Os californianos votaram em novembro para alargar os seus direitos de privacidade de dados para além das disposições da CCPA. A nova Lei dos Direitos de Privacidade da Califórnia de 2020 (CPRA) é uma expansão da CCPA, concebida para reforçar e clarificar os requisitos de privacidade – e alinhar-se mais estreitamente com as normas internacionais de privacidade, nomeadamente o GDPR. As disposições mais significativas da CPRA centram-se em três áreas: partilha e venda de informações pessoais, prestadores de serviços e contratantes, e direitos dos consumidores. Além disso, a lei adopta determinados princípios do RGPD, como a minimização de dados, a limitação da finalidade e a limitação do armazenamento. A CPRA também dá mais força à CCPA ao criar uma nova agência governamental – a Agência de Proteção da Privacidade da Califórnia – dedicada a tratar da aplicação e do cumprimento dos novos regulamentos.
Embora a maioria das disposições da CPRA não se torne operacional até 2023, não esperes para iniciar o processo de conformidade. A CPRA pode estar a abrir caminho para futuras regulamentações de privacidade dos EUA a uma escala mais alargada. Segue-se uma análise das novas disposições da CPRA, como se comparam com a CCPA – e o que podes fazer agora para te preparares.
| CCPA | CPRA | |
|---|---|---|
| Limiar | Para empresas que satisfaçam uma das seguintes condições:
|
Para empresas que satisfaçam uma das seguintes condições:
|
| Data de entrada em vigor | 1 de janeiro de 2020 | 1 de janeiro de 2023. Aplica-se apenas a informações pessoais recolhidas em ou após 1 de janeiro de 2022, exceto para pedidos de acesso. |
| Isenções por conta de outrem e B2B | Expira a 1 de janeiro de 2021 | Expira a 1 de janeiro de 2023 |
| Direitos do consumidor |
|
Todos os direitos ao abrigo da CCPA, mais:
|
| Definições de “vendido” e “partilhado” | “Vender” significa vender por dinheiro ou outra contrapartida valiosa. | “Vender” foi alargado para “vendido ou partilhado”, ou seja, partilhado por uma empresa com terceiros para benefício da empresa, com ou sem troca de dinheiro. |
| Terceiros | Um “prestador de serviços” é uma entidade que processa informação em nome de uma empresa ao abrigo de um contrato escrito. | Os requisitos de “prestador de serviços” foram alargados e foi acrescentada uma categoria paralela de “contratante”. |
| Informações de carácter pessoal | “Informações pessoais” são informações que identificam, se relacionam com, descrevem ou podem ser razoavelmente ligadas a um determinado consumidor ou agregado familiar. | Abrange as informações pessoais, bem como as “informações pessoais sensíveis”, que incluem o SSN, o número da carta de condução, as credenciais de início de sessão, as informações biométricas, a geolocalização precisa e a origem racial/étnica. |
| Informações pessoais de menores | As coimas são as mesmas que as aplicadas a outros tipos de informações pessoais – $2.500 por cada violação intencional e $7.500 por cada violação não intencional. | Impõe uma multa automática de $7.500 por cada violação que envolva informações pessoais de um menor. |
| Retenção de dados | Não impõe requisitos específicos para que as empresas divulguem as suas práticas de retenção aos consumidores. | A recolha, retenção e utilização de dados deve ser limitada ao que é razoavelmente necessário para fornecer bens e serviços. |
| Tomada de decisões automatizada | NA | Os consumidores podem optar por não utilizar as suas informações pessoais para a tomada de decisões automatizadas, o que inclui a “definição de perfis” em relação a avaliações ou decisões sobre o desempenho profissional, a situação económica, a saúde, a fiabilidade, etc. de um consumidor. |
| Aplicação da lei |
|
|
Algumas destas disposições podem ser aperfeiçoadas por futuros regulamentos publicados pela recém-criada California Privacy Protection Agency. Entretanto, aqui estão três acções a tomar agora:
- Respeita as opções de inclusão e exclusão. Certifica-te de que dispões de um processo para aprovar rapidamente os pedidos de privacidade.
- Cumpre a CCPA independentemente da localização física da tua empresa. A conformidade com a CCPA estende-se para além das fronteiras do estado e inclui qualquer residente da Califórnia, independentemente da sua localização. Se um residente da Califórnia puder aceder ao teu sítio Web, tens de cumprir a CCPA.
- Compreende as complexidades das informações pessoais e a forma como são definidas. Manter a conformidade legal durante a realização de iniciativas de marketing é um processo contínuo e não um ponto de controlo único. Revê regularmente a forma como as informações de identificação pessoal estão a ser utilizadas sempre que os regulamentos de privacidade
são alterados ou actualizados.
Com a aprovação da CPRA, a lei de privacidade do consumidor mais robusta do país acaba de ficar significativamente mais forte – e os riscos significativamente maiores. E se as lições da CPRA, da CCPA e do GDPR forem uma indicação do futuro, espera que mais estados e países desenvolvam os seus próprios requisitos de privacidade. Entretanto, implementa as políticas, os procedimentos e a tecnologia corretos para que possas ajustar as tuas práticas de privacidade em conformidade. O tempo está a passar.
Para mais informações sobre uma solução de conformidade eficaz, transfere o nosso e-book, Transforming Compliance from Check the Box to Champion.
