Sabe quantos dados são criados todos os dias? Em média, são 2,5 quintiliões de bytes de dados. Estima-se que, em 2025, as pessoas estarão a gerar 463 exabytes de dados por dia. Uma grande parte desse volume é constituída por dados pessoais — que mostram aquilo de que os utilizadores online gostam, o que pesquisam e o que compram. Estes dados são praticamente inestimáveis para organizações de todas as dimensões e setores, pois permitem-lhes compreender melhor quem são os seus clientes e o que poderão esperar das marcas. O problema era que os utilizadores da Internet tinham pouco ou nenhum controlo sobre quem recolhia os seus dados e a forma como eram utilizados.
Embora já existissem várias leis de privacidade (como a Diretiva de Dados Pessoais da UE, de 1995), o principal problema era que as regulamentações e os direitos dos utilizadores online variavam frequentemente de país para país — o que conduzia muitas vezes ao uso indevido de dados pessoais.
Desde 2018, contudo, a situação alterou-se com o Regulamento Geral sobre a Proteção de Dados da União Europeia e a California Consumer Privacy Act, que limitam ambos a quantidade de dados que as organizações podem recolher e o que podem fazer com eles.
Embora a CCPA e o GDPR cubram temas semelhantes e tenham o mesmo objetivo, há algumas coisas que fazem de forma diferente. Quais? Vamos contar-lhe tudo o que precisa de saber sobre estas duas regulamentações de privacidade neste artigo de comparação GDPR vs. CCPA.
O GDPR (Regulamento Geral sobre a Proteção de Dados) é um conjunto de regulamentações europeias de proteção de dados que se aplicam a todas as empresas em todo o mundo que recolham e armazenem dados pessoais sobre cidadãos europeus.
O principal objetivo da lei foi limitar o que as empresas podem fazer com os dados que recolhem, proteger os direitos de privacidade dos consumidores e dar aos indivíduos mais controlo sobre o uso dos seus dados pessoais. Ao abrigo do Regulamento Geral sobre a Proteção de Dados, qualquer informação que possa identificar uma pessoa singular viva é considerada dado pessoal e, por isso, abrangida pela lei de proteção de dados de consumidores — desde o nome, número de telefone ou morada até hábitos de navegação ou compras anteriores. Os "titulares dos dados" (entendidos como a pessoa singular a quem os dados em causa pertencem) podem também, a qualquer momento, pedir a uma determinada empresa uma cópia dos dados que esta recolheu sobre si ou solicitar que a empresa deixe de os utilizar.
Concebido para substituir a diretiva de proteção de dados de 1995, ligeiramente desatualizada, o GDPR é composto por onze capítulos e 99 artigos distintos. Estes capítulos incidem sobre os direitos dos titulares dos dados, os deveres das empresas no que respeita ao armazenamento e processamento de dados, as medidas de segurança necessárias, as sanções por violação da lei e ainda a forma como os dados podem ser transferidos para outras empresas. Isto torna a lei europeia de privacidade uma das mais abrangentes e também das mais rigorosas do mundo.
|
Ao abrigo do Regulamento Geral sobre a Proteção de Dados, os indivíduos têm o direito a:
|
Quanto a quem deve cumprir a lei europeia de privacidade, os requisitos do GDPR são muito diretos.
No essencial, qualquer entidade que recolha ou processe dados pessoais de residentes na UE tem de cumprir a regulamentação, independentemente de onde a organização esteja localizada.
As organizações com mais de 250 colaboradores estão também automaticamente obrigadas a cumprir o GDPR. As que têm menos de 250 colaboradores não precisam de manter registos de todas as suas atividades de processamento de dados, a menos que:
Isto pode parecer bastante abrangente, por isso vejamos um exemplo — uma empresa de logística qualquer sediada na Florida. Enquanto trabalhasse apenas com clientes e empresas com sede nos EUA e não tivesse relações comerciais com empresas da Europa, apenas teria de cumprir a lei local. A situação muda quando começa a trabalhar com empresas europeias — porque, a partir daí, ficaria legalmente obrigada a cumprir o GDPR.
Como todos os websites recolhem algum tipo de informação dos utilizadores, o GDPR também se aplica a eles. A única exceção feita é para websites com restrição geográfica, que não podem ser acedidos por ninguém fora da localização especificada — por exemplo, uma versão americana do website de uma marca que só pode ser aberta por pessoas que vivem nos EUA.
A California Consumer Privacy Act (CCPA) é uma lei estadual aprovada em 2018 e que entrou em vigor em janeiro de 2020. A nova lei, baseada no GDPR, foi criada como resposta a incidentes anteriores em que as empresas foram acusadas de tratar incorretamente ou de explorar informação privada. É a primeira lei do género nos EUA, conferindo aos californianos uma proteção de privacidade online sem precedentes, incluindo o direito de processar empresas em caso de violação de dados.
|
Os utilizadores californianos passaram também a ter vários novos direitos ao abrigo desta lei marcante, incluindo:
|
Pela semelhança dos direitos dos consumidores com os do Regulamento Geral sobre a Proteção de Dados, a California Consumer Privacy Act é frequentemente apelidada de versão californiana da lei europeia. Há, no entanto, alguns aspetos em que a lei da Califórnia se diferencia do GDPR — vamos analisar as principais diferenças daqui a pouco.
Quanto às organizações que têm de se manter em conformidade com a nova lei de privacidade, a lei californiana é claramente menos rigorosa do que a europeia, pois aplica-se apenas a qualquer empresa com fins lucrativos que cumpra uma ou mais das seguintes condições:
Tal como o GDPR, a conformidade com a CCPA também se aplica a empresas fora dos EUA e da Califórnia. Assim, desde que uma empresa lide com qualquer dado pessoal proveniente de residentes da Califórnia e cumpra pelo menos uma das condições acima, tem de cumprir a California Consumer Privacy Act. Há, no entanto, exceções para organizações sem fins lucrativos e agências governamentais.
A California Consumer Protection Act e o Regulamento Geral sobre a Proteção de Dados são bastante semelhantes em vários aspetos, sendo por isso frequentemente comparados. Ambas as regulamentações foram criadas para dar aos consumidores muito mais controlo sobre a quantidade de dados pessoais recolhida e a forma como é utilizada. Ambas as leis também conferem aos consumidores direitos quase idênticos — por exemplo, pedir às empresas que apaguem qualquer informação que tenham armazenado sobre si ou opor-se à venda dos seus dados pessoais.
Adicionalmente, as duas leis não se restringem apenas à Califórnia ou à Europa. Desde que uma empresa lide com informação pessoal de residentes da UE ou da Califórnia, tem de cumprir o GDPR e a CCPA, independentemente da sua localização principal.
Embora as duas leis pareçam semelhantes em termos de direitos e objetivos principais, existem também algumas diferenças importantes entre elas. Não atender a estas nuances pode tornar mais complicado ajustar as políticas internas de privacidade da sua empresa e garantir a conformidade com as leis de privacidade do negócio. Vejamos agora o que torna o Regulamento Geral sobre a Proteção de Dados e a California Consumer Protection Act únicos.
Comecemos por ver o âmbito de cada lei.
O Regulamento Geral sobre a Proteção de Dados aplica-se a qualquer entidade (seja uma empresa comum, organização sem fins lucrativos ou agência governamental), desde que recolha ou possa vir a recolher dados de qualquer pessoa localizada na UE. E isto inclui qualquer meio através do qual as entidades possam recolher dados — e-mails, websites, etc. As únicas exceções são para empresas mais pequenas que raramente processam dados de consumidores e para aquelas sem clientes ou utilizadores nas regiões da UE.
A California Consumer Privacy Act, por outro lado, abrange apenas:
Isto torna o GDPR uma lei muito mais abrangente do que a CCPA, pois cobre praticamente todas as organizações em todo o mundo, independentemente da dimensão ou da localização — desde que uma empresa recolha quaisquer dados sobre utilizadores europeus, está abrangida pelo Regulamento Geral sobre a Proteção de Dados. O alcance da California Consumer Privacy Act, por seu turno, é limitado a empresas maiores (sobretudo as do Silicon Valley), não exigindo conformidade às mais pequenas e às ONG.
Ao abrigo de ambas as leis, os consumidores têm o direito de perguntar às empresas que tipo de dados pessoais foram recolhidos sobre si e de pedir uma cópia desses dados. No entanto, há também aqui algumas diferenças (ainda que pequenas), por exemplo no que respeita ao tempo de processamento. Ao abrigo do GDPR, os consumidores podem enviar esse pedido a qualquer momento e a empresa que o recebe deve responder em 30 dias úteis (o prazo pode ser prolongado em casos complexos). A CCPA, por sua vez, prevê 45 dias úteis.
Em segundo lugar, o GDPR inclui também um direito que permite aos consumidores corrigir partes incompletas ou incorretas dos seus dados. Os californianos não tinham esse direito ao abrigo da CCPA, mas, desde janeiro de 2023, passaram a ter o direito de corrigir a sua informação pessoal ao abrigo da California Privacy Rights Act (CPRA).
A maior diferença entre as duas leis está na forma como as marcas podem recolher dados ao seu abrigo, sendo a lei europeia muito mais rigorosa do que a californiana. Ao abrigo do GDPR, as organizações têm de declarar a sua "base legal" para recolher os dados do consumidor (ou seja, a finalidade da recolha) e dizer-lhe como esses dados serão posteriormente utilizados. Outro requisito é o de que as organizações não podem recolher nem utilizar os dados antes de o consumidor lhes dar uma autorização clara para o fazer — é o chamado "consentimento opt-in".
Muitas empresas usam caixas de seleção como métodos opt-in — ao marcar ou desmarcar caixas, os consumidores podem dar o seu consentimento para a recolha da totalidade dos seus dados ou deixar algumas em branco, limitando o que as empresas podem fazer com eles.
Dar ao consumidor informação clara sobre o que tem de fazer para conceder o consentimento às organizações e como e quando pode retirar essa autorização é um dos requisitos fundamentais.
A regulamentação da CCPA não tem, contudo, um requisito de "consentimento explícito" na lei — as empresas podem recolher informação pessoal de utilizadores com mais de 16 anos imediatamente, sem terem de obter primeiro a sua autorização. A única coisa exigida por esta lei é informar os consumidores de como podem limitar a quantidade de dados que as empresas podem recolher sobre si e o que precisam de fazer para optar por não permitir.
As empresas que vendem informação pessoal são também obrigadas a adicionar uma ligação "Do Not Sell My Personal Information" num local visível no seu website, de modo a dar aos consumidores uma forma fácil de optarem por não permitir que os seus dados sejam vendidos a outras entidades.
Por último, mas não menos importante, cada lei tem coimas e sanções financeiras diferentes para o incumprimento. O GDPR é conhecido pelas suas coimas administrativas pesadas em caso de incumprimento. As violações menores e menos graves podem resultar em sanções até 10 milhões de euros ou 2 % da receita anual global da empresa (o que for mais elevado). As violações graves ou repetidas podem chegar aos 20 milhões de euros ou 4 % da receita anual — também o que for mais elevado. Desde 2018, a União Europeia já aplicou mais de 163 milhões de euros em coimas totais por GDPR, sendo a coima mais elevada de 746 000 000 euros, aplicada à Amazon Europe Core S.à R.L. no ano passado.
Em comparação com as coimas acima, as coimas da CCPA podem parecer muito mais baixas:
Em comparação com as coimas do GDPR, estas podem não parecer significativas à primeira vista. No entanto, deve saber que a CCPA considera cada incidente de violação separadamente e aplica coimas individualmente — e também não existe um limite máximo. As coimas por danos efetivos são igualmente contadas em separado.
Por exemplo, suponhamos que uma empresa do tamanho do Facebook não cumpriu os requisitos de privacidade e que o procurador-geral da Califórnia recebeu mais de 200 000 queixas. Se as violações fossem consideradas intencionais, a coima final poderia totalizar mil milhões e quinhentos milhões de dólares.
Assim, embora as coimas por incumprimento da CCPA possam parecer pequenas, à primeira vista, em comparação com o GDPR, o valor pode acumular-se rapidamente — sobretudo se as coimas por danos ao consumidor forem somadas às já elevadas coimas pelas principais violações.
Agora que olhámos com mais detalhe para a California Consumer Privacy Act e para o Regulamento Geral sobre a Proteção de Dados da UE, podemos ver que têm várias diferenças importantes. Vamos resumi-las:
| CCPA | GDPR | |
|---|---|---|
| Quem está abrangido pela regulamentação? |
A CCPA aplica-se apenas a:
As organizações ONG e as agências governamentais estão isentas. |
|
| Quem é protegido? | Consumidores, definidos como cidadãos californianos que vivam na Califórnia ou nela tenham domicílio. | Titulares dos dados, definidos como pessoas singulares que possam ser identificadas pela informação pessoal armazenada. |
| Como a empresa pode recolher dados ao abrigo da lei | As organizações podem recolher informação pessoal sem ter de pedir autorização ao consumidor. Contudo, têm de indicar claramente como os consumidores podem limitar os dados que as empresas podem recolher e como podem optar por não permitir que os seus dados sejam vendidos a terceiros. | Ao abrigo do GDPR, as organizações não podem recolher dados a menos que tenham um motivo claro que corresponda a uma das bases legais do GDPR e que o cliente lhes tenha dado autorização para o fazer. |
| Direitos atribuídos às pessoas abrangidas pela lei |
|
|
| Sanções por incumprimento |
|
|
A CCPA e o GDPR têm uma intenção semelhante — proteger a privacidade dos consumidores no mundo digital e travar o uso indevido dos dados dos consumidores por parte das empresas. Mas há diferenças visíveis na forma como cada uma das leis funciona.
Com o GDPR, todas as organizações, independentemente da dimensão ou localização, têm de cumprir a regulamentação se tiverem ou puderem vir a ter clientes da UE. Por haver tantos requisitos específicos, a sua empresa pode também precisar de preparar e adotar várias medidas organizacionais para garantir a conformidade.
Os requisitos da CCPA são um pouco mais flexíveis, pois apenas precisa de seguir a regulamentação se cumprir uma ou mais condições, como armazenar dados de mais de 50 000 pessoas.
No entanto, navegar entre as nuances de cada lei e ter tudo pronto para o processo de conformidade pode ser um pouco confuso, sobretudo se for a primeira vez que está a interpretar e a cumprir requisitos de leis de privacidade. Não tornaria todo o processo mais fácil ter alguém por perto a ajudar?
Com a Safetica ao seu lado, pode perceber como a sua empresa recolhe e armazena dados, garantir que os dados estão seguros e compreender as nuances de ambas as leis de privacidade. Tornar-se conforme com o GDPR e/ou a CCPA será depois muito simples.