A Lei da Privacidade do Consumidor da Califórnia (CCPA)

A Lei da Privacidade do Consumidor da Califórnia (CCPA): O que os gestores de risco e conformidade precisam de saber.

A Lei da Privacidade do Consumidor da Califórnia (CCPA) entrará em vigor a 1 de Janeiro de 2020 - e espera-se que seja a lei de privacidade de dados mais dura dos Estados Unidos. Está preparado?

As preocupações com os custos e o facto de não estar pronto são generalizadas. Há sempre compensações monetárias para as iniciativas de conformidade. Qual é o custo inicial de fazer as alterações necessárias versus as multas de não cumprimento? No caso do CCPA, não há debate, o custo do não cumprimento é real, com multas que chegam a atingir $7.500 por violação.

Quer a sua empresa faça ou não negócios na Califórnia hoje em dia, vale a pena compreender o âmbito do CCPA, o seu impacto comercial, e o papel que desempenha na sua aplicação como gestor de risco e conformidade. Leis semelhantes afectarão provavelmente o seu negócio em breve se ainda não o forem - uma legislação semelhante à CCPA é pendente em oito outros estadosincluindo Illinois, Maryland, Massachusetts, Nevada e Nova Iorque.

O que é o CCPA?

A CCPA é uma nova lei de privacidade de dados que dá aos consumidores da Califórnia mais controlo sobre os seus dados pessoais e pune as empresas por exporem esses dados. A lei abrange empresas que tenham $25M ou mais em vendas anuais, que comprem, vendam ou partilhem informações sobre 50.000 ou mais consumidores, ou que obtenham mais de metade das receitas da venda de informações pessoais. O CCPA exige que estas empresas revelem aos seus clientes (a seu pedido) os dados pessoais que recolheram, por que razão foi recolhida e quais os terceiros que a receberam.

A aplicação da CCPA começa com sanções civis até $7,500 por violação. As multas variam dependendo da intenção de violar as normas de cumprimento, como por exemplo, declarar propositadamente erradamente aos consumidores o tempo necessário para que os pedidos de informação sejam tratados. Existe um período de cura de 30 dias em que a empresa pode abordar a violação sem penalização.

Outro tipo de sanção é uma multa relacionada com infracções. Os danos legais relacionados com infracções variam de $100 a $750 por consumidor por incidente, ou danos reais, o que for maior. As organizações não abrangidas pelo CCPA ainda podem encontrar-se no âmbito de quaisquer infracções que afectem os consumidores - o que significa que podem ser atingidas por multas por infracção, mesmo que não vendam informação ao consumidor.

Qual é a diferença entre CCPA e GDPR?

O CCPA é muito semelhante ao Regulamento Geral de Protecção de Dados da Europa (GDPR). A maior diferença reside em quem é afectado. A GDPR abrange o controlador, o processador e os sujeitos dos dados, enquanto o CCPA abrange empresas, prestadores de serviços, terceiros e consumidores. A outra distinção principal é o tipo de dados que se encontra no âmbito de cada regulamento. A GDPR abrange qualquer tipo de dados pessoais, enquanto que o CCPA faz efeito quando os dados são vendidos a título monetário ou a outro título oneroso (divulgação, divulgação, transferência ou mesmo aluguer dos dados).

O que significa para mim o CCPA como gestor de risco e de conformidade?

As organizações no âmbito do CCPA devem ter processos em vigor para apoiar os requisitos de privacidade do regulamento. Estes vão desde ter um banner no website que diz que se processa informação para os consumidores da Califórnia e procedimentos claros para responder a pedidos de dados pessoais, portabilidade de dados, apagamento de dados e exclusão do processamento de dados. Requer também respostas rápidas e a capacidade de emitir adequadamente avisos de privacidade sobre a forma como a informação pessoal é recolhida e utilizada.

A tecnologia é a melhor defesa do gestor de risco e conformidade contra violações involuntárias do CCPA. A automatização faz com que todo o processo de conformidade seja contínuo, desde a recolha de informação até à resposta aos pedidos. A utilização de uma plataforma integrada de gestão de risco suporta directamente os requisitos, porque lhe permite fazê-lo:

1. Realizar uma avaliação de prontidão sobre a maturidade dos seus procedimentos de privacidade no que diz respeito ao CCPA e outros regulamentos de privacidade. Identifique facilmente o seu estado actual de conformidade e compare-o com o local onde precisa de estar. Uma abordagem de maturidade permite-lhe compreender melhor se está optimizado para realizar os procedimentos necessários para o cumprimento do CCPA a longo prazo.
2. Criar um inventário centralizado das actividades, categorias e assuntos de processamento no que diz respeito ao CCPA, pelo que existe uma única fonte de verdade para determinar facilmente o que está no âmbito de qualquer pedido. A provisão 1798.110(a)(4) descreve os dados específicos que precisam de ser inventariados juntamente com provas de apoio que validem os procedimentos, controlos e documentação utilizados.
3. Desenvolver questionários para Análise de Impacto na Privacidade de Dados (DPIA) para que possa facilmente compreender a importância de certos processos para o cumprimento do CCPA. As organizações precisam de compreender o impacto que os diferentes processos, sistemas e outros bens têm em relação ao cumprimento dos regulamentos do CCPA. A realização de um DPIA permite compreender este nível de impacto e as classificações dos diferentes bens. Os gestores de risco devem planear avaliar o impacto dos diferentes activos numa frequência aplicada pela organização e quando ocorre um evento material (aquisição de uma empresa, nova oferta, mudança no processo).
4. Utilizar fluxos de trabalho automatizados para acelerar o tempo de resposta dos pedidos. Uma vez recebido um pedido, seja para acesso aos dados, apagamento, ou mesmo notificação de uma violação, as organizações têm apenas 45 dias para responder. Os fluxos de trabalho automatizados são fundamentais para uma orquestração rápida e fácil entre todas as partes envolvidas, de modo a fornecer respostas aos pedidos em tempo útil.

O já complexo cenário de risco está a tornar-se ainda mais complicado à medida que os regulamentos se tornam mais rigorosos para responder às preocupações dos consumidores sobre a privacidade dos dados. O aproveitamento da tecnologia torna os processos de conformidade mais fáceis de gerir e dá aos gestores de risco e conformidade uma forma de provar que todos os procedimentos estão alinhados com as novas normas.

Para saber mais sobre o CCPA e o que precisa de fazer para se preparar - junte-se ao nosso webinar, CCPA 101: O que é, e como irá impactar a sua organização, na quinta-feira, 3 de Outubro, às 13:00 ET.
Registe-se aqui