Safetica > Resources > Conformidade com a CCPA: o que é a CCPA e quando deve preocupar-se

Conformidade com a CCPA: o que é a CCPA e quando deve preocupar-se

nov 1, 2023

63 % dos utilizadores da Internet acreditam que a maioria das empresas não é transparente sobre como os dados dos seus consumidores são utilizados. Com a quantidade de informação que é recolhida sobre eles todos os dias e o quão valiosa pode ser, as pessoas têm motivos para se preocuparem com a sua privacidade enquanto consumidores e com a segurança da sua informação pessoal. Para responder a estas preocupações de privacidade, muitos países aprovaram leis para proteger os consumidores e a sua informação pessoal contra usos indevidos — como o GDPR na UE ou a CCPA na Califórnia.

Vamos agora focar-nos mais na California Consumer Protection — o que é, a quem se aplica e como pode tornar o seu negócio conforme com a CCPA.

O que é a CCPA?

A California Consumer Privacy Act (CCPA) é uma lei estadual que confere aos consumidores na Califórnia vários novos direitos de privacidade, dando-lhes mais controlo sobre os seus dados. A CCPA é também a primeira lei abrangente do género de privacidade do consumidor nos Estados Unidos. A lei foi aprovada pela Assembleia Estadual da Califórnia e promulgada pelo então governador da Califórnia, Jerry Brown, a 28 de junho de 2018, entrando em vigor a 1 de janeiro de 2020.

A CCPA foi posteriormente alterada pela California Privacy Rights Act (CPRA, também conhecida como Proposta 24), que entrou em vigor a 1 de janeiro de 2023. A informação neste artigo já inclui as alterações trazidas pela CPRA.

safetica-ccpa-article-california

A CPRA substitui a CCPA?

Para esclarecer, queremos explicar que a CPRA não é uma nova lei, mas sim um conjunto de revisões à CCPA. O que agora se designa por CCPA inclui todas as alterações e ampliações trazidas pela CPRA. Qualquer parte da CCPA não tratada pela CPRA permanece como antes da CPRA.

Como já mencionámos neste artigo, sempre que falamos da CCPA, referimo-nos à CCPA tal como alterada pela CPRA.

Esclarecido este ponto, vejamos quais os direitos específicos que foram concedidos aos consumidores:

Ao abrigo da CCPA, os cidadãos da Califórnia têm os seguintes direitos de privacidade do consumidor:

  • O direito de saber sobre a informação pessoal que uma empresa recolhe sobre si e como é utilizada ou partilhada com outras organizações
  • O direito de eliminar a informação pessoal recolhida sobre si
  • O direito de optar por não permitir a venda da sua informação pessoal
  • O direito à não discriminação por exercer os seus direitos ao abrigo da CCPA
  • O direito de processar uma empresa por violações que tenham infringido os seus direitos ao abrigo da CCPA
  • O direito de corrigir informação pessoal incorreta
  • O direito de limitar a utilização e a divulgação de informação pessoal sensível

 

Para além disso, a CPRA introduziu uma disposição crucial conhecida como princípio da "finalidade limitada". Este princípio determina que as empresas devem recolher apenas os dados necessários para cumprir objetivos explicitamente declarados e conservar essa informação durante o tempo necessário. As empresas devem informar explicitamente os consumidores sobre o tipo de dados que estão a ser recolhidos, as finalidades comerciais específicas para a sua utilização e a forma como serão utilizados.

Que dados estão protegidos ao abrigo da CCPA e da CPRA?

Embora a CCPA seja normalmente vista como uma versão menos rigorosa da lei europeia de privacidade, em algumas matérias a lei californiana vai ainda mais longe — a definição de informação pessoal é um exemplo disso.

A CCPA define informação pessoal como

  "qualquer informação que identifique, esteja relacionada com, descreva, possa ser associada a, ou que possa razoavelmente ser ligada, direta ou indiretamente, a um determinado consumidor ou agregado familiar."  

 

A versão alterada da CCPA inclui a adição de outra subcategoria: a informação pessoal sensível.

O conjunto de dados abrangidos por "informação pessoal" na CCPA inclui:

  • Identificadores pessoais como o nome verdadeiro do consumidor, morada postal, número de telefone, número de segurança social ou carta de condução
  • Identificadores online que possam ser usados para associar a presença online de um consumidor a si próprio, como cookies, endereços IP, endereços de e-mail, nomes de conta, nomes de utilizador, etc.
  • Dados biométricos, como impressão digital, leitura facial ou da retina, mas também gravações de voz ou amostras de escrita manual
  • Geolocalização, como geotags em imagens ou histórico de localização
  • Atividade na Internet, como histórico de pesquisa ou atividade em aplicações
  • Informação sensível, como características pessoais, comportamento, convicções religiosas ou políticas, preferências sexuais, emprego, cidadania ou estatuto migratório e dados de educação

Por outras palavras, se a informação recolhida puder identificar potencialmente um indivíduo, é considerada informação pessoal e fica abrangida pela CCPA e pela CPRA. Há, no entanto, algumas exceções à proteção da CCPA e da CPRA.

Tomemos, por exemplo, um número de telefone. Normalmente, está abrangido pela CCPA enquanto "identificador direto". No entanto, se partilhou o seu número de telefone ao adicioná-lo à informação de contacto no seu website ou conta de redes sociais, então é considerado "informação publicamente disponível" — e, neste caso, a proteção da CCPA não se aplica. Da mesma forma, tudo o que está armazenado em registos governamentais, como registos prediais ou licenças profissionais, ou informação já abrangida por outras leis existentes (como dados médicos ou financeiros), também não é considerado informação pessoal ao abrigo da CCPA.

A que empresas e organizações se aplica a CCPA?

Em comparação com outras regulamentações como o GDPR, que se aplica à maioria das empresas e organizações, a CCPA visa sobretudo médias e grandes empresas. Organizações sem fins lucrativos e governos estão geralmente isentos do cumprimento da regulamentação, embora também aqui existam algumas exceções.

Então, a quem se aplica exatamente a CCPA? As empresas sujeitas à CCPA são entidades legais com fins lucrativos que operam na Califórnia e que cumprem um ou mais dos seguintes critérios:

  • Comprar, receber, vender ou partilhar para fins comerciais informação pessoal de 100 000 ou mais consumidores ou agregados familiares por ano.
  • Ter receita bruta anual superior a 25 milhões de dólares.
  • Obter mais de 50 % das suas receitas anuais com a venda de informação pessoal de residentes na Califórnia.
  • Partilhar marca comum com outra empresa que se enquadre na CCPA.

 

O que significa o requisito "operar na Califórnia"? Significa que apenas as empresas que trabalham dentro do estado estão obrigadas a cumprir a lei californiana de privacidade? Não exatamente.

O requisito "operar na Califórnia" abrange qualquer atividade comercial em que residentes na Califórnia partilhem informação pessoal com empresas e essas empresas recolham essa informação para fins comerciais, independentemente da localização física da empresa. Esta definição alargada significa que websites, lojas online, aplicações móveis e fornecedores de serviços online também ficam abrangidos pela lei californiana, desde que cumpram um ou mais dos principais critérios, independentemente do local onde estejam sediados.

Tomemos como exemplo uma loja de retalho com sede em França. Se vende os seus produtos a pessoas que vivem na Califórnia, então já cumpre, obviamente, o critério de "operar na Califórnia". No entanto, não tem de seguir a regulamentação da CCPA enquanto a sua receita estiver abaixo dos 25 milhões de dólares e o seu número de clientes californianos for inferior a 100 000.

Contudo, se, após analisar as métricas mais recentes de inscrições na newsletter, a loja descobrir que ganhou vários novos clientes da Califórnia e atingiu o limiar dos 100 000 consumidores, a situação muda. Como a loja passa a cumprir esse limiar de consumidores e está a usar os dados para fins comerciais, fica agora legalmente obrigada a cumprir a CCPA.

 

O que devem as empresas fazer para estar em conformidade com a CCPA?

Em primeiro lugar, para perceber se a sua empresa tem de seguir as regras da CCPA, verifique os principais critérios de qualificação e veja se o seu negócio se enquadra. Para além da parte de "fazer negócio na Califórnia", o cumprimento de qualquer um dos outros critérios principais significa que está legalmente obrigado a cumprir a CCPA.

Depois de analisar estas regras, comparar com as métricas do seu negócio e determinar que deveria estar abrangido pela CCPA, a próxima questão é como pode garantir que o seu negócio está em conformidade.

Os principais requisitos de conformidade que a CCPA impõe às empresas incluem:

  1. Política de privacidade: as empresas são obrigadas a manter uma política de privacidade online (que inclua detalhes de retenção de dados) atualizada, no mínimo, uma vez a cada 12 meses.
  2. Avisos de privacidade: é obrigatório que as empresas adicionem um aviso de privacidade no seu website e aplicações móveis, indicando aos consumidores como a sua informação pessoal será utilizada e tratada pela empresa.
  3. Política de cookies: as empresas têm de incluir uma política de cookies no seu website que informe os consumidores sobre os dados que recolhem, como e porquê.
  4. Inventário de dados: as empresas devem manter um histórico das suas atividades de processamento de dados, com um inventário abrangente da informação recolhida.
  5. Gestão dos direitos do consumidor: os consumidores têm o direito de solicitar acesso, alterar, corrigir ou eliminar os seus dados pessoais. As empresas têm de disponibilizar formulários de pedido de acesso aos titulares dos dados, para que possam exercer os seus direitos.
  6. Pedidos de opt-out: as empresas têm de criar e exibir, em destaque, ligações "Do Not Sell My Personal Information" e "Limit the Use of My Sensitive Personal Information" na página inicial do seu website.

Para cumprir a regulamentação, a sua empresa pode ter de alterar alguns dos seus processos de negócio, sobretudo a forma como recolhe, armazena e protege a informação pessoal proveniente de cidadãos da Califórnia. Para dar algumas ideias sobre por onde começar, descrevemos alguns pontos-chave para preparar o seu negócio para cumprir os requisitos:

 

Realize uma auditoria aos dados

A primeira coisa a descobrir, quando procura conformidade com a CCPA, é que informação pessoal e sensível recolhe dos seus consumidores e onde essa informação é armazenada. No âmbito da auditoria, deve também verificar como os seus colaboradores trabalham com os dados: quem tem acesso a que informação, como a estão a usar e como os documentos ou ficheiros são partilhados entre colaboradores.

 

Classifique os seus dados

Assim que souber que tipo de dados existe no seu negócio, pode começar a classificá-los com base na sua importância ou sensibilidade. Este é um passo essencial, pois algumas categorias dos seus dados (sobretudo a informação pessoal sensível) exigirão um nível muito mais elevado de segurança e um conjunto específico de orientações para o seu tratamento.

Para prevenir perda ou fugas de dados, é boa ideia restringir o acesso aos ficheiros mais críticos apenas aos colaboradores que dele necessitem para a sua função e estabelecer também limites para o que podem fazer enquanto trabalham com esses ficheiros.

 

Desenvolva um conjunto de práticas para a gestão de dados

A auditoria aos dados deve mostrar-lhe claramente os problemas mais significativos na sua organização. Agora, é altura de desenvolver orientações de gestão de dados para todos os colaboradores. As orientações devem descrever como se espera que os colaboradores giram os dados dos clientes, qual é o processo principal para responder aos pedidos dos consumidores, as principais orientações de segurança e quem é responsável pelo tratamento de informação particularmente sensível ou confidencial. Um manual destes é também um excelente local para instruir os colaboradores sobre como reagir a uma perda ou violação de dados.

 

Reveja e atualize as suas medidas de segurança de dados

Ao abrigo da CCPA, os consumidores podem processar a empresa por danos se a sua informação pessoal tiver sido violada por falha desta em implementar e manter medidas de segurança razoáveis. Isso significa que qualquer violação de dados pode ser um problema significativo para a sua organização — tanto pelas pesadas coimas como pelos danos reputacionais.

Por isso, ao realizar a auditoria, observe também com atenção as suas medidas de segurança — por exemplo, com que frequência são feitas cópias de segurança, se utiliza cifragem adequada, se exige autorização de dois fatores e se tem um sistema de resposta implementado, para saber como reagir a atividades suspeitas.

Leitura adicional: O que é o phishing | Norma internacional ISO 27001 para criar um sistema eficaz de gestão da segurança da informação

 

Atualize a sua política de privacidade online

As políticas de privacidade e os avisos de cookies são componentes essenciais da CCPA, e não os ter no seu website ou aplicação pode ser imediatamente considerado uma violação. Mesmo que já tenha uma política de privacidade no seu website ou aplicação, esta provavelmente precisará de uma atualização para ficar conforme com os requisitos da CCPA.

 

Quais são as coimas por incumprimento da CCPA?

Em linha com muitas outras leis sobre privacidade de dados, a California Consumer Privacy Act tem sanções bastante severas para o incumprimento.

Violações intencionais da California Consumer Privacy Act podem resultar em sanções civis até 7 500 dólares por cada violação, ao passo que, para violações menos graves, a coima é de 2 500 dólares por violação. Se a violação envolver crianças com menos de 16 anos, qualquer violação pode trazer uma sanção de 7 500 dólares, não apenas as intencionais.

Adicionalmente, os consumidores afetados pela violação podem agir judicialmente e pedir indemnizações legais, entre 100 e 750 dólares "por consumidor por incidente ou pelos danos efetivos, o que for mais elevado". Pode não parecer muito em comparação com as conhecidas coimas do GDPR de vários milhões de dólares. No entanto, deve saber que a CCPA considera cada violação separadamente e impõe sanções em conformidade.

O Zoom aprendeu isto da pior forma depois de milhões de utilizadores terem processado a empresa, alegando que os seus direitos como consumidores foram violados quando o Zoom vendeu os seus dados pessoais a empresas de redes sociais. Para encerrar a ação judicial, o Zoom concordou em pagar 85 milhões de dólares como acordo. Para além disso, o Zoom acordou também adicionar mais medidas de segurança à sua plataforma (como alertar os utilizadores quando os anfitriões ou outros participantes em reuniões usam aplicações de terceiros nas reuniões) e formar os seus colaboradores em privacidade e tratamento de dados.

O que é ainda mais importante é que não existe um limite máximo para as coimas da CCPA. Por isso, se uma empresa do tamanho do Facebook (que tem 18 milhões de utilizadores na Califórnia) for acusada de violar a CCPA, as sanções poderiam atingir 45 mil milhões de dólares — e isto apenas para cenários de violação menos graves e sem contar com indemnizações legais.

 

Como a Safetica o pode ajudar?

Tornar a sua empresa conforme com a CCPA pode parecer assustador à partida — há uma auditoria de dados a fazer, classificação, proteção de ficheiros particularmente sensíveis, formação dos colaboradores sobre as novas orientações e ainda o tratamento de pedidos dos consumidores.

Com a Safetica, o seu negócio pode tratar de todos esses passos e tornar-se conforme com a CCPA com muito maior facilidade. Eis como podemos ajudar:

  • Com a Safetica, pode realizar rapidamente uma auditoria aos dados e descobrir que tipos de dados são utilizados na sua organização.
  • A Safetica pode dar-lhe uma visão completa da informação sensível ou confidencial armazenada na sua organização e ajudá-lo a categorizar e a proteger esses dados. Por exemplo, pode definir rapidamente quem tem acesso a que tipo de informação e bloquear todas as atividades provenientes de outras contas.
  • Depois de definir as suas políticas e orientações internas de segurança, a Safetica fica de olho em tudo o que os seus colaboradores fazem ao tratar dos dados e garante que cumprem os procedimentos e as políticas de segurança. Adicionalmente, receberá um alerta em tempo real para qualquer violação de política ou atividade suspeita, como copiar ficheiros sensíveis para um dispositivo desconhecido.
  • Como a Safetica monitoriza todas as atividades dos colaboradores no tratamento de dados, consegue identificar quaisquer riscos, atividades ilegais e ameaças e bloqueá-las antes que conduzam a violações ou perdas de dados.
 
 

Para além disso, a Safetica pode também ajudá-lo a educar os seus colegas sobre como classificar dados, detetar, prevenir e reagir a incidentes de segurança, bem como manter-se em conformidade com a CCPA (e outras regulamentações). Desta forma, pode ter a certeza de que a informação da sua empresa está perfeitamente segura — e de que a sua equipa sabe como prevenir e responder a quaisquer problemas ou ameaças aos dados.

 

Conclusão

A CCPA é a primeira lei abrangente de privacidade do consumidor nos EUA — e, em alguns aspetos, é até mais rigorosa do que a sua congénere europeia, o GDPR. Não se aplica, contudo, a todas as organizações — se não atingir o limiar de receita ou de quantidade de dados, então não precisa de cumprir a CCPA. Ainda assim, mesmo que ainda não cumpra os requisitos, é sempre melhor começar com antecedência para não ter de fazer tudo à pressa mais tarde.

Com a Safetica a seu lado, pode tornar o cumprimento das normas muito mais rápido e fácil, pois esta pode ajudar tanto na auditoria dos seus dados e proteção dos seus ficheiros mais importantes, como na sensibilização dos seus colegas para a segurança de dados.

Por isso, quer precise já de estar conforme com a regulamentação, quer esteja a planear o futuro, com a Safetica pode tornar o processo de conformidade mais fácil — e garantir que se mantém em conformidade nos próximos anos.

 

Fale connosco

Similar posts