GDPR E CCPA – LEIS DE PRIVACIDADE DE DADOS DE CONSUMIDORES

gdpr-ccpa

Em 1º de janeiro de 2020, a Lei de Privacidade do Consumidor da Califórnia (CCPA) entrará em vigor, dando aos californianos novos direitos de autonomia sobre os dados que geram todos os dias. A CCPA será a primeira grande legislação de privacidade dos EUA a ser aplicada após o Regulamento Geral Europeu de Proteção de Dados (GDPR), que entrou em vigor na União Europeia em maio de 2018. O impacto do GDPR foi global e espera-se que o impacto da CCPA também seja, considerando que a Califórnia é a quinta maior economia do mundo. Neste artigo faremos uma avaliação da CCPA e do GDPR, a fim de identificarmos  as suas principais diferenças.

1 – CCPA X GDPR 

A California Consumer Privacy Act, ou CCPA, como é mais conhecida, será a primeira grande legislação estadual sobre privacidade a entrar em vigor em 1º de janeiro de 2020 nos EUA, depois que o GDPR europeu reformulou a aparência da lei de privacidade de dados em 25 de maio de 2018.

A CCPA mudará a maneira como os californianos lidam com seus próprios dados, conferindo a eles novos direitos de solicitar às empresas que não divulguem ou excluam os dados que já coletaram.

gdpr-ccpa

Ela também cria novas obrigações para entidades comerciais que fazem negócios na Califórnia. Além disso, as disposições da CCPA exigem que as empresas forneçam aos consumidores informações sobre os dados coletados, processados ​​e vendidos nos últimos doze meses.

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei da União Europeia que entrou em vigor em maio de 2018 e é uniforme em todos os vinte e oito Estados membros. Ele controla sites, empresas e organizações que lidam com dados pessoais, como nomes, endereços de email, dados de localização, histórico do navegador e muitas outras coisas.

gdpr-ccpa

Por exemplo, se um site tem visitantes da UE e ele (site) ou terceiros incorporados (como Google ou Facebook) processam qualquer tipo de dados pessoais, o GDPR determinará que primeiro o site deverá obter o consentimento prévio do usuário. Para que esse consentimento seja válido, o referido site deve se basear em informações claras sobre a finalidade, extensão e duração do seu processamento de dados. 

Isso se aplica a qualquer site, independente do local onde esteja localizado ou sendo operado, desde que tenha visitantes da União Europeia. Por exemplo, um site na Califórnia que tenha visitantes da UE está obrigado a cumprir os requisitos do GDPR para processamento de dados pessoais. Se uma pessoa mora nos EUA (ou em qualquer outro lugar do mundo) e oferece serviços através de um site, processando dados da União Europeia, poderá experimentar o Cookiebot, a plataforma de gerenciamento de consentimento (que é gratuita) para garantir a conformidade com o GDPR em seu site.

O GDPR está focado na criação de uma estrutura legal de “privacidade por padrão” para toda a União Europeia (UE), enquanto a CCPA trata da criação de transparência na enorme economia de dados da Califórnia e nos direitos de seus consumidores.

Enquanto o GDPR cria uma porta para o usuário da UE trancar, antes de qualquer processamento de dados, a CCPA cria uma janela para o consumidor californiano abrir, a fim de descobrir quais dados já foram obtidos por uma empresa ou vendidos a terceiros.

O GDPR exige que sites, empresas e negócios tenham uma base legal para o processamento de dados pessoais na UE (sob a qual a primeira base legal é consentida); já a CCPA não possui nenhuma estrutura como tal. De fato, de acordo com os regulamentos da CCPA, as empresas não precisam de consentimento prévio de um usuário, antes de processar seus dados, como também nenhum site precisa de consentimento prévio de um usuário, antes de vender seus dados a terceiros.

gdpr-ccpa

A CCPA define informações pessoais como “informações que identificam, se relacionam com, descrevem, são capazes de ser associadas a, ou poderiam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular”. Já o GDPR define dados pessoais como “qualquer informação relacionada a uma pessoa física identificada ou identificável (titular dos dados), direta ou indiretamente, em particular por referência a um identificador”.

A grande diferença nas definições entre a CCPA e o GDPR é que a definição do CCPA é extra-pessoal, o que significa que inclui dados que não são específicos para um indivíduo, mas são categorizados como dados domésticos, enquanto o GDPR permanece exclusivamente individual.

Ao contrário da CCPA, o GDPR cria uma categoria especial de dados chamada “dados pessoais sensíveis”, que proíbe o processamento, a menos que um dos requisitos específicos seja atendido.

gdpr-ccpa

O GDPR possui seis bases legais para o processamento de dados pessoais na UE, enquanto a CCPA não possui nenhuma base legal para o processamento de informações pessoais na Califórnia. Isso significa que as empresas podem processar dados dos californianos como desejarem, a menos que os consumidores exerçam seu direito de optar por não vender seus dados. Isso fica evidente no regulamento da CCPA, que exige das empresas a instalação nos sites  de um botão ou um link para os consumidores clicarem, contendo a seguinte observação “Não vender minhas informações pessoais”. Portanto, para que uma empresa se enquadre na definição de empresa da CCPA e esteja em conformidade com a lei, ela deve ter esse botão ou link. 

O GDPR protege os titulares dos dados, definidos como “uma pessoa física identificada ou identificável”, enquanto a CCPA concede certos direitos aos consumidores, definidos como “uma pessoa natural que é residente na Califórnia”.

Um titular de dados, de acordo com o GDPR, pode ser qualquer pessoa e não apenas residentes ou cidadãos da União Europeia, ao contrário de um consumidor definido na CCPA como um indivíduo “que está no Estado para outro fim que não seja temporário ou transitório” ou um indivíduo “domiciliado no Estado que esteja fora do Estado para fins temporários ou transitórios”. Neste caso, o GDPR protege os titulares dos dados (não cidadãos ou residentes), ao contrário da CCPA.

Neste sentido, se um turista americano estiver viajando pela UE e seus dados forem processados ​​enquanto estiver lá, os respectivos serão protegidos pelo GDPR. As empresas que processarem os dados deste turista, mesmo se instaladas nos EUA, terão que cumprir as regras da GDPR, desde que ofereçam serviços a titulares de dados na UE. Por outras palavras, o titular dos dados é qualquer pessoa singular que tenha dados processados ​​na UE por empresas que oferecem serviços e/ou produtos à União.

Tanto a CCPA quanto o GDPR têm escopo extraterritorial. A CCPA se aplica a empresas que se enquadram na sua definição de empresa, independentemente da empresa estar localizada na Califórnia. Dessa forma, uma empresa sediada na Europa que se enquadre na definição de empresa na CCPA (por exemplo, transações com dados de mais de 50.000 californianos anualmente), será obrigada a cumprir as regras da CCPA.

Da mesma forma, o RGPD se aplica a todos os sites, empresas e organizações (controladores de dados) do mundo, se eles oferecem bens ou serviços a indivíduos na União Europeia.

gdpr-ccpa

A diferença de escopo é, no entanto, que o GDPR protege qualquer indivíduo (titular dos dados) que esteja na União Europeia no momento da coleta ou processamento, onde a CCPA protege apenas os indivíduos que se enquadram na sua definição de consumidor como sendo um residente da Califórnia.

A CCPA controla as condições para as empresas e suas atividades de processamento de dados e as define com um conjunto de classificações restritas.

Uma empresa, de acordo com a CCPA, é uma entidade com fins lucrativos que coleta informações pessoais dos consumidores; que determina a finalidade e os meios de processamento; que faz negócios na Califórnia e atende a pelo menos um dos seguintes limites:

  • Que tenha receita anual, superior a US $ 25 milhões;
  • Que processa as informações pessoais de pelo menos cinquenta mil californianos por ano;
  • Que deriva cinquenta por cento ou mais de sua receita anual com a venda de informações pessoais.

Obviamente, isso exclui inúmeras empresas, organizações e sites, que processam dados pessoais dos californianos todos os dias, e que poderá continuar fazendo isso após a data efetiva da CCPA. Os requisitos do GDPR, por outro lado, aplicam-se aos controladores de dados, definidos como qualquer tipo de entidade com atividades de processamento de dados.

O GDPR não estabelece restrições quanto ao tamanho, com ou sem fins lucrativos, públicos ou privados, dentro ou fora da União Europeia. Um controlador de dados, de acordo com o GDPR, é simplesmente qualquer entidade que coleta e/ou processa dados na UE. Isso inclui qualquer empresa, negócio, organização; e por último, mas não menos importante, qualquer site, independentemente do tamanho, forma e finalidade. Ao contrário da CCPA, se alguém processar qualquer dado, estará automaticamente ligado ao GDPR.

Isso ressalta uma grande diferença entre o CCPA e o GDPR: a saber, que este último tem um escopo muito mais amplo sobre quem e a que se aplica, uma vez que não discrimina com base, por exemplo, na quantidade de dinheiro que uma empresa ou organização ganha por ano. Ou seja, resumindo, o GDPR simplesmente protege mais pessoas das práticas de processamento de dados do que a CCPA.

Quando se trata de aplicação da penalidade “multa monetária”, as duas leis de privacidade de dados (GDPR e CCPA) são de tipo semelhante, mas diferentes em seu escopo, como foi anteriormente esclarecido.

No GDPR as multas são emitidas pelas autoridades nacionais de proteção de dados nos estados membros da UE. Isso pode atingir até 4% do faturamento anual global de uma empresa ou 20 milhões de euros, o que for mais alto. Até o momento a multa monetária mais alta aplicada foi de US $ 50 milhões pela autoridade francesa de proteção de dados CNIL. Geralmente, essas multas são estipuladas considerando a sua gravidade e duração da infração. 

gdpr-ccpa

Já na CCPA as multas monetárias são aplicadas pelo Procurador Geral da Califórnia (este também avalia as violações), embora sejam muito menores do que as emitidas por não conformidade com o GDPR. Elas têm um limite máximo de US $ 2.500 por violação, com violações internacionais de até US $ 7.500.

Na UE, de acordo com o GDPR, são as autoridades nacionais de proteção de dados que têm a tarefa de promover a conscientização e oferecer orientações às empresas, organizações e sites sobre como eles podem ser compatíveis com o GDPR.

As autoridades de proteção de dados da UE também têm poderes de investigação, o que significa que podem realizar auditorias nas empresas suspeitas de estarem em desacordo com o RGPD. Eles podem emitir avisos e ordenar que os controladores de dados obedeçam ao GDPR, bem como impor proibições de processamento, emitir multas administrativas e apagar dados obtidos de forma indevida.

A CCPA, por outro lado, tem possibilidades de supervisão muito mais restritas, cabendo exclusivamente ao Procurador Geral a iniciativa das investigações. A previsão, é que no mais tardar em julho de 2020, o Procurador-Geral já tenha criado regulamentos para as áreas específicas da CCPA que tratam de sua aplicação e supervisão.

2 – CONCLUSÃO

O GDPR é uma lei de privacidade maior e mais ampla, que forma uma estrutura de proteção de dados sob a União Europeia, onde a privacidade é o padrão, com base no consentimento prévio dos usuários. Ele confere aos indivíduos da UE direitos de acesso, de exclusão, de informações e de retirar o consentimento. A CCPA, em comparação a ele, é uma lei setorial menor e mais específica que cria direitos para os residentes da Califórnia, como o de decidir sobre quais dados as empresas (que atendem à definição da CCPA) podem ter acesso. Enfim, as duas leis são diferentes em um nível fundamental e criam duas estruturas legais muito diferentes para privacidade e autonomia de dados na Europa e na Califórnia. (Gilbert Lorens – Advogado: OAB/BA. 14.396 – Especialista em Relações de Consumo)

NOTA EDITORIAL: O conteúdo editorial desta matéria não foi fornecido ou comissionado por qualquer empresa, assim como, não foram revisadas, aprovadas ou endossadas por elas, antes da publicação. As opiniões, análises, resenhas, declarações ou recomendações expressas neste artigo são de responsabilidade exclusiva do autor.

blog-baner

A LEI DE PRIVACIDADE DE DADOS DOS CONSUMIDORES DA CALIFÓRNIA (CCPA)

lei-privacidade-de-dados-califórnia

A privacidade digital tornou-se um dos temas comerciais mais discutidos entre governos e associações de defesas dos consumidores, nos últimos anos. Com isso, empresas de todo o mundo passaram a se esforçar, buscando proteger adequadamente as informações pessoais dos seus clientes.

Pela parte do governo, a Califórnia (EUA) torna-se um dos primeiros Estados a fornecer um direito expresso de privacidade de dados em sua constituição e o primeiro a aprovar uma lei de notificação de violação de dados. Por isso, não foi surpreendente quando os legisladores estaduais em junho de 2018 aprovaram a CCPA, a primeira lei de privacidade de dados de consumidores em todo o país. Foi o primeiro sinal de que a legislação dos EUA está alcançando o sentimento público dos consumidores de terem uma regulamentação específica sobre a privacidade e proteção de dados pessoais.

Chamado “GDPR Lite” por alguns, o California Consumer Privacy Act, ou CCPA, dá aos consumidores californianos o direito de saber quais informações pessoais estão sendo coletadas, como serão usadas e se serão comercializadas, compradas, vendidas ou reutilizadas. Eles também podem exigir que suas informações pessoais sejam excluídas e isentas de venda.

A CCPA não é apenas uma lei estadual. Ela será, a partir de 1º de janeiro de 2020, quando entrará em vigor, um padrão nacional e modelo a ser seguido por países, inclusive o Brasil, que apesar de ter uma Lei de Proteção de Dados, não é capaz de garantir total proteção aos consumidores. Com a CCPA as empresas terão que divulgar aos consumidores da Califórnia quais dados foram coletados, excluí-los se necessário for e parar de vendê-los, se o cliente solicitar. Neste artigo examinaremos os contornos da CCPA para ajudá-lo a entender melhor a aplicabilidade e os requisitos dessa nova lei.

1 – QUAL A EXTENSÃO DO CCPA?

Muitas empresas podem se perguntar, com razão, se a CCPA se aplica a elas, especialmente se elas não tiverem operações na Califórnia. A CCPA não está necessariamente limitado às empresas localizadas fisicamente na Califórnia. A lei terá um impacto nos Estados Unidos e, de fato, no mundo inteiro.

lei-privacidade-de-dados-califórnia

Embora a CCPA seja limitado em sua aplicação aos consumidores da Califórnia, devido ao tamanho da sua economia e do seu número de habitantes, a lei se aplicará efetivamente a qualquer negócio orientado a dados com operações nos Estados Unidos.

2 – NA CCPA O QUE SÃO CONSIDERADAS “INFORMAÇÕES PESSOAIS”?

A definição de “informações pessoais” na CCPA é provavelmente a interpretação mais abrangente do termo na lei de privacidade dos EUA. De acordo com o texto da lei, informações pessoais são quaisquer “informações que identifiquem, relacionem-se com, descrevam, possam ser associadas a, ou possam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular”.

A CCPA observa ainda que, embora os identificadores pessoais tradicionais, como nome, endereço, número do Seguro Social, passaporte e similares, sejam certamente informações pessoais, o mesmo ocorre com outras categorias que podem não ser lembradas imediatamente, incluindo informações da carteira profissional ou de emprego; informações relacionadas a dados de geolocalização e dados biométricos; informações educacionais e informações relacionadas a quaisquer atividades na Internet. Sendo assim, por uma questão prática, se uma empresa coletar informações que possam ser razoavelmente vinculadas a um consumidor individual, é provável que ela esteja coletando informações pessoais de acordo com a CCPA.

3 – NA CCPA, COMO SE PROCEDE A COLETA DE INFORMAÇÕES PESSOAIS?

“Coletar informações pessoais” sob a vigência da CCPA é qualquer ato de “comprar, alugar, colher, obter, receber ou acessar dados pertencentes ao consumidor. Essa coleta pode ser ativa ou passiva, ou seja, feita diretamente do consumidor ou através de terceiros, como por exemplo, através de um compra. Na CCPA se uma empresa estiver coletando informações pessoais diretamente dos consumidores, antes ou no momento dessa coleta, será imposta uma obrigação à  empresa para que informe aos consumidores quais são as categorias de informações que estão sendo coletadas e para quais finalidades essas informações serão (ou poderão ) ser usadas.

4 – A CCPA SE APLICA ÀS EMPRESAS QUE APENAS COLETAM INFORMAÇÕES PESSOAIS, MAS NÃO AS VENDE?  

Sim. Embora existam direitos adicionais do consumidor relacionados à venda de informações pessoais, a CCPA se aplica também àquelas empresas que coletam informações pessoais apenas para fins internos, sem divulgá-las.

5 – QUE NOVOS DIREITOS A CCPA CONCEDE AOS CONSUMIDORES DA CALIFÓRNIA?

A CCPA concede aos consumidores da Califórnia quatro novos direitos: de receber informações sobre práticas de privacidade; de acessar informações; de exigir a exclusão de suas informações pessoais; de proibir a venda de suas informações e o de não estar sujeito a discriminação de preços com base na invocação de qualquer um dos novos direitos especificados acima.

lei-privacidade-de-dados-califórnia

6 – QUAIS SÃO AS NOVAS OBRIGAÇÕES QUE UMA EMPRESA POSSUI EM RELAÇÃO AOS NOVOS DIREITOS DO CONSUMIDOR?

As empresas que se enquadram no âmbito da CCPA têm várias novas obrigações legais:

  • Elas devem tomar certas medidas para ajudar consumidores individuais a exercerem seus direitos sob a CCPA. Isso deve ser conseguido fornecendo um link na página inicial do site da empresa intitulado “Não venda minhas informações pessoais” e uma página de destino separada para tratar desse assunto. Além disso, ela deve atualizar sua política (ou políticas) de privacidade para incluir nela um link separado para a nova página “Não vender minhas informações pessoais”.          Ela também deve fornecer pelo menos dois mecanismos para que os consumidores exerçam seus direitos de CCPA: uma página da web para receber e processar tais solicitações (a CCPA não diz se essa página da web deve ser separada ou se pode ser junta com a página “Não venda minhas informações pessoais”) e um número 0800 gratuito para receber as referidas solicitações;
  • A empresa deve excluir, dentro do prazo de 45 dias, as informações pessoais do consumidor, após o recebimento dessa solicitação;
  • Após o recebimento de uma solicitação do consumidor para obter dados sobre a coleta de suas informações pessoais, a empresa deve fornecer a ele um relatório dentro de 45 dias que inclua as seguintes informações dos 12 meses anteriores:
    (1) categorias de informações pessoais que a empresa coletou sobre o consumidor;
    (2) informações específicas que a empresa possui sobre o consumidor; (3) fontes das quais a empresa recebeu informações pessoais sobre o consumidor; (4) uma declaração corporativa detalhando o motivo comercial (ou motivos) pelo qual a empresa coletou essas informações pessoais sobre o consumidor; e (5) terceiros com quem a empresa compartilhou as informações pessoais do consumidor
  • Após o recebimento de uma solicitação do consumidor para obter dados sobre a venda das suas informações pessoais, a empresa deve fornecer a ele um relatório dentro de 45 dias que inclua as seguintes informações dos 12 meses anteriores:
    (1) informações pessoais que a empresa coletou sobre o consumidor;
    (2) informações pessoais que a empresa vendeu sobre o consumidor;
    (3) terceiros para quem a empresa vendeu as informações pessoais do consumidor; e (4) informações pessoais sobre o consumidor que a empresa divulgou a terceiros para fins comerciais.
  • Por fim, a empresa deve atualizar ainda mais sua(s) política(s) de privacidade, ou a seção específica(s) da(s) política(s) da Califórnia, para: (1) identificar todos os novos direitos concedidos aos consumidores pela CCPA; (2) identificar as informações pessoais que a empresa coletou nos 12 meses anteriores; (3) incluir uma declaração corporativa detalhando o motivo comercial (ou motivos) pelo qual a empresa coletou essas informações pessoais sobre o consumidor; (4) identificar as informações pessoais que a empresa vendeu nos últimos 12 meses ou o motivo pelo qual a empresa não vendeu nenhuma dessas informações pessoais naquele tempo; e analisar terceiros com quem a empresa compartilhou informações pessoais nos 12 meses anteriores.

7 – E OS DADOS DOS FUNCIONÁRIOS COLETADOS PELOS EMPREGADORES PARA FINS INTERNOS DO LOCAL DE TRABALHO?

Conforme redigido atualmente, nada na CCPA cria exceção para os dados de funcionários coletados pelos empregadores. Um “consumidor” é simplesmente definido como uma “pessoa natural residente na Califórnia …”, de modo que a lei presumivelmente trataria os funcionários como qualquer outra pessoa. No entanto, a legislação da Califórnia aprovou recentemente o Projeto de Lei AB-25, que exclui da CCPA as informações coletadas de pessoas e que serão usadas exclusivamente no contexto do emprego. O Projeto de Lei AB-25 também oferece uma exceção para informações de contato de emergência e outras informações relacionadas à administração dos benefícios dos funcionários. O governador assinou esse Projeto de Lei em 15 de outubro de 2019.

lei-privacidade-de-dados-califórnia

Importante salientar que essa exceção não é permanente, pois o Projeto de Lei AB-25 prevê sua aplicação por apenas um ano. Assim, a partir de 1º de janeiro de 2021 o legislador poderá optar por estender a exceção indefinidamente, ou as empresas deverão estar preparadas para cumprir totalmente a CCPA.

Os empregadores da Califórnia, portanto, seriam sensatos em começar a considerar o tipo de dados de funcionários que coletam e se essas informações podem eventualmente ficar sujeitas aos requisitos da CCPA a partir de 1º de janeiro de 2021. É provável que as informações pessoais estejam presentes no pedido de emprego de um funcionário, no histórico de navegação e nas informações relacionadas ao processamento da folha de pagamento, para citar algumas áreas. Ele também inclui dados biométricos, como impressões digitais digitalizadas para fins de manutenção do tempo. Os empregadores que coletam informações biométricas dos funcionários, por exemplo, devem revisar suas políticas biométricas para que a eventual conformidade com a CCPA possa ser alcançada gradualmente durante esse período de carência de um ano.

Os empregadores já estão sendo incentivados a agir com cautela e a entrar em contato com consultores jurídicos experientes para obter mais orientações, caso atendam a qualquer um dos limites acima.

8 – QUAIS SÃO AS MULTAS POR VIOLAÇÃO DA CCPA?

As violações da CCPA são aplicadas pelo escritório do procurador-geral da Califórnia, que pode emitir multas monetárias civis de até US $ 2.500 por violação, ou US $ 7.500 para cada violação intencional. 

9 – EXISTEM EXCEÇÕES À CCPA?

Sim, existem várias exceções. Primeiro, a CCPA se aplica apenas a consumidores e empresas da Califórnia que atendem aos limites identificados acima. Se uma empresa opera ou realiza uma transação totalmente fora da Califórnia, a CCPA não se aplica.

Também existem certas exceções enumeradas para contabilizar as leis federais, de modo que a CCPA é antecipada pela HIPAA, pela Lei Gramm-Leach-Bliley, pela Lei de Relatório de Crédito Justo, que se aplica às informações pessoais vendidas ou compradas de um relatório de crédito. agência e informações sujeitas à Lei de Proteção à Privacidade do Motorista.

10 – QUAIS INFORMAÇÕES PESSOAIS PODEM SER INCLUÍDAS NA CCPA? 

lei-privacidade-de-dados-califórnia

(1) identificadores como nome real, apelido, endereço postal, números da previdência social, carteira de motorista e informações sobre passaporte, etc; (2) identificadores como cookies, beacons, pixel tags, números de telefone, endereços IP, nomes de contas, etc; (3) dados biométricos como rosto, retina, impressões digitais, DNA, gravações de voz, dados de saúde, etc; (4) dados de geolocalização, como histórico de localização por dispositivos; (5) atividade na Internet, como histórico de navegação; (6) informações sensíveis, como características pessoais, comportamento, convicções religiosas ou políticas, preferências sexuais e assim por diante; (6) mesmo os dados que não são por definição informações pessoais podem se enquadrar na categoria, se for possível inferir a criação de perfis que refletem as preferências, características, tendências psicológicas, preferências, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões de um consumidor.

11 – QUAIS OS TRÊS REQUISITOS QUE AS EMPRESAS PRECISAM TER PARA QUE SUAS ATIVIDADES SEJAM CONSIDERADAS NEGÓCIOS SOB AS REGRAS DA CCPA?

  • Ter uma receita bruta anual superior a US $ 25 milhões;
  • Obter 50% ou mais de sua receita anual com a venda de informações pessoais dos consumidores;
  • Comprar, receber, vender ou compartilhar, por ano, as informações pessoais de 50.000 (ou mais) residentes, famílias ou dispositivos da Califórnia;

12 – QUAIS AS OBRIGAÇÕES DAS EMPRESAS PREVISTAS NA CCPA?

  • As empresas devem exibir em seu site um link  com a seguinte frase: “Não vender minhas informações pessoais”, para que os usuários possam usar para desativar a venda de seus dados a terceiros;
  • As empresas devem fornecer um aviso, antes da coleta, informando ao consumidor sobre as categorias de informações pessoais que a empresa coleta e para qual finalidade;
  • As empresas devem responder às solicitações de desativação dentro de 15 dias, interrompendo a venda e notificando todas as partes a quem as informações pessoais foram vendidas nos últimos 90 dias;
  • As empresas devem obter o consentimento de aceitação dos consumidores, com idade entre 13 e 15 anos, antes de vender suas informações pessoais e obter o consentimento de aceitação dos pais ou responsáveis ​​legais sobre consumidores, com idade menor de 13 anos;
  • As empresas devem fornecer gratuitamente aos consumidores os registros de informações pessoais coletadas nos últimos 12 meses (incluindo fontes, finalidades comerciais e categorias de terceiros com os quais foram compartilhadas), se tais consumidores solicitarem a sua divulgação ou a sua exclusão;
  • Após o recebimento da solicitação de divulgação ou exclusão dos dados, as empresas devem responder dentro de 10 dias. Respostas substanciais devem ser dadas ao consumidor dentro de 45 dias, após o recebimento de uma solicitação verificada;
  • As empresas devem disponibilizar duas etapas para uma solicitação de exclusão: uma primeira etapa, na qual o consumidor pode enviar a solicitação e uma etapa posterior, concordando ou não com as informações pessoais a serem excluídas;
  • As empresas devem oferecer apenas incentivos financeiros (por exemplo, preços, taxas e qualidade diferentes) para bens e serviços, se as diferenças estiverem razoavelmente relacionadas ao valor fornecido à empresa pelos dados do consumidor;
  • As empresas devem abster-se de discriminar consumidores, com base na sua escolha de exercer seus direitos.

13 – QUAIS AS PRINCIPAIS DIFERENÇAS ENTRE A LEI DE PRIVACIDADE DA CALIFÓRNIA (CCPA) E A REGULAMENTAÇÃO DE DADOS (GDPR)?

lei-privacidade-de-dados-califórnia

Ao comparar a Lei de Privacidade da Califórnia (CCPA) com a Regulamentação Europeia de Dados (GDPR), fica claro que, embora existam intenções e disposições semelhantes, as duas leis de privacidade de dados são muito diferentes.

  • Enquanto o GDPR europeu protege qualquer pessoa na União Europeia (UE), a CCPA protege apenas os residentes da Califórnia;
  • O GDPR está focado na criação de uma estrutura legal de “privacidade por padrão” para toda a UE, enquanto a CCPA está focada na criação de transparência na enorme economia de dados e direitos da Califórnia para seus consumidores.

14 – CONCLUSÃO

A crescente frequência de escândalos decorrentes da violações de dados e o aumento da indignação dos consumidores, fizeram surgir a necessidade de governos de todo o mundo a tomarem medidas para protegerem seus cidadãos de práticas negligentes de empresas dentro e fora de suas fronteiras. Dentre eles, o governo da Califórnia (EUA) que criou a Lei de Privacidade da Califórnia (CCPA) para estabelecer uma estrutura legal que permite aos seus residentes o direito de reivindicarem das empresas a propriedade de seus dados, incluindo; o direito de proibir a venda de suas informações pessoais a terceiros; o direito de exigir das empresas que divulgue quais informações pessoais foram coletadas nos últimos 12 meses e o direito de exigir a exclusão desses dados. Sem dúvida, um grande avanço no quesito proteção de dados dos consumidores e que servirão de modelo para o mundo. (Gilbert Lorens – Advogado: OAB/BA. 14.396 – Especialista em Relações de Consumo)

NOTA EDITORIAL: O conteúdo editorial desta matéria não foi fornecido ou comissionado por qualquer empresa, assim como, não foram revisadas, aprovadas ou endossadas por elas, antes da publicação. As opiniões, análises, resenhas, declarações ou recomendações expressas neste artigo são de responsabilidade exclusiva do autor.

blog-baner

CONSUMIDORES IGNORAM OS TERMOS DE USO E POLÍTICA DE PRIVACIDADE

consumidores-termos-de-uso-política-de-privacidade

O ritmo acelerado em que a tecnologia está progredindo, significa que mais pessoas estão “transacionando” em um ambiente global. Os contratos online, aceito e concluído com o clique de um mouse, são comuns para os consumidores quando estão comprando acessórios de moda por meio de lojas de varejo on-line; assinando softwares específicos do setor; reservando voos de negócios ou férias em família; criando uma conta no Facebook, Instagram, Twitter ou Google. Apesar de todo esse avanço, uma coisa não mudou: o consumidor raramente lê um contrato muito extenso. Uma pesquisa feita pela Fairer Finance mostrou que as pequenas letras dos Termos de Uso e Política de Privacidade de algumas empresas chegam a formar mais de 30.000 palavras (o tamanho de um romance curto) e, sem surpresa, 73% das pessoas admitem não ler o seu conteúdo. Entre aqueles que o fazem, apenas 17% dizem que o entendem. É uma situação preocupante, já que deixar o consumidor de conhecer o conteúdo destes contratos, poderá lhe trazer problemas futuros.

1 – TESTANDO O COMPORTAMENTO DO USUÁRIO EM LABORATÓRIO

Num estudo de comportamento, 543 estudantes de graduação foram informados de que sua universidade tinha sido convidada a avaliar um novo site de rede social conhecido como NameDrop. Para acessar o site, os alunos foram solicitados a dar seu consentimento a termos específicos de uso e políticas de privacidade como parte do processo de inscrição.

As palavras na tela do #computador, em letras pequenas, eram tão inocentes e familiares quanto uma chave da casa. Ao clicarem em Termos de Uso e Política de Privacidade, os estudantes viram um imenso texto e logo abaixo, duas opções, “Eu aceito / Eu não aceito. Centenas desses estudantes, sem ler o seu conteúdo, imediatamente clicaram no botão “aceito” para se tornarem membros da NameDrop, uma nova rede social. Mas de acordo com o parágrafo 2.3.1 dos Termos de Uso, ao aceitar, eles concordaram em dar à NameDrop seus futuros filhos primogênitos.

consumidores-termos-de-uso-política-de-privacidade

Apenas 1/4 dos 543 alunos, chegou a se incomodar em ver as letras tão miúdas. Mas “olhar” não é “ler”: Esses colaboradores (um pouco mais cuidadosos, mas não o suficiente para entender o texto em toda a sua dimensão) gastaram cerca de 2 (dois) minutos lendo as milhares de palavras que integravam os Termos de Uso e Política de Privacidade da NameDrop, quando o tempo exigido para ler todo o seu conteúdo, deveria ser de 29 a 32 minutos. No final, todos os alunos aceitaram os termos destes contratos.

Felizmente, o NameDrop não existe. Os alunos foram submetidos a um experimento conduzido por dois professores de comunicação, Jonathan Obar, da York University, em Toronto, e Anne Oeldorf-Hirsch, da University of Connecticut. Eles estavam confirmando, em laboratório, o que outros estudiosos descobriram ao vasculhar meticulosamente dados sobre o comportamento real do usuário de #internet – ninguém lê contratos on-line, acordos de licença, termos de uso e política de privacidade. As pessoas dizem que “sim”, com seus milhões de cliques obedientes, mas sem saber o que realmente estão aceitando, isto é, como Obar e Oeldorf-Hirsch escreveram  em seu artigo sobre o experimento, “a maior mentira da internet”.

consumidores-termos-de-uso-política-de-privacidade

 

Ao final do estudo, alguns dos participantes apresentaram suas razões porque deixaram de ler os Termos de Uso e Política de Privacidade: “É um incômodo lidar com uma enorme quantidade de páginas entediantes sobre privacidade e segurança, quando o #site em que você está se cadastrando, está lá para fazer algo muito mais interessante”, escreveu um aluno. “Parece uma norma cultural não lê-los e tenho preguiça de lê-los detalhadamente”, disse outro estudante.

2 – O PARADOXO DA PRIVACIDADE

As descobertas desse experimento são interessantes e muito convincentes, considerando que a maioria das pessoas diz que valoriza a sua privacidade e quer protegê-la, mas quando acessam a #internet, a cautela acaba ficando no esquecimento, como revelou o estudo. É o chamado “paradoxo da privacidade”, que nada mais é que a ideia de que dizemos uma coisa e fazemos outra quando se trata de privacidade.

É o que ocorre no dia a dia, com a maioria dos consumidores. Afirmam que a privacidade é importante e que estão interessados ​​em proteger suas informações, mas seu comportamento não corrobora essas intenções, quando ignoram a leitura dos #TermosDeUso e Política de Privacidade, e sem ler, aceitam facilmente as regras das empresas, correndo o risco de no futuro serem vítimas de todo tipo de ilegalidade.

3 – O CONSUMIDOR EM POSIÇÃO DE DESVANTAGEM

“Há uma preocupação real de que a lei de proteção ao #consumidor esteja basicamente sendo engolida por cláusulas de concordância”, disse David Hoffman, professor da Faculdade de Direito da Universidade da Pensilvânia, que pesquisa a lei e a psicologia dos contratos online. Tem razão! O usuário online que clica em “aceito”, sem ler o conteúdo do contrato, pode estar dando direito à #empresa de analisar, manter e vender seus dados pessoais; e até mesmo concordando em não exercer seu direito de reclamar na Justiça, caso algo dê errado.

consumidores-termos-de-uso-política-de-privacidade

 

Além dessa abordagem, há outros fatores a considerar: Temos que reconhecer que os  contratos online produzem uma carga de informação excessiva sobre o consumidor, pois geralmente seus textos são longos com fontes muito pequenas, obrigando eles a uma leitura demorada.

A maioria deles, também são difíceis de se compreender. Até mesmo as pessoas que leem, lutam para compreendê-los, porque geralmente exigem habilidades de leitura no nível universitário. Os Termos de Uso e #PolíticaDePrivacidade frequentemente abrangem vários #serviços oferecidos por uma empresa, resultando em declarações vagas que dificultam a localização de informações concretas sobre como são usados os dados pessoais coletadas e com quem são compartilhados. Isso, se torna muito exaustivo para quem lê.

Levando em conta toda essa situação, é razoável perguntar: Por que um indivíduo que depende do Google, Facebook, Instagram, Amazon, Apple ou Twitter, gastaria tempo na leitura dos Termos de Uso e Política de Privacidade, se ele não pode mudar seu conteúdo, negociar e nem se recusar a aceitá-lo?

Errado pensar dessa forma, pois quando se trata de contrato de adesão, em que suas cláusulas são estabelecidas unilateralmente pelo fornecedor de #produtos ou serviços, o consumidor jamais pode ser compelido (obrigado) a aceitá-lo, sem que possa discutir ou modificar substancialmente seu conteúdo. Esse tipo de imposição, em que há um desequilíbrio entre as partes contratantes, é totalmente repelido pela legislação que regula as relações contratuais de consumo.

consumidores-termos-de-uso-política-de-privacidade

Veja o que diz o Código de Defesa do Consumidor (CDC):

“Art.51º “São nulas de pleno direito, entre outras, as cláusulas contratuais relativas ao fornecimento de produtos e serviços que: (…)

IV – estabeleçam obrigações consideradas iníquas, abusivas, que coloquem o consumidor em desvantagem exagerada, ou sejam incompatíveis com a boa fé ou a equidade;.”.

Para o jurista Nelson Nery Junior, cláusulas abusivas “são aquelas notoriamente desfavoráveis à parte mais fraca na relação contratual de consumo. São sinônimas de cláusulas abusivas, as expressões cláusulas opressivas, onerosas, vexatórias ou, ainda, excessivas…”.

Neste mesmo sentido, é o posicionamento do jurista Hélio Zagheto Gama: “As cláusulas abusivas são aquelas que, inseridas num contrato, possam contaminar o necessário equilíbrio ou possam, se utilizadas, causar uma lesão contratual à parte a quem desfavoreçam”.

Assim, nesse formato de negociação, em que o consumidor é colocado numa posição de desvantagem, acarretando desequilíbrio contratual, não resta a ele outra saída, senão,  entregar o trabalho da leitura do Contrato de Adesão (redigido somente pelo fornecedor, sem que o consumidor possa discutir ou modificar substancialmente seu conteúdo) a um especialista (advogado), da mesma forma que milhões de pessoas entregam a preparação da Declaração do Imposto de Renda (DIR) a um contador. Essa medida vai garantir ao consumidor tomar ciência prévia do conteúdo dos Termos de Uso e Política de Privacidade, além de poder exigir na Justiça a anulação das cláusulas consideradas abusivas. 

4 – JUSTIFICATIVAS PARA NÃO LER

Uma pesquisa da Deloitte Touche Tohmatsu Limited com #consumidores, descobriu que 91% das pessoas concordam com os Termos de Uso e Política de Privacidade, sem ler o seu conteúdo. Para pessoas mais jovens, com idades entre 18 e 34 anos, a taxa é ainda maior, com 97% concordando com as condições, antes de ler. Para essas pessoas, a justificativa para deixar de ler é que o texto é longo e a linguagem é muito complexa e prolixa.

consumidores-termos-de-uso-política-de-privacidade

É verdade que os Termos de Uso e Política de Privacidade costumam ser longos demais para serem lidos, mas é importante o consumidor entender que eles não podem negligenciar a sua leitura, pois ali estão informações significativas, definindo os direitos e obrigações das partes, que terão eficácia durante todo o período de validade do contrato.

5 – FORMATO PADRÃO DE CONTEÚDO

O consumidor vem clamando por informações significativas com linguagem simples, que lhes direcionem em suas decisões. Logo, é necessário que o governo brasileiro apresente uma solução urgente, que defina um formato padrão de conteúdo para serem aplicados nos Termos de uso e Política de Privacidade. Não adianta mais permitir que as empresas continuem, livremente, fazendo uso de um formato de contrato online que permanece impenetrável para um leitor comum. Essa é a solução para transformar esses documentos em algo útil  e agradável para as pessoas lerem.

Um exemplo a ser seguido, é o Regulamento Geral de Proteção de Dados da Europa, chamado de General Data Protection Regulation (GDPR), que entrou em vigor em maio de 2018 e é aplicável a todas as empresas (independente do seu país de origem) que operam no espaço econômico europeu, impondo requisitos rigorosos ao conteúdo da Política de Privacidade.

consumidores-termos-de-uso-política-de-privacidade

Agora, o conteúdo deste documento online para ter validade, precisa estar em “forma concisa, transparente, inteligível e de fácil acesso, usando linguagem clara e simples”.

Com a implantação da GDPR, o governo europeu também passou a regular a maneira como as empresas coletam, armazenam e exportam dados pessoais dos seus clientes. Tais mudanças atingiram até mesmo as maiores empresas americanas de tecnologia sediadas na Europa, como o #facebook e o #google – mesmo que os EUA não façam o mesmo.

“Isso é um avanço incrível e está mudando o equilíbrio de poder das grandes empresas, para se concentrar nas necessidades dos indivíduos e da sociedade democrática”, disse Jeffrey Chester, fundador do Center for Digital Democracy. 

“Os consumidores foram abusados durante anos. Essas empresas conseguiram fazer com que as pessoas se sentissem impotentes. A GDPR oferece aos #consumidores a chance de renegociarem os termos de contrato, considerados muito injusto.”, disse David Carroll, professor associado da Parsons School of Design, em Nova York.

“É um regulamento que exige das #empresas a proteção dos dados pessoais e a privacidade dos residentes nos países da União Europeia. Isso é muito positivo”, acrescentou David Carroll.

6 – CONCLUSÃO

Como foi provado empiricamente o que muitos suspeitavam há tempo, a maioria dos consumidores, simplesmente, não se interessa em ler os extensos textos dos Termos de Uso e Política de privacidade que encontram na Internet. Na verdade, eles veem este tipo de contrato #online como um passo necessário, mas inconveniente, que atrasa sua busca pelo download de coisas que mais lhe interessam, como o mais recente aplicativo para dispositivos móveis, videogame ou site de namoro, por exemplo.

Em um momento em que há uma crescente preocupação com o compartilhamento indevido de informações de clientes em todos os setores, é especialmente importante que as pessoas permaneçam vigilantes ao concordar com esses contratos online. Por outro lado, muito precisa ser feito para melhorar o processo de consentimento das pessoas, quando se cadastram em sites, como tem acontecido na Europa com a implantação do Regulamento Geral de Proteção de Dados,  que exige que o conteúdo da Política de Privacidade para ter validade, precisa estar em “forma concisa, transparente, inteligível e de fácil acesso, usando linguagem clara e simples”. (Gilbert Lorens – Advogado: OAB/BA. 14.396 – Especialista em Relações de Consumo)

NOTA EDITORIAL: O conteúdo editorial desta matéria não foi fornecido ou comissionado por qualquer empresa, assim como, não foram revisadas, aprovadas ou endossadas por elas, antes da publicação. As opiniões, análises, resenhas, declarações ou recomendações expressas neste artigo são de responsabilidade exclusiva do autor.

consumidor-radical