Arquivos de tags: #eua

A LEI DE PRIVACIDADE DE DADOS DOS CONSUMIDORES DA CALIFÓRNIA (CCPA)

lei-privacidade-de-dados-califórnia

A privacidade digital tornou-se um dos temas comerciais mais discutidos entre governos e associações de defesas dos consumidores, nos últimos anos. Com isso, empresas de todo o mundo passaram a se esforçar, buscando proteger adequadamente as informações pessoais dos seus clientes.

Pela parte do governo, a Califórnia (EUA) torna-se um dos primeiros Estados a fornecer um direito expresso de privacidade de dados em sua constituição e o primeiro a aprovar uma lei de notificação de violação de dados. Por isso, não foi surpreendente quando os legisladores estaduais em junho de 2018 aprovaram a CCPA, a primeira lei de privacidade de dados de consumidores em todo o país. Foi o primeiro sinal de que a legislação dos EUA está alcançando o sentimento público dos consumidores de terem uma regulamentação específica sobre a privacidade e proteção de dados pessoais.

Chamado “GDPR Lite” por alguns, o California Consumer Privacy Act, ou CCPA, dá aos consumidores californianos o direito de saber quais informações pessoais estão sendo coletadas, como serão usadas e se serão comercializadas, compradas, vendidas ou reutilizadas. Eles também podem exigir que suas informações pessoais sejam excluídas e isentas de venda.

A CCPA não é apenas uma lei estadual. Ela será, a partir de 1º de janeiro de 2020, quando entrará em vigor, um padrão nacional e modelo a ser seguido por países, inclusive o Brasil, que apesar de ter uma Lei de Proteção de Dados, não é capaz de garantir total proteção aos consumidores. Com a CCPA as empresas terão que divulgar aos consumidores da Califórnia quais dados foram coletados, excluí-los se necessário for e parar de vendê-los, se o cliente solicitar. Neste artigo examinaremos os contornos da CCPA para ajudá-lo a entender melhor a aplicabilidade e os requisitos dessa nova lei.

1 – QUAL A EXTENSÃO DO CCPA?

Muitas empresas podem se perguntar, com razão, se a CCPA se aplica a elas, especialmente se elas não tiverem operações na Califórnia. A CCPA não está necessariamente limitado às empresas localizadas fisicamente na Califórnia. A lei terá um impacto nos Estados Unidos e, de fato, no mundo inteiro.

lei-privacidade-de-dados-califórnia

Embora a CCPA seja limitado em sua aplicação aos consumidores da Califórnia, devido ao tamanho da sua economia e do seu número de habitantes, a lei se aplicará efetivamente a qualquer negócio orientado a dados com operações nos Estados Unidos.

2 – NA CCPA O QUE SÃO CONSIDERADAS “INFORMAÇÕES PESSOAIS”?

A definição de “informações pessoais” na CCPA é provavelmente a interpretação mais abrangente do termo na lei de privacidade dos EUA. De acordo com o texto da lei, informações pessoais são quaisquer “informações que identifiquem, relacionem-se com, descrevam, possam ser associadas a, ou possam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular”.

A CCPA observa ainda que, embora os identificadores pessoais tradicionais, como nome, endereço, número do Seguro Social, passaporte e similares, sejam certamente informações pessoais, o mesmo ocorre com outras categorias que podem não ser lembradas imediatamente, incluindo informações da carteira profissional ou de emprego; informações relacionadas a dados de geolocalização e dados biométricos; informações educacionais e informações relacionadas a quaisquer atividades na Internet. Sendo assim, por uma questão prática, se uma empresa coletar informações que possam ser razoavelmente vinculadas a um consumidor individual, é provável que ela esteja coletando informações pessoais de acordo com a CCPA.

3 – NA CCPA, COMO SE PROCEDE A COLETA DE INFORMAÇÕES PESSOAIS?

“Coletar informações pessoais” sob a vigência da CCPA é qualquer ato de “comprar, alugar, colher, obter, receber ou acessar dados pertencentes ao consumidor. Essa coleta pode ser ativa ou passiva, ou seja, feita diretamente do consumidor ou através de terceiros, como por exemplo, através de um compra. Na CCPA se uma empresa estiver coletando informações pessoais diretamente dos consumidores, antes ou no momento dessa coleta, será imposta uma obrigação à  empresa para que informe aos consumidores quais são as categorias de informações que estão sendo coletadas e para quais finalidades essas informações serão (ou poderão ) ser usadas.

4 – A CCPA SE APLICA ÀS EMPRESAS QUE APENAS COLETAM INFORMAÇÕES PESSOAIS, MAS NÃO AS VENDE?  

Sim. Embora existam direitos adicionais do consumidor relacionados à venda de informações pessoais, a CCPA se aplica também àquelas empresas que coletam informações pessoais apenas para fins internos, sem divulgá-las.

5 – QUE NOVOS DIREITOS A CCPA CONCEDE AOS CONSUMIDORES DA CALIFÓRNIA?

A CCPA concede aos consumidores da Califórnia quatro novos direitos: de receber informações sobre práticas de privacidade; de acessar informações; de exigir a exclusão de suas informações pessoais; de proibir a venda de suas informações e o de não estar sujeito a discriminação de preços com base na invocação de qualquer um dos novos direitos especificados acima.

lei-privacidade-de-dados-califórnia

6 – QUAIS SÃO AS NOVAS OBRIGAÇÕES QUE UMA EMPRESA POSSUI EM RELAÇÃO AOS NOVOS DIREITOS DO CONSUMIDOR?

As empresas que se enquadram no âmbito da CCPA têm várias novas obrigações legais:

  • Elas devem tomar certas medidas para ajudar consumidores individuais a exercerem seus direitos sob a CCPA. Isso deve ser conseguido fornecendo um link na página inicial do site da empresa intitulado “Não venda minhas informações pessoais” e uma página de destino separada para tratar desse assunto. Além disso, ela deve atualizar sua política (ou políticas) de privacidade para incluir nela um link separado para a nova página “Não vender minhas informações pessoais”.          Ela também deve fornecer pelo menos dois mecanismos para que os consumidores exerçam seus direitos de CCPA: uma página da web para receber e processar tais solicitações (a CCPA não diz se essa página da web deve ser separada ou se pode ser junta com a página “Não venda minhas informações pessoais”) e um número 0800 gratuito para receber as referidas solicitações;
  • A empresa deve excluir, dentro do prazo de 45 dias, as informações pessoais do consumidor, após o recebimento dessa solicitação;
  • Após o recebimento de uma solicitação do consumidor para obter dados sobre a coleta de suas informações pessoais, a empresa deve fornecer a ele um relatório dentro de 45 dias que inclua as seguintes informações dos 12 meses anteriores:
    (1) categorias de informações pessoais que a empresa coletou sobre o consumidor;
    (2) informações específicas que a empresa possui sobre o consumidor; (3) fontes das quais a empresa recebeu informações pessoais sobre o consumidor; (4) uma declaração corporativa detalhando o motivo comercial (ou motivos) pelo qual a empresa coletou essas informações pessoais sobre o consumidor; e (5) terceiros com quem a empresa compartilhou as informações pessoais do consumidor
  • Após o recebimento de uma solicitação do consumidor para obter dados sobre a venda das suas informações pessoais, a empresa deve fornecer a ele um relatório dentro de 45 dias que inclua as seguintes informações dos 12 meses anteriores:
    (1) informações pessoais que a empresa coletou sobre o consumidor;
    (2) informações pessoais que a empresa vendeu sobre o consumidor;
    (3) terceiros para quem a empresa vendeu as informações pessoais do consumidor; e (4) informações pessoais sobre o consumidor que a empresa divulgou a terceiros para fins comerciais.
  • Por fim, a empresa deve atualizar ainda mais sua(s) política(s) de privacidade, ou a seção específica(s) da(s) política(s) da Califórnia, para: (1) identificar todos os novos direitos concedidos aos consumidores pela CCPA; (2) identificar as informações pessoais que a empresa coletou nos 12 meses anteriores; (3) incluir uma declaração corporativa detalhando o motivo comercial (ou motivos) pelo qual a empresa coletou essas informações pessoais sobre o consumidor; (4) identificar as informações pessoais que a empresa vendeu nos últimos 12 meses ou o motivo pelo qual a empresa não vendeu nenhuma dessas informações pessoais naquele tempo; e analisar terceiros com quem a empresa compartilhou informações pessoais nos 12 meses anteriores.

7 – E OS DADOS DOS FUNCIONÁRIOS COLETADOS PELOS EMPREGADORES PARA FINS INTERNOS DO LOCAL DE TRABALHO?

Conforme redigido atualmente, nada na CCPA cria exceção para os dados de funcionários coletados pelos empregadores. Um “consumidor” é simplesmente definido como uma “pessoa natural residente na Califórnia …”, de modo que a lei presumivelmente trataria os funcionários como qualquer outra pessoa. No entanto, a legislação da Califórnia aprovou recentemente o Projeto de Lei AB-25, que exclui da CCPA as informações coletadas de pessoas e que serão usadas exclusivamente no contexto do emprego. O Projeto de Lei AB-25 também oferece uma exceção para informações de contato de emergência e outras informações relacionadas à administração dos benefícios dos funcionários. O governador assinou esse Projeto de Lei em 15 de outubro de 2019.

lei-privacidade-de-dados-califórnia

Importante salientar que essa exceção não é permanente, pois o Projeto de Lei AB-25 prevê sua aplicação por apenas um ano. Assim, a partir de 1º de janeiro de 2021 o legislador poderá optar por estender a exceção indefinidamente, ou as empresas deverão estar preparadas para cumprir totalmente a CCPA.

Os empregadores da Califórnia, portanto, seriam sensatos em começar a considerar o tipo de dados de funcionários que coletam e se essas informações podem eventualmente ficar sujeitas aos requisitos da CCPA a partir de 1º de janeiro de 2021. É provável que as informações pessoais estejam presentes no pedido de emprego de um funcionário, no histórico de navegação e nas informações relacionadas ao processamento da folha de pagamento, para citar algumas áreas. Ele também inclui dados biométricos, como impressões digitais digitalizadas para fins de manutenção do tempo. Os empregadores que coletam informações biométricas dos funcionários, por exemplo, devem revisar suas políticas biométricas para que a eventual conformidade com a CCPA possa ser alcançada gradualmente durante esse período de carência de um ano.

Os empregadores já estão sendo incentivados a agir com cautela e a entrar em contato com consultores jurídicos experientes para obter mais orientações, caso atendam a qualquer um dos limites acima.

8 – QUAIS SÃO AS MULTAS POR VIOLAÇÃO DA CCPA?

As violações da CCPA são aplicadas pelo escritório do procurador-geral da Califórnia, que pode emitir multas monetárias civis de até US $ 2.500 por violação, ou US $ 7.500 para cada violação intencional. 

9 – EXISTEM EXCEÇÕES À CCPA?

Sim, existem várias exceções. Primeiro, a CCPA se aplica apenas a consumidores e empresas da Califórnia que atendem aos limites identificados acima. Se uma empresa opera ou realiza uma transação totalmente fora da Califórnia, a CCPA não se aplica.

Também existem certas exceções enumeradas para contabilizar as leis federais, de modo que a CCPA é antecipada pela HIPAA, pela Lei Gramm-Leach-Bliley, pela Lei de Relatório de Crédito Justo, que se aplica às informações pessoais vendidas ou compradas de um relatório de crédito. agência e informações sujeitas à Lei de Proteção à Privacidade do Motorista.

10 – QUAIS INFORMAÇÕES PESSOAIS PODEM SER INCLUÍDAS NA CCPA? 

lei-privacidade-de-dados-califórnia

(1) identificadores como nome real, apelido, endereço postal, números da previdência social, carteira de motorista e informações sobre passaporte, etc; (2) identificadores como cookies, beacons, pixel tags, números de telefone, endereços IP, nomes de contas, etc; (3) dados biométricos como rosto, retina, impressões digitais, DNA, gravações de voz, dados de saúde, etc; (4) dados de geolocalização, como histórico de localização por dispositivos; (5) atividade na Internet, como histórico de navegação; (6) informações sensíveis, como características pessoais, comportamento, convicções religiosas ou políticas, preferências sexuais e assim por diante; (6) mesmo os dados que não são por definição informações pessoais podem se enquadrar na categoria, se for possível inferir a criação de perfis que refletem as preferências, características, tendências psicológicas, preferências, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões de um consumidor.

11 – QUAIS OS TRÊS REQUISITOS QUE AS EMPRESAS PRECISAM TER PARA QUE SUAS ATIVIDADES SEJAM CONSIDERADAS NEGÓCIOS SOB AS REGRAS DA CCPA?

  • Ter uma receita bruta anual superior a US $ 25 milhões;
  • Obter 50% ou mais de sua receita anual com a venda de informações pessoais dos consumidores;
  • Comprar, receber, vender ou compartilhar, por ano, as informações pessoais de 50.000 (ou mais) residentes, famílias ou dispositivos da Califórnia;

12 – QUAIS AS OBRIGAÇÕES DAS EMPRESAS PREVISTAS NA CCPA?

  • As empresas devem exibir em seu site um link  com a seguinte frase: “Não vender minhas informações pessoais”, para que os usuários possam usar para desativar a venda de seus dados a terceiros;
  • As empresas devem fornecer um aviso, antes da coleta, informando ao consumidor sobre as categorias de informações pessoais que a empresa coleta e para qual finalidade;
  • As empresas devem responder às solicitações de desativação dentro de 15 dias, interrompendo a venda e notificando todas as partes a quem as informações pessoais foram vendidas nos últimos 90 dias;
  • As empresas devem obter o consentimento de aceitação dos consumidores, com idade entre 13 e 15 anos, antes de vender suas informações pessoais e obter o consentimento de aceitação dos pais ou responsáveis ​​legais sobre consumidores, com idade menor de 13 anos;
  • As empresas devem fornecer gratuitamente aos consumidores os registros de informações pessoais coletadas nos últimos 12 meses (incluindo fontes, finalidades comerciais e categorias de terceiros com os quais foram compartilhadas), se tais consumidores solicitarem a sua divulgação ou a sua exclusão;
  • Após o recebimento da solicitação de divulgação ou exclusão dos dados, as empresas devem responder dentro de 10 dias. Respostas substanciais devem ser dadas ao consumidor dentro de 45 dias, após o recebimento de uma solicitação verificada;
  • As empresas devem disponibilizar duas etapas para uma solicitação de exclusão: uma primeira etapa, na qual o consumidor pode enviar a solicitação e uma etapa posterior, concordando ou não com as informações pessoais a serem excluídas;
  • As empresas devem oferecer apenas incentivos financeiros (por exemplo, preços, taxas e qualidade diferentes) para bens e serviços, se as diferenças estiverem razoavelmente relacionadas ao valor fornecido à empresa pelos dados do consumidor;
  • As empresas devem abster-se de discriminar consumidores, com base na sua escolha de exercer seus direitos.

13 – QUAIS AS PRINCIPAIS DIFERENÇAS ENTRE A LEI DE PRIVACIDADE DA CALIFÓRNIA (CCPA) E A REGULAMENTAÇÃO DE DADOS (GDPR)?

lei-privacidade-de-dados-califórnia

Ao comparar a Lei de Privacidade da Califórnia (CCPA) com a Regulamentação Europeia de Dados (GDPR), fica claro que, embora existam intenções e disposições semelhantes, as duas leis de privacidade de dados são muito diferentes.

  • Enquanto o GDPR europeu protege qualquer pessoa na União Europeia (UE), a CCPA protege apenas os residentes da Califórnia;
  • O GDPR está focado na criação de uma estrutura legal de “privacidade por padrão” para toda a UE, enquanto a CCPA está focada na criação de transparência na enorme economia de dados e direitos da Califórnia para seus consumidores.

14 – CONCLUSÃO

A crescente frequência de escândalos decorrentes da violações de dados e o aumento da indignação dos consumidores, fizeram surgir a necessidade de governos de todo o mundo a tomarem medidas para protegerem seus cidadãos de práticas negligentes de empresas dentro e fora de suas fronteiras. Dentre eles, o governo da Califórnia (EUA) que criou a Lei de Privacidade da Califórnia (CCPA) para estabelecer uma estrutura legal que permite aos seus residentes o direito de reivindicarem das empresas a propriedade de seus dados, incluindo; o direito de proibir a venda de suas informações pessoais a terceiros; o direito de exigir das empresas que divulgue quais informações pessoais foram coletadas nos últimos 12 meses e o direito de exigir a exclusão desses dados. Sem dúvida, um grande avanço no quesito proteção de dados dos consumidores e que servirão de modelo para o mundo. (Gilbert Lorens – Advogado: OAB/BA. 14.396 – Especialista em Relações de Consumo)

NOTA EDITORIAL: O conteúdo editorial desta matéria não foi fornecido ou comissionado por qualquer empresa, assim como, não foram revisadas, aprovadas ou endossadas por elas, antes da publicação. As opiniões, análises, resenhas, declarações ou recomendações expressas neste artigo são de responsabilidade exclusiva do autor.

blog-baner