Arquivos da Categoria: Legislação

GDPR E CCPA – LEIS DE PRIVACIDADE DE DADOS DE CONSUMIDORES

gdpr-ccpa

Em 1º de janeiro de 2020, a Lei de Privacidade do Consumidor da Califórnia (CCPA) entrará em vigor, dando aos californianos novos direitos de autonomia sobre os dados que geram todos os dias. A CCPA será a primeira grande legislação de privacidade dos EUA a ser aplicada após o Regulamento Geral Europeu de Proteção de Dados (GDPR), que entrou em vigor na União Europeia em maio de 2018. O impacto do GDPR foi global e espera-se que o impacto da CCPA também seja, considerando que a Califórnia é a quinta maior economia do mundo. Neste artigo faremos uma avaliação da CCPA e do GDPR, a fim de identificarmos  as suas principais diferenças.

1 – CCPA X GDPR 

A California Consumer Privacy Act, ou CCPA, como é mais conhecida, será a primeira grande legislação estadual sobre privacidade a entrar em vigor em 1º de janeiro de 2020 nos EUA, depois que o GDPR europeu reformulou a aparência da lei de privacidade de dados em 25 de maio de 2018.

A CCPA mudará a maneira como os californianos lidam com seus próprios dados, conferindo a eles novos direitos de solicitar às empresas que não divulguem ou excluam os dados que já coletaram.

gdpr-ccpa

Ela também cria novas obrigações para entidades comerciais que fazem negócios na Califórnia. Além disso, as disposições da CCPA exigem que as empresas forneçam aos consumidores informações sobre os dados coletados, processados ​​e vendidos nos últimos doze meses.

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei da União Europeia que entrou em vigor em maio de 2018 e é uniforme em todos os vinte e oito Estados membros. Ele controla sites, empresas e organizações que lidam com dados pessoais, como nomes, endereços de email, dados de localização, histórico do navegador e muitas outras coisas.

gdpr-ccpa

Por exemplo, se um site tem visitantes da UE e ele (site) ou terceiros incorporados (como Google ou Facebook) processam qualquer tipo de dados pessoais, o GDPR determinará que primeiro o site deverá obter o consentimento prévio do usuário. Para que esse consentimento seja válido, o referido site deve se basear em informações claras sobre a finalidade, extensão e duração do seu processamento de dados. 

Isso se aplica a qualquer site, independente do local onde esteja localizado ou sendo operado, desde que tenha visitantes da União Europeia. Por exemplo, um site na Califórnia que tenha visitantes da UE está obrigado a cumprir os requisitos do GDPR para processamento de dados pessoais. Se uma pessoa mora nos EUA (ou em qualquer outro lugar do mundo) e oferece serviços através de um site, processando dados da União Europeia, poderá experimentar o Cookiebot, a plataforma de gerenciamento de consentimento (que é gratuita) para garantir a conformidade com o GDPR em seu site.

O GDPR está focado na criação de uma estrutura legal de “privacidade por padrão” para toda a União Europeia (UE), enquanto a CCPA trata da criação de transparência na enorme economia de dados da Califórnia e nos direitos de seus consumidores.

Enquanto o GDPR cria uma porta para o usuário da UE trancar, antes de qualquer processamento de dados, a CCPA cria uma janela para o consumidor californiano abrir, a fim de descobrir quais dados já foram obtidos por uma empresa ou vendidos a terceiros.

O GDPR exige que sites, empresas e negócios tenham uma base legal para o processamento de dados pessoais na UE (sob a qual a primeira base legal é consentida); já a CCPA não possui nenhuma estrutura como tal. De fato, de acordo com os regulamentos da CCPA, as empresas não precisam de consentimento prévio de um usuário, antes de processar seus dados, como também nenhum site precisa de consentimento prévio de um usuário, antes de vender seus dados a terceiros.

gdpr-ccpa

A CCPA define informações pessoais como “informações que identificam, se relacionam com, descrevem, são capazes de ser associadas a, ou poderiam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular”. Já o GDPR define dados pessoais como “qualquer informação relacionada a uma pessoa física identificada ou identificável (titular dos dados), direta ou indiretamente, em particular por referência a um identificador”.

A grande diferença nas definições entre a CCPA e o GDPR é que a definição do CCPA é extra-pessoal, o que significa que inclui dados que não são específicos para um indivíduo, mas são categorizados como dados domésticos, enquanto o GDPR permanece exclusivamente individual.

Ao contrário da CCPA, o GDPR cria uma categoria especial de dados chamada “dados pessoais sensíveis”, que proíbe o processamento, a menos que um dos requisitos específicos seja atendido.

gdpr-ccpa

O GDPR possui seis bases legais para o processamento de dados pessoais na UE, enquanto a CCPA não possui nenhuma base legal para o processamento de informações pessoais na Califórnia. Isso significa que as empresas podem processar dados dos californianos como desejarem, a menos que os consumidores exerçam seu direito de optar por não vender seus dados. Isso fica evidente no regulamento da CCPA, que exige das empresas a instalação nos sites  de um botão ou um link para os consumidores clicarem, contendo a seguinte observação “Não vender minhas informações pessoais”. Portanto, para que uma empresa se enquadre na definição de empresa da CCPA e esteja em conformidade com a lei, ela deve ter esse botão ou link. 

O GDPR protege os titulares dos dados, definidos como “uma pessoa física identificada ou identificável”, enquanto a CCPA concede certos direitos aos consumidores, definidos como “uma pessoa natural que é residente na Califórnia”.

Um titular de dados, de acordo com o GDPR, pode ser qualquer pessoa e não apenas residentes ou cidadãos da União Europeia, ao contrário de um consumidor definido na CCPA como um indivíduo “que está no Estado para outro fim que não seja temporário ou transitório” ou um indivíduo “domiciliado no Estado que esteja fora do Estado para fins temporários ou transitórios”. Neste caso, o GDPR protege os titulares dos dados (não cidadãos ou residentes), ao contrário da CCPA.

Neste sentido, se um turista americano estiver viajando pela UE e seus dados forem processados ​​enquanto estiver lá, os respectivos serão protegidos pelo GDPR. As empresas que processarem os dados deste turista, mesmo se instaladas nos EUA, terão que cumprir as regras da GDPR, desde que ofereçam serviços a titulares de dados na UE. Por outras palavras, o titular dos dados é qualquer pessoa singular que tenha dados processados ​​na UE por empresas que oferecem serviços e/ou produtos à União.

Tanto a CCPA quanto o GDPR têm escopo extraterritorial. A CCPA se aplica a empresas que se enquadram na sua definição de empresa, independentemente da empresa estar localizada na Califórnia. Dessa forma, uma empresa sediada na Europa que se enquadre na definição de empresa na CCPA (por exemplo, transações com dados de mais de 50.000 californianos anualmente), será obrigada a cumprir as regras da CCPA.

Da mesma forma, o RGPD se aplica a todos os sites, empresas e organizações (controladores de dados) do mundo, se eles oferecem bens ou serviços a indivíduos na União Europeia.

gdpr-ccpa

A diferença de escopo é, no entanto, que o GDPR protege qualquer indivíduo (titular dos dados) que esteja na União Europeia no momento da coleta ou processamento, onde a CCPA protege apenas os indivíduos que se enquadram na sua definição de consumidor como sendo um residente da Califórnia.

A CCPA controla as condições para as empresas e suas atividades de processamento de dados e as define com um conjunto de classificações restritas.

Uma empresa, de acordo com a CCPA, é uma entidade com fins lucrativos que coleta informações pessoais dos consumidores; que determina a finalidade e os meios de processamento; que faz negócios na Califórnia e atende a pelo menos um dos seguintes limites:

  • Que tenha receita anual, superior a US $ 25 milhões;
  • Que processa as informações pessoais de pelo menos cinquenta mil californianos por ano;
  • Que deriva cinquenta por cento ou mais de sua receita anual com a venda de informações pessoais.

Obviamente, isso exclui inúmeras empresas, organizações e sites, que processam dados pessoais dos californianos todos os dias, e que poderá continuar fazendo isso após a data efetiva da CCPA. Os requisitos do GDPR, por outro lado, aplicam-se aos controladores de dados, definidos como qualquer tipo de entidade com atividades de processamento de dados.

O GDPR não estabelece restrições quanto ao tamanho, com ou sem fins lucrativos, públicos ou privados, dentro ou fora da União Europeia. Um controlador de dados, de acordo com o GDPR, é simplesmente qualquer entidade que coleta e/ou processa dados na UE. Isso inclui qualquer empresa, negócio, organização; e por último, mas não menos importante, qualquer site, independentemente do tamanho, forma e finalidade. Ao contrário da CCPA, se alguém processar qualquer dado, estará automaticamente ligado ao GDPR.

Isso ressalta uma grande diferença entre o CCPA e o GDPR: a saber, que este último tem um escopo muito mais amplo sobre quem e a que se aplica, uma vez que não discrimina com base, por exemplo, na quantidade de dinheiro que uma empresa ou organização ganha por ano. Ou seja, resumindo, o GDPR simplesmente protege mais pessoas das práticas de processamento de dados do que a CCPA.

Quando se trata de aplicação da penalidade “multa monetária”, as duas leis de privacidade de dados (GDPR e CCPA) são de tipo semelhante, mas diferentes em seu escopo, como foi anteriormente esclarecido.

No GDPR as multas são emitidas pelas autoridades nacionais de proteção de dados nos estados membros da UE. Isso pode atingir até 4% do faturamento anual global de uma empresa ou 20 milhões de euros, o que for mais alto. Até o momento a multa monetária mais alta aplicada foi de US $ 50 milhões pela autoridade francesa de proteção de dados CNIL. Geralmente, essas multas são estipuladas considerando a sua gravidade e duração da infração. 

gdpr-ccpa

Já na CCPA as multas monetárias são aplicadas pelo Procurador Geral da Califórnia (este também avalia as violações), embora sejam muito menores do que as emitidas por não conformidade com o GDPR. Elas têm um limite máximo de US $ 2.500 por violação, com violações internacionais de até US $ 7.500.

Na UE, de acordo com o GDPR, são as autoridades nacionais de proteção de dados que têm a tarefa de promover a conscientização e oferecer orientações às empresas, organizações e sites sobre como eles podem ser compatíveis com o GDPR.

As autoridades de proteção de dados da UE também têm poderes de investigação, o que significa que podem realizar auditorias nas empresas suspeitas de estarem em desacordo com o RGPD. Eles podem emitir avisos e ordenar que os controladores de dados obedeçam ao GDPR, bem como impor proibições de processamento, emitir multas administrativas e apagar dados obtidos de forma indevida.

A CCPA, por outro lado, tem possibilidades de supervisão muito mais restritas, cabendo exclusivamente ao Procurador Geral a iniciativa das investigações. A previsão, é que no mais tardar em julho de 2020, o Procurador-Geral já tenha criado regulamentos para as áreas específicas da CCPA que tratam de sua aplicação e supervisão.

2 – CONCLUSÃO

O GDPR é uma lei de privacidade maior e mais ampla, que forma uma estrutura de proteção de dados sob a União Europeia, onde a privacidade é o padrão, com base no consentimento prévio dos usuários. Ele confere aos indivíduos da UE direitos de acesso, de exclusão, de informações e de retirar o consentimento. A CCPA, em comparação a ele, é uma lei setorial menor e mais específica que cria direitos para os residentes da Califórnia, como o de decidir sobre quais dados as empresas (que atendem à definição da CCPA) podem ter acesso. Enfim, as duas leis são diferentes em um nível fundamental e criam duas estruturas legais muito diferentes para privacidade e autonomia de dados na Europa e na Califórnia. (Gilbert Lorens – Advogado: OAB/BA. 14.396 – Especialista em Relações de Consumo)

NOTA EDITORIAL: O conteúdo editorial desta matéria não foi fornecido ou comissionado por qualquer empresa, assim como, não foram revisadas, aprovadas ou endossadas por elas, antes da publicação. As opiniões, análises, resenhas, declarações ou recomendações expressas neste artigo são de responsabilidade exclusiva do autor.

blog-baner

A LEI DE PRIVACIDADE DE DADOS DOS CONSUMIDORES DA CALIFÓRNIA (CCPA)

lei-privacidade-de-dados-califórnia

A privacidade digital tornou-se um dos temas comerciais mais discutidos entre governos e associações de defesas dos consumidores, nos últimos anos. Com isso, empresas de todo o mundo passaram a se esforçar, buscando proteger adequadamente as informações pessoais dos seus clientes.

Pela parte do governo, a Califórnia (EUA) torna-se um dos primeiros Estados a fornecer um direito expresso de privacidade de dados em sua constituição e o primeiro a aprovar uma lei de notificação de violação de dados. Por isso, não foi surpreendente quando os legisladores estaduais em junho de 2018 aprovaram a CCPA, a primeira lei de privacidade de dados de consumidores em todo o país. Foi o primeiro sinal de que a legislação dos EUA está alcançando o sentimento público dos consumidores de terem uma regulamentação específica sobre a privacidade e proteção de dados pessoais.

Chamado “GDPR Lite” por alguns, o California Consumer Privacy Act, ou CCPA, dá aos consumidores californianos o direito de saber quais informações pessoais estão sendo coletadas, como serão usadas e se serão comercializadas, compradas, vendidas ou reutilizadas. Eles também podem exigir que suas informações pessoais sejam excluídas e isentas de venda.

A CCPA não é apenas uma lei estadual. Ela será, a partir de 1º de janeiro de 2020, quando entrará em vigor, um padrão nacional e modelo a ser seguido por países, inclusive o Brasil, que apesar de ter uma Lei de Proteção de Dados, não é capaz de garantir total proteção aos consumidores. Com a CCPA as empresas terão que divulgar aos consumidores da Califórnia quais dados foram coletados, excluí-los se necessário for e parar de vendê-los, se o cliente solicitar. Neste artigo examinaremos os contornos da CCPA para ajudá-lo a entender melhor a aplicabilidade e os requisitos dessa nova lei.

1 – QUAL A EXTENSÃO DO CCPA?

Muitas empresas podem se perguntar, com razão, se a CCPA se aplica a elas, especialmente se elas não tiverem operações na Califórnia. A CCPA não está necessariamente limitado às empresas localizadas fisicamente na Califórnia. A lei terá um impacto nos Estados Unidos e, de fato, no mundo inteiro.

lei-privacidade-de-dados-califórnia

Embora a CCPA seja limitado em sua aplicação aos consumidores da Califórnia, devido ao tamanho da sua economia e do seu número de habitantes, a lei se aplicará efetivamente a qualquer negócio orientado a dados com operações nos Estados Unidos.

2 – NA CCPA O QUE SÃO CONSIDERADAS “INFORMAÇÕES PESSOAIS”?

A definição de “informações pessoais” na CCPA é provavelmente a interpretação mais abrangente do termo na lei de privacidade dos EUA. De acordo com o texto da lei, informações pessoais são quaisquer “informações que identifiquem, relacionem-se com, descrevam, possam ser associadas a, ou possam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular”.

A CCPA observa ainda que, embora os identificadores pessoais tradicionais, como nome, endereço, número do Seguro Social, passaporte e similares, sejam certamente informações pessoais, o mesmo ocorre com outras categorias que podem não ser lembradas imediatamente, incluindo informações da carteira profissional ou de emprego; informações relacionadas a dados de geolocalização e dados biométricos; informações educacionais e informações relacionadas a quaisquer atividades na Internet. Sendo assim, por uma questão prática, se uma empresa coletar informações que possam ser razoavelmente vinculadas a um consumidor individual, é provável que ela esteja coletando informações pessoais de acordo com a CCPA.

3 – NA CCPA, COMO SE PROCEDE A COLETA DE INFORMAÇÕES PESSOAIS?

“Coletar informações pessoais” sob a vigência da CCPA é qualquer ato de “comprar, alugar, colher, obter, receber ou acessar dados pertencentes ao consumidor. Essa coleta pode ser ativa ou passiva, ou seja, feita diretamente do consumidor ou através de terceiros, como por exemplo, através de um compra. Na CCPA se uma empresa estiver coletando informações pessoais diretamente dos consumidores, antes ou no momento dessa coleta, será imposta uma obrigação à  empresa para que informe aos consumidores quais são as categorias de informações que estão sendo coletadas e para quais finalidades essas informações serão (ou poderão ) ser usadas.

4 – A CCPA SE APLICA ÀS EMPRESAS QUE APENAS COLETAM INFORMAÇÕES PESSOAIS, MAS NÃO AS VENDE?  

Sim. Embora existam direitos adicionais do consumidor relacionados à venda de informações pessoais, a CCPA se aplica também àquelas empresas que coletam informações pessoais apenas para fins internos, sem divulgá-las.

5 – QUE NOVOS DIREITOS A CCPA CONCEDE AOS CONSUMIDORES DA CALIFÓRNIA?

A CCPA concede aos consumidores da Califórnia quatro novos direitos: de receber informações sobre práticas de privacidade; de acessar informações; de exigir a exclusão de suas informações pessoais; de proibir a venda de suas informações e o de não estar sujeito a discriminação de preços com base na invocação de qualquer um dos novos direitos especificados acima.

lei-privacidade-de-dados-califórnia

6 – QUAIS SÃO AS NOVAS OBRIGAÇÕES QUE UMA EMPRESA POSSUI EM RELAÇÃO AOS NOVOS DIREITOS DO CONSUMIDOR?

As empresas que se enquadram no âmbito da CCPA têm várias novas obrigações legais:

  • Elas devem tomar certas medidas para ajudar consumidores individuais a exercerem seus direitos sob a CCPA. Isso deve ser conseguido fornecendo um link na página inicial do site da empresa intitulado “Não venda minhas informações pessoais” e uma página de destino separada para tratar desse assunto. Além disso, ela deve atualizar sua política (ou políticas) de privacidade para incluir nela um link separado para a nova página “Não vender minhas informações pessoais”.          Ela também deve fornecer pelo menos dois mecanismos para que os consumidores exerçam seus direitos de CCPA: uma página da web para receber e processar tais solicitações (a CCPA não diz se essa página da web deve ser separada ou se pode ser junta com a página “Não venda minhas informações pessoais”) e um número 0800 gratuito para receber as referidas solicitações;
  • A empresa deve excluir, dentro do prazo de 45 dias, as informações pessoais do consumidor, após o recebimento dessa solicitação;
  • Após o recebimento de uma solicitação do consumidor para obter dados sobre a coleta de suas informações pessoais, a empresa deve fornecer a ele um relatório dentro de 45 dias que inclua as seguintes informações dos 12 meses anteriores:
    (1) categorias de informações pessoais que a empresa coletou sobre o consumidor;
    (2) informações específicas que a empresa possui sobre o consumidor; (3) fontes das quais a empresa recebeu informações pessoais sobre o consumidor; (4) uma declaração corporativa detalhando o motivo comercial (ou motivos) pelo qual a empresa coletou essas informações pessoais sobre o consumidor; e (5) terceiros com quem a empresa compartilhou as informações pessoais do consumidor
  • Após o recebimento de uma solicitação do consumidor para obter dados sobre a venda das suas informações pessoais, a empresa deve fornecer a ele um relatório dentro de 45 dias que inclua as seguintes informações dos 12 meses anteriores:
    (1) informações pessoais que a empresa coletou sobre o consumidor;
    (2) informações pessoais que a empresa vendeu sobre o consumidor;
    (3) terceiros para quem a empresa vendeu as informações pessoais do consumidor; e (4) informações pessoais sobre o consumidor que a empresa divulgou a terceiros para fins comerciais.
  • Por fim, a empresa deve atualizar ainda mais sua(s) política(s) de privacidade, ou a seção específica(s) da(s) política(s) da Califórnia, para: (1) identificar todos os novos direitos concedidos aos consumidores pela CCPA; (2) identificar as informações pessoais que a empresa coletou nos 12 meses anteriores; (3) incluir uma declaração corporativa detalhando o motivo comercial (ou motivos) pelo qual a empresa coletou essas informações pessoais sobre o consumidor; (4) identificar as informações pessoais que a empresa vendeu nos últimos 12 meses ou o motivo pelo qual a empresa não vendeu nenhuma dessas informações pessoais naquele tempo; e analisar terceiros com quem a empresa compartilhou informações pessoais nos 12 meses anteriores.

7 – E OS DADOS DOS FUNCIONÁRIOS COLETADOS PELOS EMPREGADORES PARA FINS INTERNOS DO LOCAL DE TRABALHO?

Conforme redigido atualmente, nada na CCPA cria exceção para os dados de funcionários coletados pelos empregadores. Um “consumidor” é simplesmente definido como uma “pessoa natural residente na Califórnia …”, de modo que a lei presumivelmente trataria os funcionários como qualquer outra pessoa. No entanto, a legislação da Califórnia aprovou recentemente o Projeto de Lei AB-25, que exclui da CCPA as informações coletadas de pessoas e que serão usadas exclusivamente no contexto do emprego. O Projeto de Lei AB-25 também oferece uma exceção para informações de contato de emergência e outras informações relacionadas à administração dos benefícios dos funcionários. O governador assinou esse Projeto de Lei em 15 de outubro de 2019.

lei-privacidade-de-dados-califórnia

Importante salientar que essa exceção não é permanente, pois o Projeto de Lei AB-25 prevê sua aplicação por apenas um ano. Assim, a partir de 1º de janeiro de 2021 o legislador poderá optar por estender a exceção indefinidamente, ou as empresas deverão estar preparadas para cumprir totalmente a CCPA.

Os empregadores da Califórnia, portanto, seriam sensatos em começar a considerar o tipo de dados de funcionários que coletam e se essas informações podem eventualmente ficar sujeitas aos requisitos da CCPA a partir de 1º de janeiro de 2021. É provável que as informações pessoais estejam presentes no pedido de emprego de um funcionário, no histórico de navegação e nas informações relacionadas ao processamento da folha de pagamento, para citar algumas áreas. Ele também inclui dados biométricos, como impressões digitais digitalizadas para fins de manutenção do tempo. Os empregadores que coletam informações biométricas dos funcionários, por exemplo, devem revisar suas políticas biométricas para que a eventual conformidade com a CCPA possa ser alcançada gradualmente durante esse período de carência de um ano.

Os empregadores já estão sendo incentivados a agir com cautela e a entrar em contato com consultores jurídicos experientes para obter mais orientações, caso atendam a qualquer um dos limites acima.

8 – QUAIS SÃO AS MULTAS POR VIOLAÇÃO DA CCPA?

As violações da CCPA são aplicadas pelo escritório do procurador-geral da Califórnia, que pode emitir multas monetárias civis de até US $ 2.500 por violação, ou US $ 7.500 para cada violação intencional. 

9 – EXISTEM EXCEÇÕES À CCPA?

Sim, existem várias exceções. Primeiro, a CCPA se aplica apenas a consumidores e empresas da Califórnia que atendem aos limites identificados acima. Se uma empresa opera ou realiza uma transação totalmente fora da Califórnia, a CCPA não se aplica.

Também existem certas exceções enumeradas para contabilizar as leis federais, de modo que a CCPA é antecipada pela HIPAA, pela Lei Gramm-Leach-Bliley, pela Lei de Relatório de Crédito Justo, que se aplica às informações pessoais vendidas ou compradas de um relatório de crédito. agência e informações sujeitas à Lei de Proteção à Privacidade do Motorista.

10 – QUAIS INFORMAÇÕES PESSOAIS PODEM SER INCLUÍDAS NA CCPA? 

lei-privacidade-de-dados-califórnia

(1) identificadores como nome real, apelido, endereço postal, números da previdência social, carteira de motorista e informações sobre passaporte, etc; (2) identificadores como cookies, beacons, pixel tags, números de telefone, endereços IP, nomes de contas, etc; (3) dados biométricos como rosto, retina, impressões digitais, DNA, gravações de voz, dados de saúde, etc; (4) dados de geolocalização, como histórico de localização por dispositivos; (5) atividade na Internet, como histórico de navegação; (6) informações sensíveis, como características pessoais, comportamento, convicções religiosas ou políticas, preferências sexuais e assim por diante; (6) mesmo os dados que não são por definição informações pessoais podem se enquadrar na categoria, se for possível inferir a criação de perfis que refletem as preferências, características, tendências psicológicas, preferências, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões de um consumidor.

11 – QUAIS OS TRÊS REQUISITOS QUE AS EMPRESAS PRECISAM TER PARA QUE SUAS ATIVIDADES SEJAM CONSIDERADAS NEGÓCIOS SOB AS REGRAS DA CCPA?

  • Ter uma receita bruta anual superior a US $ 25 milhões;
  • Obter 50% ou mais de sua receita anual com a venda de informações pessoais dos consumidores;
  • Comprar, receber, vender ou compartilhar, por ano, as informações pessoais de 50.000 (ou mais) residentes, famílias ou dispositivos da Califórnia;

12 – QUAIS AS OBRIGAÇÕES DAS EMPRESAS PREVISTAS NA CCPA?

  • As empresas devem exibir em seu site um link  com a seguinte frase: “Não vender minhas informações pessoais”, para que os usuários possam usar para desativar a venda de seus dados a terceiros;
  • As empresas devem fornecer um aviso, antes da coleta, informando ao consumidor sobre as categorias de informações pessoais que a empresa coleta e para qual finalidade;
  • As empresas devem responder às solicitações de desativação dentro de 15 dias, interrompendo a venda e notificando todas as partes a quem as informações pessoais foram vendidas nos últimos 90 dias;
  • As empresas devem obter o consentimento de aceitação dos consumidores, com idade entre 13 e 15 anos, antes de vender suas informações pessoais e obter o consentimento de aceitação dos pais ou responsáveis ​​legais sobre consumidores, com idade menor de 13 anos;
  • As empresas devem fornecer gratuitamente aos consumidores os registros de informações pessoais coletadas nos últimos 12 meses (incluindo fontes, finalidades comerciais e categorias de terceiros com os quais foram compartilhadas), se tais consumidores solicitarem a sua divulgação ou a sua exclusão;
  • Após o recebimento da solicitação de divulgação ou exclusão dos dados, as empresas devem responder dentro de 10 dias. Respostas substanciais devem ser dadas ao consumidor dentro de 45 dias, após o recebimento de uma solicitação verificada;
  • As empresas devem disponibilizar duas etapas para uma solicitação de exclusão: uma primeira etapa, na qual o consumidor pode enviar a solicitação e uma etapa posterior, concordando ou não com as informações pessoais a serem excluídas;
  • As empresas devem oferecer apenas incentivos financeiros (por exemplo, preços, taxas e qualidade diferentes) para bens e serviços, se as diferenças estiverem razoavelmente relacionadas ao valor fornecido à empresa pelos dados do consumidor;
  • As empresas devem abster-se de discriminar consumidores, com base na sua escolha de exercer seus direitos.

13 – QUAIS AS PRINCIPAIS DIFERENÇAS ENTRE A LEI DE PRIVACIDADE DA CALIFÓRNIA (CCPA) E A REGULAMENTAÇÃO DE DADOS (GDPR)?

lei-privacidade-de-dados-califórnia

Ao comparar a Lei de Privacidade da Califórnia (CCPA) com a Regulamentação Europeia de Dados (GDPR), fica claro que, embora existam intenções e disposições semelhantes, as duas leis de privacidade de dados são muito diferentes.

  • Enquanto o GDPR europeu protege qualquer pessoa na União Europeia (UE), a CCPA protege apenas os residentes da Califórnia;
  • O GDPR está focado na criação de uma estrutura legal de “privacidade por padrão” para toda a UE, enquanto a CCPA está focada na criação de transparência na enorme economia de dados e direitos da Califórnia para seus consumidores.

14 – CONCLUSÃO

A crescente frequência de escândalos decorrentes da violações de dados e o aumento da indignação dos consumidores, fizeram surgir a necessidade de governos de todo o mundo a tomarem medidas para protegerem seus cidadãos de práticas negligentes de empresas dentro e fora de suas fronteiras. Dentre eles, o governo da Califórnia (EUA) que criou a Lei de Privacidade da Califórnia (CCPA) para estabelecer uma estrutura legal que permite aos seus residentes o direito de reivindicarem das empresas a propriedade de seus dados, incluindo; o direito de proibir a venda de suas informações pessoais a terceiros; o direito de exigir das empresas que divulgue quais informações pessoais foram coletadas nos últimos 12 meses e o direito de exigir a exclusão desses dados. Sem dúvida, um grande avanço no quesito proteção de dados dos consumidores e que servirão de modelo para o mundo. (Gilbert Lorens – Advogado: OAB/BA. 14.396 – Especialista em Relações de Consumo)

NOTA EDITORIAL: O conteúdo editorial desta matéria não foi fornecido ou comissionado por qualquer empresa, assim como, não foram revisadas, aprovadas ou endossadas por elas, antes da publicação. As opiniões, análises, resenhas, declarações ou recomendações expressas neste artigo são de responsabilidade exclusiva do autor.

blog-baner