1. Lei de Privacidade do Consumidor da Califórnia (CCPA) para manequins

A Lei de Privacidade do Consumidor da Califórnia (CCPA) entra em vigor em 1º de janeiro de 2020. Sua empresa está pronta para conformidade com a CCPA?

Muitas empresas passaram os últimos 18 a 24 meses trabalhando em seus programas de governança e privacidade de dados para cumprir o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que entrou em vigor em maio de 2018. Se você é uma dessas empresas, grande parte do trabalho que você já fez para alcançar a conformidade com o GDPR o ajudará com a lei da CCPA, mas há algumas diferenças importantes - as quais explico neste artigo.

O que é o CCPA?

A Lei de Privacidade do Consumidor da Califórnia (CCPA) define informações pessoais como "informações que identificam, se relacionam com, descrevem, são capazes de ser associadas a, ou poderiam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou residência em particular". Essa definição é mais abrangente que a definição de informações pessoais do GDPR, que é limitada a informações relacionadas a “pessoas vivas identificadas ou identificáveis”.

Lei de Privacidade do Consumidor da Califórnia (CCPA)

Até o momento da redação deste documento, os requisitos da CCPA não foram finalizados e provavelmente serão alterados antes da adoção da versão final. Acesse o site oficial da CCPA localizado em https://oag.ca.gov/privacy/ccpa para ler as atualizações mais recentes da lei da CCPA.

O CCPA se aplica à minha empresa?

A CCPA se aplica a qualquer negócio com fins lucrativos (e a qualquer entidade que controla ou é controlada por um negócio e compartilha da marca comum - como um nome compartilhado, marca de serviço ou marca comercial - com o negócio) que faz negócios no Estado da Califórnia e atende um ou mais dos seguintes limites:

* Possui receita bruta anual superior a US $ 25 milhões

* Compra, recebe, vende ou compartilha informações pessoais para fins comerciais de 50.000 ou mais consumidores, famílias ou dispositivos anualmente

* Recebe metade ou mais de sua receita anual com a venda de informações pessoais dos consumidores

Diretrizes para conformidade com a CCPA

Se você está perguntando, somos compatíveis com GDPR, isso significa que também somos compatíveis com CCPA? Assim como o GDPR, que define direitos específicos dos titulares dos dados, o CCPA define direitos específicos dos consumidores da Califórnia, incluindo:

* O direito de acessar informações pessoais específicas coletadas sobre o consumidor, mas limitadas aos dados coletados nos últimos 12 meses.

* O direito de ser notificado sobre os tipos de informações e os propósitos para os quais as informações serão usadas, antes ou quando as informações são coletadas. Os requisitos para políticas de privacidade e avisos no CCPA são menos detalhados do que no GDPR, mas existem requisitos específicos para onde os avisos devem ser colocados nos sites e como os avisos devem ser recebidos pelos consumidores.

* O direito de solicitar uma cópia das informações pessoais coletadas em um formato portátil e de fácil leitura. No entanto, as empresas só precisam fornecer informações pessoais a um consumidor no máximo duas vezes em um período de 12 meses.

* O direito de ser esquecido (com exceções mais amplas que as previstas no GDPR)

* O direito de restringir o processamento ("exclusão") de informações pessoais, sujeito a algumas limitações. Os consumidores têm o direito de recusar a divulgação ou a venda de suas informações pessoais (sujeita a algumas limitações), e as empresas devem exibir conspicuamente um link de desativação (e número de telefone gratuito) em seu site. Espera-se uma orientação mais prescritiva nessa área, e algumas ou todas as seguintes são amplamente previstas:

* Onde e como um link ou botão de exclusão deve ser exibido em um site

* Um logotipo ou botão obrigatório e uniforme de desativação que os consumidores podem reconhecer facilmente

* Um formulário da Web que permite que os clientes optem por não participar de algumas ou de todas as promoções de marketing (como listas de e-mail, programas de fidelidade etc.) da empresa

Ao contrário do GDPR, a lei da CCPA (em sua forma atual) não define um direito individual de corrigir informações imprecisas ou de se opor ao processamento de informações pessoais.

Requisitos mínimos de conformidade com a CCPA

Para se preparar para a CCPA, as empresas precisam adotar uma estratégia de conformidade e criar uma lista de verificação de conformidade da ccpa que inclua minimamente os seguintes componentes:

Identificar. Identifique, rotule, classifique (ou categorize) e indexe as informações pessoais que você coleta e armazena em todas as pessoas (não apenas nos consumidores da Califórnia). Mais regulamentos de privacidade estão por vir - é inevitável.

                         * Definir. Estabeleça políticas e processos apropriados de governança de dados para garantir a conformidade com os requisitos da CCPA. Verifique se você possui procedimentos adequados (e automatiza o máximo possível) com um site em conformidade com a CCPA para responder aos vários direitos do consumidor que eles podem exercer sob a CCPA. Na maioria dos casos, as empresas têm apenas 45 dias para responder às solicitações verificadas dos consumidores.

                         Proteger. Se você já implementou os princípios "privacidade por design" e "privacidade por padrão" e o requisito de minimização de dados especificado no GDPR, você está começando bem.

           * Gerir. A conformidade não é uma atividade única; requer que o gerenciamento contínuo seja bem-sucedido. Todos na sua empresa precisam entender o que o CCPA especificamente exige deles em suas funções individuais. Os requisitos definidos no CCPA ainda estão evoluindo, portanto diligência e conscientização são essenciais para a conformidade.

Para saber mais sobre a implementação do CCPA e seu prazo de conformidade, consulte os seguintes recursos:
* Escritório do Procurador-Geral da Califórnia (https://oag.ca.gov/privacy/ccpa)
* Californianos de Privacidade do Consumidor (https://caprivacy.org)
* Associação Internacional de Profissionais de Privacidade (https://iapp.org)