O que é a CCPA, a lei de privacidade e proteção de dados da Califórnia?
Como o próprio nome sugere, a California Consumer Privacy Act (CCPA) é uma lei de proteção de dados da Califórnia, nos Estados Unidos. Ela reúne regras que devem ser seguidas por empresas que lidam com dados pessoais. A CCPA surgiu no embalo da GDPR (General Data Protection Regulation), a regulamentação europeia, e na necessidade da Califórnia de proteger melhor os seus residentes, visto que não há uma única lei geral de proteção de dados no país.
A CCPA foi aprovada em 2018 e entrou em vigor em janeiro de 2020. Em suma, a principal mudança que a lei traz é que os cidadãos da Califórnia têm mais direitos sobre os seus dados. Em outras palavras, a lei concede às pessoas os direitos de acessar dados, de saber como eles são usados e de proibir o uso deles.
“Ao mesmo tempo, a Califórnia é uma das líderes mundiais no desenvolvimento de novas tecnologias e indústrias relacionadas. No entanto, a proliferação de informações pessoais limitou a capacidade dos californianos de proteger e assegurar adequadamente a sua privacidade. É quase impossível se candidatar a um emprego, criar um filho, dirigir um carro ou marcar uma consulta sem compartilhar informações pessoais”, afirma o projeto de lei.
Neste artigo, você vai ler mais sobre:
Quais empresas a CCPA afeta?
A CCPA se aplica a empresas que fazem negócios na Califórnia. Mas não a todas elas. É preciso atender a pelo menos um dos seguintes requisitos para que a lei tenha validade: ter USD 25 milhões ou mais em receita anual; ganhar mais de 50% de sua receita anual vendendo informações pessoais de consumidores; ou trabalhar, anualmente, com dados pessoais de mais de 50.000 consumidores ou dispositivos.
Como dissemos, a empresa precisa fazer negócios na California. Isto quer dizer que a companhia não precisa, necessariamente, ter uma sede no estado ou até mesmo nos Estados Unidos. Ou seja, basta apenas lidar com dados de pessoas que vivem na Califórnia.
Além disso, como quase toda legislação, há exceções. A CCPA não afeta empresas financeiras e da área da saúde que já atuam sob outras leis de segurança e proteção de dados, caso da HIPAA, do Fair Credit Reporting Act, e da Gramm-Leach-Bliley.
Definição de informação pessoal segundo a CCPA
De acordo com a CCPA, informações pessoais significam “informações que identificam, se relacionam com, descrevem, são capazes de serem associadas a, ou poderiam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular”.
Na prática, por exemplo, informações pessoais envolvem dados que possam identificar alguém, como nome, endereço de e-mail e número do passaporte; informações comerciais, como registros de bens e serviços; informação biométrica; dados de geolocalização; informações relacionadas ao trabalho; informação sonora e visual; e informação educacional.
Pontos-chave da CCPA
O objetivo da CCPA é proteger e garantir os direitos de privacidade de dados das pessoas que vivem na Califórnia. De um lado, a lei cobra mais responsabilidade e transparência das empresas. De outro, protege o consumidor. Tendo isso em mente, os principais pontos em torno da CCPA se relacionam exatamente aos direitos adquiridos pelos cidadãos do estado.
A própria lei pontua que os californianos têm o direito de saber quais informações pessoais são coletadas, se as informações são comercializadas ou divulgadas e para quem; de dizer não à venda dos dados; de acessar as suas próprias informações; e de requisitar que os seus dados sejam deletados.
Em relação às solicitações de exclusão de dados, a CCPA diz que a empresa não tem obrigação de deletar as informações a pedido do consumidor em algumas situações. Por exemplo, em casos de obrigações legais, de detecção de incidentes de segurança, e de exercício da liberdade de expressão.
A lei estabelece ainda que as empresas devem atender prontamente às solicitações de acesso às informações pessoais. E não devem cobrar por isso.
“Uma empresa pode fornecer informações pessoais a um consumidor a qualquer momento, mas não deve ser obrigada a fornecer informações pessoais a um consumidor mais de duas vezes em um período de 12 meses”, diz a CCPA.
De modo prático, do ponto de vista das empresas afetadas, podemos dizer que a lei prevê mudanças na política de privacidade, nos termos de uso e serviço, na maneira como as informações são coletadas, manipuladas e armazenada, e, principalmente, no relacionamento com o consumidor. Ou seja, as empresas precisam estar preparadas para responder e atender diferentes tipos de solicitações.
Multas e sanções por não conformidade com a CCPA
Se a empresa for notificada a respeito de uma violação da lei, ela tem 30 dias para cumprir a demanda ou haverá multa de até USD 7.500 por infração. Além disso, a CCPA determina multas para casos em que ocorra acesso não autorizado a informações, seja por violação ou roubo de dados, por exemplo.
Diz a lei que as empresas têm obrigação de manter práticas de segurança condizentes com a importância dos dados, e uma ação civil pode ser instituída em algumas circunstâncias, como, por exemplo:
“Para recuperar danos em um valor não inferior a cem dólares (USD 100) e não superior a setecentos e cinquenta (USD 750) por consumidor por incidente ou danos reais, o que for maior.”
E quem aplicará a lei? A resposta é: o procurador-geral da Califórnia aplicará a CCPA.
Dicas para se adequar à CCPA
Em alguns pontos da lei, há orientações sobre como as empresas podem cumprir as exigências. Ou seja, a CCPA diz respeito não apenas a punições e exigências, mas sim também a orientações e conscientização. Confira:
Uma empresa deve “disponibilizar aos consumidores dois ou mais métodos para enviar solicitações de informações”. Ela deve “entregar as informações solicitadas por um consumidor gratuitamente dentro de 45 dias após o recebimento de uma solicitação”.
E, para identificar o consumidor, deve “associar as informações fornecidas pelo consumidor na solicitação a qualquer informação pessoal previamente coletada pela empresa sobre o consumidor”.
Conclusão
De fato, a CCPA altera a forma como as empresas que operam na Califórnia e seus clientes se relacionam. É um ponto positivo a lei cobrar mais responsabilidade e transparência das empresas, garantindo assim mais direitos para as pessoas. Na verdade, o mundo inteiro está se movendo nessa direção.
O mais interessante ainda a se observar no caso da CCPA, no entanto, é o impacto que ela causa. Outros estados dos Estados Unidos já estão se mexendo para criar uma regulamentação aos moldes da lei californiana. Provavelmente, estamos falando de um efeito dominó.
Quem sabe a CCPA e outras leis estaduais não acabam tendo influência em instâncias maiores, em âmbito federal. Seria muito bom se os Estados Unidos criassem uma lei geral de privacidade e proteção de dados, não seria?
CCPA na íntegra
Se você quiser conferir a CCPA (em inglês), clique aqui.
