A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma lei estadual da Califórnia promulgada em 2020 que protege e faz cumprir os direitos dos residentes da Califórnia em relação à privacidade das informações pessoais (IP) dos consumidores.
No mundo digital, entende-se que os dados dos consumidores são o novo ouro, algo de imenso valor potencial para os profissionais de marketing. No entanto, apesar dos interesses corporativos em usar esses dados, um movimento crescente insiste que os consumidores que estão sendo estudados por meio desses dados devem ter voz na forma como as informações que geraram são ou não usadas.
Na Califórnia, os objetivos desse movimento foram transformados em lei, por meio da aprovação da CCPA. Isso representa um passo importante em favor dos direitos dos consumidores e da segurança cibernética ao fornecer ao Estado da Califórnia uma estrutura capaz de fazer valer as leis e regulamentos de privacidade de dados e oferecer aos residentes da Califórnia um caminho para o direito privado de ação, a fim de buscar reparações legais em caso de violações de dados.
Assine a newsletter da IBM
As diretrizes da CCPA foram criadas para oferecer aos consumidores da Califórnia um conjunto de direitos relacionados expressamente à privacidade dos dados pessoais e lhes garante proteções de segurança razoáveis. Esses direitos englobam a capacidade dos residentes da Califórnia de fazerem solicitações relacionadas aos seus dados como consumidores. Essas solicitações podem incluir ações como:
Impedir a venda de suas informações pessoais a empresas terceiras (ou seja, o Direito de Impedir a Revenda) ao emitir a chamada diretiva "Não venda minhas informações pessoais"
Solicitar dados sobre quaisquer informações pessoais que tenham sido coletadas (o Direito de Acesso)
Solicitar que todos os dados coletados sobre esse consumidor sejam excluídos (o Direito de Ser Esquecido)
Graças à Agência de Proteção à Privacidade da Califórnia, os residentes da Califórnia também têm proteções que visam garantir que eles sejam devidamente notificados sobre as alterações de dados que os afetam, bem como normas antidiscriminatórias que determinam que as pessoas não podem ser subjugadas ou de outra forma penalizadas porque optaram por exercer esses direitos.
Apesar de a maioria dos consumidores ter uma noção geral do que se entende por "dados pessoais", essa expressão pode ter diferentes significados para diferentes pessoas, e até abranger muito mais do que se imaginava inicialmente.
No contexto da CCPA, dados pessoais são definidos como "informações que podem identificar, relacionar-se, descrever, ser razoavelmente associadas ou vinculadas, direta ou indiretamente, a um consumidor ou domicílio específico."1
As diretrizes da CCPA abrangem os seguintes exemplos específicos de dados pessoais:
Nome
Endereço
Número de telefone
Endereço de e-mail
Endereço de IP
Data de nascimento
Número da Segurança Social
Número da carteira de motorista
Número do passaporte
Informações da conta bancária
Números de cartão de crédito/débito
Dados e credenciais educacionais
Os dados pessoais se tornam ainda mais valiosas para os profissionais de marketing quando podem ser combinados por meio da análise de dados, permitindo criar visões detalhadas de consumidores individuais ou grupos de consumidores, e tirar conclusões mais abrangentes sobre as tendências de marketing do consumidor, por exemplo. Algumas das outras formas de IP coletadas rotineiramente podem ser igualmente reveladoras, incluindo:
Preferências de compra do consumidor
Históricos de navegação pessoal
Atitudes pessoais articuladas
Comportamentos pessoais específicos
Outra área de preocupação envolve cookies e como eles são usados pelos sites como identificadores únicos. Isso inclui cookies primários (que são projetados para serem excluídos automaticamente assim que sua finalidade comercial for concluída), bem como cookies de terceiros (que não são excluídos automaticamente e têm a funcionalidade de coletar vários tipos de dados pessoais, incluindo informações pessoais confidenciais).
Por causa do potencial de uso indevido de cookies de terceiros por sites, a CCPA considera os dados coletados em um site por meio do uso de cookies como IP e, portanto, dignos de proteção.
A maioria das organizações afetadas aborda a conformidade com a CCPA não como uma etapa única, mas como um processo. A primeira parte deste processo geralmente envolve uma mudança de mentalidade em relação ao consumidor e a compreensão de que suas necessidades de privacidade são importantes e implicam direitos aplicáveis.
Manter a conformidade com a CCPA envolve defender os vários consumidores da Califórnia, fornecendo-lhes opções sobre como seus dados pessoais são administrados (incluindo opções de adesão). E também implica se atualizar sobre quaisquer mudanças evolutivas na CCPA para acompanhar o ritmo de novas tecnologias (como biometria) e revisões nas políticas da CCPA.
Tornar-se conforme com a CCPA requer a realização de diversas etapas, as quais podem levar de seis meses até um ano para serem completamente implementadas. No entanto, cada uma delas desempenha um papel vital no alcance da conformidade com a CCPA. (Como determinados requisitos de conformidade podem ser realizados simultaneamente, as etapas são indicadas com marcadores e não como números.)
O primeiro passo é ter uma ideia precisa de quais dados do consumidor foram coletados, bem como catalogar seus vários locais. Isso se aplicaria tanto aos dados de consumidores "externos", coletados de consumidores externos à empresa, quanto aos dados de consumidores coletados "internamente", de funcionários da empresa e candidatos a emprego.
É fundamental manter um armazenamento seguro de todos os dados pessoais coletados, quer seja dos consumidores ou dos candidatos a emprego. Há também disposições adicionais relacionadas à proteção das informações coletadas de menores.
Deve ser emitida uma declaração de "aviso de coleta" para todos os consumidores (e até mesmo para os funcionários da empresa e candidatos a emprego). É importante ressaltar que este aviso de privacidade deve ser comunicado antes ou no momento em que as atividades de coleta de dados começam, e não depois de já terem começado.
A maioria das organizações agora mantém uma política de privacidade de dados detalhada para sua empresa e a publica em seu site.
Também é importante estabelecer um meio eficaz e oportuno de lidar com quaisquer solicitações relacionadas às informações do consumidor.
As regras de minimização de dados devem ser desenvolvidas e implementadas para garantir que a organização colete apenas a quantidade mínima de IP necessária para atingir um determinado objetivo. As organizações também devem considerar os possíveis perigos para os consumidores se os dados coletados forem violados e implementar medidas preventivas adequadas (por exemplo, a exclusão automática dos dados coletados após seu uso).
Um aspecto importante da conformidade é garantir que os gerentes da empresa e todos os funcionários estejam cientes dos requisitos da CCPA, especialmente os requisitos que afetam diretamente seu escopo de trabalho. As atualizações podem ser feitas por meio de sessões de treinamento e webinars.
As leis e regulamentos estão frequentemente sujeitos a alterações e emendas. (A própria CCPA passou por essas revisões antes de sua republicação em 2023.) Portanto, é uma boa ideia ficar por dentro dos desenvolvimentos da CCPA.
A corretagem de dados – a compra e venda de IP – é um negócio em expansão, que os especialistas avaliaram em US$ 240 bilhões a nível mundial em 2021. Espera-se que esse valor quase dobre e chegue a mais de US$ 450 bilhões por ano até o final da década.2
Algo tão valioso quanto os dados deve ser cuidadosamente protegido. Assim sendo, a Agência de Proteção à Privacidade da Califórnia (CPPA) tem o poder de afetar diretamente os lucros das empresas que descumpram os princípios da CCPA. E embora as penalidades da CCPA sejam limitadas a uma taxa relativamente baixa (US$ 2.500 para um contato ofensor que se mostrou não intencional ou US$ 7.500 para uma violação intencional), é importante destacar que essas penalidades da CCPA se aplicam apenas a uma única infração, como uma violação de dados envolvendo uma pessoa.
No entanto, na prática, é raro que as violações de dados afetem apenas uma única pessoa. Em vez disso, geralmente são eventos em grande escala que envolvem milhares ou até mesmo centenas de milhares de consumidores. Portanto, se você multiplicar as possíveis multas da CCPA pelo grande número de residentes da Califórnia, poderá em pouco tempo calcular as penalidades gigantescas.
A CCPA oferece às empresas infratoras uma maneira de evitar o pagamento dessas multas pesadas, dando aos infratores um período de carência de 30 dias para remediar o erro que cometeram. Se o infrator puder aprimorar suas medidas de segurança e "corrigir" o problema em um mês, a taxa de penalidade pode ser anulada. Obviamente, as empresas têm a responsabilidade financeira de remediar essas infrações, mas em algumas situações isso pode ser difícil ou até mesmo impossível, considerando que infrações como violações de dados geralmente envolvem divulgações de dados que não podem ser revertidas.
O escopo da CCPA continua se expandindo e evoluindo para acompanhar o crescimento explosivo da tecnologia, como a Internet das Coisas (IoT).
Por exemplo, a CPPA anunciou recentemente um novo foco de atenção: veículos "conectados" (CVs) equipados com mecanismos de coleta de dados. Os veículos modernos possuem meios de coletar uma quantidade enorme de informações sobre os motoristas, bem como dados de geolocalização, e transmitir esses dados. Considerando que existem mais de 35 milhões de veículos registrados na Califórnia, isso representa uma enorme empreitada. Mas, segundo o Diretor Executivo da CPPA, é uma necessidade que requer atenção.
"Os veículos modernos são computadores sobre rodas efetivamente conectados", afirmou Ashkan Soltani em julho de 2023. "Eles são capazes de coletar uma grande quantidade de informações por meio de aplicativos, sensores e câmeras integrados, que podem monitorar as pessoas dentro e próximas ao veículo."3
A frase "próximas ao veículo" é digna de nota porque implica que não apenas os dados dos motoristas estão protegidos, mas também de qualquer pessoa que esteja no carro e até mesmo de indivíduos que estejam apenas caminhando perto do veículo e cujas imagens momentâneas sejam capturadas por câmeras de bordo.
Essa notícia também chama a atenção porque, nela, a autoridade da CCPA está sendo usada para proteger os dados pessoais gerados por meio da IoT, neste caso, de veículos conectados. A notícia pode ganhar ainda mais importância se indicar a intenção da agência de lidar com um número cada vez maior de casos relacionados à IoT nos próximos anos.
Quando a União Europeia (UE) implementou o Regulamento Geral de Proteção de Dados (RGPD) em maio de 2018, ela introduziu a abordagem mais avançada possível para garantir a proteção de informações pessoais e/ou de consumidores. A CCPA ficou conhecida como a política de privacidade de dados mais rigorosa em vigor nos EUA. Consequentemente, alguns observadores querem saber como as duas normas se comparam.
Em grande parte, ambas as normas têm o mesmo objetivo. Tanto o RGPD quanto a CCPA:
Buscam instintivamente proteger e capacitar o cidadão comum
Dão ao consumidor o direito de se opor aos dados coletados e de os corrigir, se os dados coletados estiverem errados
Dão ao consumidor o direito de acessar suas informações pessoais, realocá-las ou (caso opte por fazê-lo) excluí-las permanentemente
Exigem que os consumidores sejam notificados pessoalmente caso a segurança dos dados coletados seja violada
Também existem diferenças. O RGPD tem requisitos de transferência transfronteiriça que não são necessários no estado único da Califórnia. Por outro lado, a CCPA aplica restrições à venda de IP, já o RGPD não o faz.
Ainda assim, há mais semelhanças do que diferenças entre o RGPD e a CCPA. Ambas as normas têm que lidar com a delicada questão dos riscos de terceiros, em que uma empresa basicamente terceiriza sua gestão de dados pessoais para uma empresa externa. Quando isso ocorre, essa empresa terceirizada deve estar pronta e ser legalmente capaz de assumir as mesmas responsabilidades baseadas na CCPA em relação às IP que a empresa original incorreu após coletar ou comprar os dados em questão. Tanto a CCPA quanto o RGPD exigem que as empresas compartilhem as categorias de terceiros com os quais compartilham informações, quais informações elas compartilham com cada terceiro e por quê.
O RGPD e a CCPA também compartilham outras características importantes: a capacidade de penalizar financeiramente provedores de serviços e outras empresas que cometem infrações de não conformidade. Isso foi demonstrado recentemente de forma drástica, com a maior multa de penalidade por privacidade de dados já registrada.
Em maio de 2023, a Comissão Irlandesa de Proteção de Dados (DPC) aplicou uma multa recorde de 1,2 bilhão de euros (aproximadamente US$ 1,3 bilhão) contra a Meta (empresa anteriormente conhecida como Facebook) por usar ilegalmente dados europeus nos seus negócios americanos, incluindo o Instagram.
Automatize a auditoria e relatórios de conformidade, descubra e classifique dados e fontes de dados, monitore a atividade do usuário e responda a ameaças quase em tempo real. O Guardium Insights oferece suporte a uma abordagem moderna e zero trust para a segurança de dados, ajudando a descobrir atividades incomuns em torno de dados confidenciais e reduzindo o risco de exposição.
Obtenha uma visibilidade mais nítida e insights apurados que ajudarão você a investigar e remediar ameaças cibernéticas. Aplique políticas de segurança e controles de acesso quase em tempo real para lidar rapidamente com as necessidades de conformidade regulatória.
Ofereça uma experiência confiável ao cliente e expanda seus negócios com uma abordagem abrangente e adaptativa à privacidade de dados com base em princípios zero trust e proteção comprovada da privacidade de dados. Com as soluções de privacidade de dados da IBM, você pode fortalecer a proteção da privacidade dos dados, aumentar a confiança do cliente e também expandir seus negócios.
Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
IIP são dados pessoais que podem ser usados para descobrir a identidade de um indivíduo específico, como números de Segurança Social, nomes completos e números de telefone.
A segurança da informação protege arquivos e dados digitais importantes de uma organização, documentos em papel, mídias físicas e muito mais contra acesso, divulgação, uso ou alteração não autorizados.
Notas de rodapé
1 "4 Types of Personal Data Under the California Consumer Privacy Act (CCPA)," Eric Andrews, site da securiti (link externo ao site ibm.com)
2 "Data Brokers Market Outlook 2031," Data Brokers Market, site da Transparency Market Research (link externo ao site ibm.com)
3 "CPPA to Review Privacy Practices of Connected Vehicles and Related Technologies," relatado em 23 de julho de 2023 no site da Agência de Proteção à Privacidade da Califórnia (link externo ao site ibm.com)