, é importante ter recursos de arquivamento de dados para ajudar a reter e acelerar a recuperação de informações relevantes. É aqui que uma solução como o portfólio Veritas Digital Compliance é útil.

O arquivamento de dados ajuda você a indexar, pesquisar e auditar dados enquanto garante a segurança e a privacidade das informações.

O portfólio também inclui o Data Insight , que usa aprendizado de máquina para identificar dados confidenciais em toda a rede de uma organização. Essa solução oferece visibilidade de como os dados estão sendo usados, compartilhados e acessados. Como resultado, você pode tomar medidas para reduzir os riscos e melhorar a conformidade.

Conclusão

A CPRA é uma lei complexa com muitos requisitos. E outros estados provavelmente seguirão o exemplo da Califórnia e aprovarão leis semelhantes por conta própria. Isso significa que a conformidade com CPRA não é apenas uma boa ideia; é essencial para as empresas que desejam se manter à frente.

Se sua empresa coleta informações pessoais de residentes da Califórnia, você deve começar a se preparar para a CPRA agora. Assim, quando a lei entrar em vigor em 2023, você poderá cumpri-la facilmente.

Realize uma avaliação de lacunas para identificar áreas em que suas práticas de privacidade não atendem aos padrões da CPRA e atualize sua política de privacidade para refletir a nova lei. A conformidade com a CPRA pode parecer muito trabalhosa, mas vale a pena.

Entre em contato conosco hoje para saber mais sobre como podemos ajudar a manter sua organização em conformidade.

 

Os clientes da Veritas incluem 95% das empresas da Fortune 100, e o NetBackup™ é a escolha nº 1 para empresas que procuram proteger grandes quantidades de dados.

 

Saiba como a Veritas mantém seus dados totalmente protegidos em cargas de trabalho virtuais, físicas, em nuvem e herdadas com o Data Protection Services for Enterprise Businesses.