O que é a Lei de Privacidade do Consumidor da Califórnia (CCPA)?

No mundo digital, os profissionais de marketing consideram os dados do consumidor como o novo ouro, reconhecendo o imenso valor potencial deles. No entanto, apesar dos interesses corporativos em usar esses dados, um movimento crescente insiste que os consumidores que estão sendo estudados por meio desses dados devem ter voz na forma como as informações que geraram são ou não usadas.

Na Califórnia, os objetivos desse movimento foram transformados em lei, por meio da aprovação da CCPA. Ela representa um golpe contundente para os direitos do consumidor e a cibersegurança por fornecer ao Estado da Califórnia um framework capaz para fazer cumprir as leis e regulamentos de privacidade de dados. Ele oferece aos residentes da Califórnia um caminho para o direito privado de ação, a fim de buscar recursos legais contra violações de dados.

As diretrizes da CCPA foram criadas para oferecer aos consumidores da Califórnia um conjunto de direitos relacionados expressamente à privacidade dos dados pessoais e lhes garante proteções de segurança razoáveis. Esses direitos englobam a capacidade dos residentes da Califórnia de fazerem solicitações relacionadas aos seus dados como consumidores. Essas solicitações podem incluir ações como:

• Impedir a venda de suas informações pessoais a empresas terceiras (ou seja, o Direito de Impedir a Revenda) ao emitir a chamada diretiva "Não venda minhas informações pessoais"
   

• Solicite dados sobre quaisquer informações pessoais que tenham sido coletadas (o Direito de Acesso)
   

• Solicitar que todos os dados coletados sobre esse consumidor sejam excluídos (o Direito de Ser Esquecido)

A California Privacy Protection Agency garante que os residentes da Califórnia também tenham proteções e sejam devidamente notificados sobre as alterações de dados que os afetam. Ele também impõe regras antidiscriminatórias que impedem as pessoas obrigadas de serem subjugadas nem penalizadas de outra forma porque escolheram exercer esses direitos.

Apesar de a maioria dos consumidores ter uma noção geral do que se entende por "dados pessoais", essa expressão pode ter diferentes significados para diferentes pessoas, e até abranger muito mais do que se imaginava inicialmente.

No contexto da CCPA, dados pessoais são definidos como "informações que podem identificar, relacionar-se, descrever, ser razoavelmente associadas ou vinculadas, direta ou indiretamente, a um consumidor ou domicílio específico."¹

As diretrizes da CCPA abrangem os seguintes exemplos específicos de dados pessoais:

• Nome

• Endereço

• Número de telefone

• Endereço de e-mail

• Endereço de IP

• Data de nascimento

• Número da Segurança Social

• Número da carteira de motorista

• Número do passaporte

• Informações da conta bancária

• Números de cartões de crédito/débito

• Dados e credenciais educacionais

Os profissionais de marketing descobrem que os dados pessoais se tornam ainda mais valiosos quando cada tipo de informação é combinado por meio de análise de dados. Eles podem usá-lo para criar visões compostas de consumidores específicos ou grupos de consumidores. Eles também podem fazer inferências mais amplas sobre tendências de marketing de consumo, por exemplo. Algumas das outras formas de IP coletadas rotineiramente podem ser igualmente reveladoras, incluindo:

• Preferências de compra do consumidor

• Históricos de navegação pessoal

• Atitudes pessoais articuladas

• Comportamentos pessoais específicos

Outra área de preocupação envolve cookies e como eles são usados pelos sites como identificadores únicos. Isso inclui cookies primários, que são projetados para serem excluídos automaticamente assim que sua finalidade comercial é concluída. E existem cookies de terceiros que não são excluídos automaticamente. Os cookies de terceiros têm a funcionalidade de coletar vários tipos de dados pessoais, incluindo informações pessoais confidenciais.

Por causa do potencial de uso indevido de cookies de terceiros por sites, a CCPA considera os dados coletados em um site por meio do uso de cookies como IP e, portanto, dignos de proteção.

A maioria das organizações afetadas aborda a conformidade com a CCPA não como uma etapa única, mas como um processo. A primeira parte deste processo geralmente envolve uma mudança de mentalidade em relação ao consumidor e a compreensão de que suas necessidades de privacidade são importantes e implicam direitos aplicáveis.

Manter a conformidade com a CCPA envolve defender os vários consumidores da Califórnia, fornecendo-lhes opções sobre como seus dados pessoais são administrados (incluindo opções de adesão). E também implica se atualizar sobre quaisquer mudanças evolutivas na CCPA para acompanhar o ritmo de novas tecnologias (como biometria) e revisões nas políticas da CCPA.

Estar em conformidade com a CCPA requer a realização de diversas etapas, as quais podem levar de seis meses até um ano para serem completamente implementadas. No entanto, cada uma delas desempenha um papel vital no alcance da conformidade com a CCPA. (Como determinados requisitos de conformidade podem ser realizados simultaneamente, usamos marcadores para etapas em vez de números.)

O primeiro passo é ter uma ideia precisa de quais dados do consumidor foram coletados, bem como catalogar seus vários locais. Isso se aplicaria tanto aos dados de consumidores "externos", coletados de consumidores externos à empresa, quanto aos dados de consumidores coletados "internamente", de funcionários da empresa e candidatos a emprego.

É fundamental manter um armazenamento seguro de todos os dados pessoais coletados, quer seja dos consumidores ou dos candidatos a emprego. Há também disposições adicionais relacionadas à proteção das informações coletadas de menores.

Deve ser emitida uma declaração de "aviso de coleta" para todos os consumidores (e até mesmo para os funcionários da empresa e candidatos a emprego). É importante ressaltar que este aviso de privacidade deve ser comunicado antes ou no momento em que as atividades de coleta de dados começam, e não depois de já terem começado.

A maioria das organizações agora mantém uma política de privacidade de dados detalhada para sua empresa e a publica em seu site.

Também é importante estabelecer um meio eficaz e oportuno de lidar com quaisquer solicitações relacionadas às informações do consumidor.

As regras de minimização de dados devem ser desenvolvidas e implementadas para garantir que a organização colete apenas a quantidade mínima de IP necessária para atingir um determinado objetivo. As organizações também devem considerar os possíveis perigos para os consumidores se os dados coletados forem violados e implementar medidas preventivas adequadas (por exemplo, a exclusão automática dos dados coletados após seu uso).

Um aspecto importante da conformidade é garantir que os gerentes da empresa e todos os funcionários estejam cientes dos requisitos da CCPA, especialmente os requisitos que afetam diretamente seu escopo de trabalho. As atualizações podem ser feitas por meio de sessões de treinamento e webinars.

As leis e regulamentos estão frequentemente sujeitos a alterações e emendas. (A própria CCPA passou por essas revisões antes de sua republicação em 2023.) Portanto, é uma boa ideia ficar por dentro dos desenvolvimentos da CCPA.

A corretagem de dados – a compra e venda de IP – é um negócio em expansão, que os especialistas avaliaram em US$ 240 bilhões a nível mundial em 2021. Espera-se que esse valor quase dobre e chegue a mais de US$ 450 bilhões por ano até o final da década^.2

Algo tão valioso quanto os dados deve ser cuidadosamente protegido. Assim sendo, a California Privacy Protection Agency (CPPA) tem o poder de afetar diretamente os lucros das empresas que descumpram os princípios da CCPA. As penalidades da CCPA são limitadas a uma taxa relativamente baixa de US$ 2.500 para um contato ofensivo que não seja intencional ou US$ 7.500 para uma violação intencional. Vale a pena observar que essas penalidades da CCPA se aplicam a apenas um único delito, como uma violação de dados envolvendo uma pessoa.

No entanto, na prática, é raro que as violações de dados afetem apenas uma única pessoa. Em vez disso, geralmente são eventos em grande escala que envolvem milhares ou até mesmo centenas de milhares de consumidores. Portanto, se você multiplicar as possíveis multas da CCPA pelo grande número de residentes da Califórnia, poderá em pouco tempo calcular as penalidades gigantescas.

A CCPA oferece às empresas infratoras uma maneira de evitar o pagamento dessas multas pesadas, dando aos infratores um período de carência de 30 dias para remediar o erro que cometeram. Se o infrator puder aprimorar suas medidas de segurança e "corrigir" o problema em um mês, a taxa de penalidade pode ser anulada. Obviamente, as empresas têm a responsabilidade financeira de remediar essas infrações, mas isso pode ser difícil ou até mesmo impossível em algumas situações. Isso ocorre porque delitos como violações de dados muitas vezes envolvem divulgações de dados que não podem ser revertidas.

O escopo da CCPA continua se expandindo e evoluindo para acompanhar o crescimento explosivo da tecnologia, como a Internet das Coisas (IoT).

Por exemplo, a CPPA anunciou recentemente um novo foco de atenção: veículos "conectados" (CVs) equipados com mecanismos de coleta de dados. Os veículos modernos possuem meios de coletar uma quantidade enorme de informações sobre os motoristas, bem como dados de geolocalização, e transmitir esses dados. A Califórnia tem mais de 35 milhões de veículos registrados, o que a torna um enorme empreendimento. Mas, segundo o Diretor Executivo da CPPA, é uma necessidade que requer atenção.

"Os veículos modernos são computadores sobre rodas efetivamente conectados", afirmou Ashkan Soltani em julho de 2023. "Eles são capazes de coletar uma grande quantidade de informações por meio de aplicativos, sensores e câmeras integrados, que podem monitorar as pessoas dentro e próximas ao veículo."³

A frase "perto do veículo" é notável. Ela implica que não apenas os dados dos condutores estão protegidos, mas também de qualquer pessoa que possa estar nesse carro e até mesmo indivíduos andando perto do veículo. As câmeras a bordo dos veículos podem capturar imagens momentâneas dessas pessoas.

Essa notícia também chama a atenção porque mostra a CCPA usando sua autoridade para proteger os dados pessoais gerados por meio da IoT, neste caso, de veículos conectados. A notícia pode ganhar ainda mais importância se indicar a intenção da agência de lidar com um número cada vez maior de casos relacionados à IoT nos próximos anos.

Quando a União Europeia (UE) implementou o Regulamento Geral de Proteção de Dados (RGPD) em maio de 2018, ela introduziu a abordagem mais avançada possível para garantir a proteção de informações pessoais e/ou de consumidores. A CCPA ficou conhecida como a política de privacidade de dados mais rigorosa em vigor nos EUA. Consequentemente, alguns observadores querem saber como as duas normas se comparam.

Em grande parte, ambas as normas têm o mesmo objetivo. Tanto o RGPD quanto a CCPA:

• Buscam instintivamente proteger e capacitar o cidadão comum
   

• Dão ao consumidor o direito de se opor aos dados coletados e de os corrigir, se os dados coletados estiverem errados
   

• Dão ao consumidor o direito de acessar suas informações pessoais, realocá-las ou (caso opte por fazê-lo) excluí-las permanentemente
   

• Exigem que os consumidores sejam notificados pessoalmente caso a segurança dos dados coletados seja violada

Também existem diferenças. O RGPD tem requisitos de transferência transfronteiriça que não são necessários no estado único da Califórnia. Por outro lado, a CCPA aplica restrições à venda de IP, já o RGPD não o faz.

Ainda assim, há mais semelhanças do que diferenças entre o RGPD e a CCPA. Ambas as normas enfrentam desafios com riscos de terceiros. Esse desafio surge quando uma empresa terceiriza essencialmente seu gerenciamento de dados pessoais para uma empresa externa. Essa empresa terceirizada deve estar pronta e ser legalmente capaz de assumir as mesmas responsabilidades baseadas na CCPA para IP. Essas são as mesmas responsabilidades que a empresa original incorreu após coletar ou comprar os dados em questão. Tanto a CCPA quanto o RGPD exigem que as empresas compartilhem as categorias de terceiros com os quais compartilham informações, quais informações elas compartilham com cada terceiro e por quê.

O RGPD e a CCPA também compartilham outras características importantes: a capacidade de penalizar financeiramente provedores de serviços e outras empresas que cometem infrações de não conformidade. Recentemente, demonstraram essa capacidade de forma drástica, com a maior multa de penalidade por privacidade de dados já registrada.

Em maio de 2023, a Irish Data Protection Commission (DPC) aplicou uma multa recorde de EUR 1,2 bilhão (aproximadamente US$ 1,3 bilhão) contra a Meta (antigo Facebook). Essa multa foi por usar ilegalmente dados europeus em seus negócios americanos, incluindo o Instagram.