GDPR E CCPA – LEIS DE PRIVACIDADE DE DADOS DE CONSUMIDORES

gdpr-ccpa

Em 1º de janeiro de 2020, a Lei de Privacidade do Consumidor da Califórnia (CCPA) entrará em vigor, dando aos californianos novos direitos de autonomia sobre os dados que geram todos os dias. A CCPA será a primeira grande legislação de privacidade dos EUA a ser aplicada após o Regulamento Geral Europeu de Proteção de Dados (GDPR), que entrou em vigor na União Europeia em maio de 2018. O impacto do GDPR foi global e espera-se que o impacto da CCPA também seja, considerando que a Califórnia é a quinta maior economia do mundo. Neste artigo faremos uma avaliação da CCPA e do GDPR, a fim de identificarmos  as suas principais diferenças.

1 – CCPA X GDPR 

A California Consumer Privacy Act, ou CCPA, como é mais conhecida, será a primeira grande legislação estadual sobre privacidade a entrar em vigor em 1º de janeiro de 2020 nos EUA, depois que o GDPR europeu reformulou a aparência da lei de privacidade de dados em 25 de maio de 2018.

A CCPA mudará a maneira como os californianos lidam com seus próprios dados, conferindo a eles novos direitos de solicitar às empresas que não divulguem ou excluam os dados que já coletaram.

gdpr-ccpa

Ela também cria novas obrigações para entidades comerciais que fazem negócios na Califórnia. Além disso, as disposições da CCPA exigem que as empresas forneçam aos consumidores informações sobre os dados coletados, processados ​​e vendidos nos últimos doze meses.

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei da União Europeia que entrou em vigor em maio de 2018 e é uniforme em todos os vinte e oito Estados membros. Ele controla sites, empresas e organizações que lidam com dados pessoais, como nomes, endereços de email, dados de localização, histórico do navegador e muitas outras coisas.

gdpr-ccpa

Por exemplo, se um site tem visitantes da UE e ele (site) ou terceiros incorporados (como Google ou Facebook) processam qualquer tipo de dados pessoais, o GDPR determinará que primeiro o site deverá obter o consentimento prévio do usuário. Para que esse consentimento seja válido, o referido site deve se basear em informações claras sobre a finalidade, extensão e duração do seu processamento de dados. 

Isso se aplica a qualquer site, independente do local onde esteja localizado ou sendo operado, desde que tenha visitantes da União Europeia. Por exemplo, um site na Califórnia que tenha visitantes da UE está obrigado a cumprir os requisitos do GDPR para processamento de dados pessoais. Se uma pessoa mora nos EUA (ou em qualquer outro lugar do mundo) e oferece serviços através de um site, processando dados da União Europeia, poderá experimentar o Cookiebot, a plataforma de gerenciamento de consentimento (que é gratuita) para garantir a conformidade com o GDPR em seu site.

O GDPR está focado na criação de uma estrutura legal de “privacidade por padrão” para toda a União Europeia (UE), enquanto a CCPA trata da criação de transparência na enorme economia de dados da Califórnia e nos direitos de seus consumidores.

Enquanto o GDPR cria uma porta para o usuário da UE trancar, antes de qualquer processamento de dados, a CCPA cria uma janela para o consumidor californiano abrir, a fim de descobrir quais dados já foram obtidos por uma empresa ou vendidos a terceiros.

O GDPR exige que sites, empresas e negócios tenham uma base legal para o processamento de dados pessoais na UE (sob a qual a primeira base legal é consentida); já a CCPA não possui nenhuma estrutura como tal. De fato, de acordo com os regulamentos da CCPA, as empresas não precisam de consentimento prévio de um usuário, antes de processar seus dados, como também nenhum site precisa de consentimento prévio de um usuário, antes de vender seus dados a terceiros.

gdpr-ccpa

A CCPA define informações pessoais como “informações que identificam, se relacionam com, descrevem, são capazes de ser associadas a, ou poderiam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular”. Já o GDPR define dados pessoais como “qualquer informação relacionada a uma pessoa física identificada ou identificável (titular dos dados), direta ou indiretamente, em particular por referência a um identificador”.

A grande diferença nas definições entre a CCPA e o GDPR é que a definição do CCPA é extra-pessoal, o que significa que inclui dados que não são específicos para um indivíduo, mas são categorizados como dados domésticos, enquanto o GDPR permanece exclusivamente individual.

Ao contrário da CCPA, o GDPR cria uma categoria especial de dados chamada “dados pessoais sensíveis”, que proíbe o processamento, a menos que um dos requisitos específicos seja atendido.

gdpr-ccpa

O GDPR possui seis bases legais para o processamento de dados pessoais na UE, enquanto a CCPA não possui nenhuma base legal para o processamento de informações pessoais na Califórnia. Isso significa que as empresas podem processar dados dos californianos como desejarem, a menos que os consumidores exerçam seu direito de optar por não vender seus dados. Isso fica evidente no regulamento da CCPA, que exige das empresas a instalação nos sites  de um botão ou um link para os consumidores clicarem, contendo a seguinte observação “Não vender minhas informações pessoais”. Portanto, para que uma empresa se enquadre na definição de empresa da CCPA e esteja em conformidade com a lei, ela deve ter esse botão ou link. 

O GDPR protege os titulares dos dados, definidos como “uma pessoa física identificada ou identificável”, enquanto a CCPA concede certos direitos aos consumidores, definidos como “uma pessoa natural que é residente na Califórnia”.

Um titular de dados, de acordo com o GDPR, pode ser qualquer pessoa e não apenas residentes ou cidadãos da União Europeia, ao contrário de um consumidor definido na CCPA como um indivíduo “que está no Estado para outro fim que não seja temporário ou transitório” ou um indivíduo “domiciliado no Estado que esteja fora do Estado para fins temporários ou transitórios”. Neste caso, o GDPR protege os titulares dos dados (não cidadãos ou residentes), ao contrário da CCPA.

Neste sentido, se um turista americano estiver viajando pela UE e seus dados forem processados ​​enquanto estiver lá, os respectivos serão protegidos pelo GDPR. As empresas que processarem os dados deste turista, mesmo se instaladas nos EUA, terão que cumprir as regras da GDPR, desde que ofereçam serviços a titulares de dados na UE. Por outras palavras, o titular dos dados é qualquer pessoa singular que tenha dados processados ​​na UE por empresas que oferecem serviços e/ou produtos à União.

Tanto a CCPA quanto o GDPR têm escopo extraterritorial. A CCPA se aplica a empresas que se enquadram na sua definição de empresa, independentemente da empresa estar localizada na Califórnia. Dessa forma, uma empresa sediada na Europa que se enquadre na definição de empresa na CCPA (por exemplo, transações com dados de mais de 50.000 californianos anualmente), será obrigada a cumprir as regras da CCPA.

Da mesma forma, o RGPD se aplica a todos os sites, empresas e organizações (controladores de dados) do mundo, se eles oferecem bens ou serviços a indivíduos na União Europeia.

gdpr-ccpa

A diferença de escopo é, no entanto, que o GDPR protege qualquer indivíduo (titular dos dados) que esteja na União Europeia no momento da coleta ou processamento, onde a CCPA protege apenas os indivíduos que se enquadram na sua definição de consumidor como sendo um residente da Califórnia.

A CCPA controla as condições para as empresas e suas atividades de processamento de dados e as define com um conjunto de classificações restritas.

Uma empresa, de acordo com a CCPA, é uma entidade com fins lucrativos que coleta informações pessoais dos consumidores; que determina a finalidade e os meios de processamento; que faz negócios na Califórnia e atende a pelo menos um dos seguintes limites:

  • Que tenha receita anual, superior a US $ 25 milhões;
  • Que processa as informações pessoais de pelo menos cinquenta mil californianos por ano;
  • Que deriva cinquenta por cento ou mais de sua receita anual com a venda de informações pessoais.

Obviamente, isso exclui inúmeras empresas, organizações e sites, que processam dados pessoais dos californianos todos os dias, e que poderá continuar fazendo isso após a data efetiva da CCPA. Os requisitos do GDPR, por outro lado, aplicam-se aos controladores de dados, definidos como qualquer tipo de entidade com atividades de processamento de dados.

O GDPR não estabelece restrições quanto ao tamanho, com ou sem fins lucrativos, públicos ou privados, dentro ou fora da União Europeia. Um controlador de dados, de acordo com o GDPR, é simplesmente qualquer entidade que coleta e/ou processa dados na UE. Isso inclui qualquer empresa, negócio, organização; e por último, mas não menos importante, qualquer site, independentemente do tamanho, forma e finalidade. Ao contrário da CCPA, se alguém processar qualquer dado, estará automaticamente ligado ao GDPR.

Isso ressalta uma grande diferença entre o CCPA e o GDPR: a saber, que este último tem um escopo muito mais amplo sobre quem e a que se aplica, uma vez que não discrimina com base, por exemplo, na quantidade de dinheiro que uma empresa ou organização ganha por ano. Ou seja, resumindo, o GDPR simplesmente protege mais pessoas das práticas de processamento de dados do que a CCPA.

Quando se trata de aplicação da penalidade “multa monetária”, as duas leis de privacidade de dados (GDPR e CCPA) são de tipo semelhante, mas diferentes em seu escopo, como foi anteriormente esclarecido.

No GDPR as multas são emitidas pelas autoridades nacionais de proteção de dados nos estados membros da UE. Isso pode atingir até 4% do faturamento anual global de uma empresa ou 20 milhões de euros, o que for mais alto. Até o momento a multa monetária mais alta aplicada foi de US $ 50 milhões pela autoridade francesa de proteção de dados CNIL. Geralmente, essas multas são estipuladas considerando a sua gravidade e duração da infração. 

gdpr-ccpa

Já na CCPA as multas monetárias são aplicadas pelo Procurador Geral da Califórnia (este também avalia as violações), embora sejam muito menores do que as emitidas por não conformidade com o GDPR. Elas têm um limite máximo de US $ 2.500 por violação, com violações internacionais de até US $ 7.500.

Na UE, de acordo com o GDPR, são as autoridades nacionais de proteção de dados que têm a tarefa de promover a conscientização e oferecer orientações às empresas, organizações e sites sobre como eles podem ser compatíveis com o GDPR.

As autoridades de proteção de dados da UE também têm poderes de investigação, o que significa que podem realizar auditorias nas empresas suspeitas de estarem em desacordo com o RGPD. Eles podem emitir avisos e ordenar que os controladores de dados obedeçam ao GDPR, bem como impor proibições de processamento, emitir multas administrativas e apagar dados obtidos de forma indevida.

A CCPA, por outro lado, tem possibilidades de supervisão muito mais restritas, cabendo exclusivamente ao Procurador Geral a iniciativa das investigações. A previsão, é que no mais tardar em julho de 2020, o Procurador-Geral já tenha criado regulamentos para as áreas específicas da CCPA que tratam de sua aplicação e supervisão.

2 – CONCLUSÃO

O GDPR é uma lei de privacidade maior e mais ampla, que forma uma estrutura de proteção de dados sob a União Europeia, onde a privacidade é o padrão, com base no consentimento prévio dos usuários. Ele confere aos indivíduos da UE direitos de acesso, de exclusão, de informações e de retirar o consentimento. A CCPA, em comparação a ele, é uma lei setorial menor e mais específica que cria direitos para os residentes da Califórnia, como o de decidir sobre quais dados as empresas (que atendem à definição da CCPA) podem ter acesso. Enfim, as duas leis são diferentes em um nível fundamental e criam duas estruturas legais muito diferentes para privacidade e autonomia de dados na Europa e na Califórnia. (Gilbert Lorens – Advogado: OAB/BA. 14.396 – Especialista em Relações de Consumo)

NOTA EDITORIAL: O conteúdo editorial desta matéria não foi fornecido ou comissionado por qualquer empresa, assim como, não foram revisadas, aprovadas ou endossadas por elas, antes da publicação. As opiniões, análises, resenhas, declarações ou recomendações expressas neste artigo são de responsabilidade exclusiva do autor.

blog-baner

Deixe uma resposta