The Ultimate Guide to California Consumer Privacy Act (CCPA) Compliance

Publicados: 2019-12-23

A Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) é uma lei aprovada pela Califórnia para proteger os dados e a privacidade de seus residentes. O CCPA não é um substituto para as leis de privacidade atuais da Califórnia, mas funcionará ao lado delas.

De acordo com a CCPA, as empresas precisam ser mais diretas sobre o que coletam e como é usado. Eles também devem obter o consentimento de menores antes de vender suas informações. Além disso, os usuários agora podem impedir que as empresas vendam seus dados.

No entanto, o CCPA não significa que você não pode mais vender as informações do usuário coletadas. No entanto, quando se trata de residentes da Califórnia, você terá que passar por mais alguns obstáculos.

A CCPA entra em vigor em 1º de janeiro de 2020, mas as empresas têm até 1º de julho de 2020 para cumpri-la totalmente. Isso não é uma desculpa para adiar. Como as ações de fiscalização só começarão dentro de alguns meses, as empresas têm tempo para adaptar suas políticas, processos e website.

O que a CCPA considera “dados pessoais”?

Dados pessoais são qualquer coisa que descreva ou identifique uma pessoa ou que esteja de alguma forma ligada a um indivíduo ou família. Isso inclui:

  • Endereço de e-mail
  • Informação de emprego
  • Geolocations
  • Endereços IP
  • Nomes

Tecnicamente, as informações publicamente disponíveis não são consideradas dados pessoais pela CCPA. Essa é uma área cinzenta, porém, e é melhor errar em favor da conformidade total em vez de arriscar. Além disso, mesmo que os dados pessoais de um usuário estejam disponíveis publicamente, isso não se aplica a todos os outros usuários. Você ainda precisa ser compatível em todas as áreas.

O CCPA afeta o seu negócio?

A CCPA afeta seus negócios se você coletar e processar dados de residentes da Califórnia. Sua empresa, ou uma empresa controladora ou subsidiária, também deve atender a um ou mais dos seguintes:

  • Sua receita bruta anual é de $ 25 milhões ou mais
  • Todos os anos, você compra, recebe ou vende dados pessoais de 50.000 ou mais dispositivos, residências ou residentes da Califórnia
  • No mínimo 50% de sua receita anual vem da venda de dados pessoais de residentes da Califórnia

Você não precisa ter uma empresa com sede na Califórnia para cumprir esses limites. Os residentes da Califórnia podem visitar seu site, independentemente de onde sua empresa opera. As empresas em outros estados dos EUA, bem como empresas em todo o mundo, devem considerar o CCPA.

O tamanho do seu negócio também não importa, exceto se referir aos limites. Mesmo empreendimentos individuais e pequenas empresas devem se alinhar com a CCPA. No entanto, as empresas que processam dados de 4 milhões ou mais de consumidores precisam atender a requisitos extras. Por exemplo, eles têm diretrizes mais rígidas quando se trata de manutenção de registros.

Se você atingir um limite, mas não estiver coletando dados (você não tem nenhum tipo de ferramenta de rastreamento em seu site), é tecnicamente compatível com o CCPA. Por outro lado, se você está coletando informações de clientes da Califórnia, mas ainda não atingiu os limites, ainda vale a pena se preparar para o CCPA. Se o seu negócio crescer rapidamente, você pode acidentalmente exceder US $ 25 milhões em receita ou 50.000 residentes da Califórnia antes de estar em conformidade com o CCPA.

Como um residente da Califórnia é definido?

De acordo com a lei da Califórnia, um residente é uma pessoa que:

  • Está na Califórnia por outro motivo que não seja temporário ou transitório
  • Mora na Califórnia, mesmo que não esteja no estado devido a um motivo temporário ou transitório

Uma pessoa pode morar na Califórnia e não ser residente ou morar fora da Califórnia e ainda assim ser residente. Para se proteger, cumpra o CCPA se tiver algum motivo para pensar que muitos dos seus negócios vêm de residentes da Califórnia.

Como tornar seu negócio compatível com CCPA

Para atender aos requisitos do CCPA, sua empresa deve seguir várias etapas, muitas das quais exigirão a alteração de políticas e processos. Veja como tornar seu negócio compatível com o CCPA:

Atualize sua política de privacidade para esclarecer como você coleta, usa e altera dados

Provavelmente, você já tem uma política de privacidade, mas será necessário algum trabalho para torná-la compatível com o CCPA. Basicamente, sua política de privacidade informa aos usuários quais dados você coleta e o que você faz com eles. Para CCPA, você terá que ser mais transparente do que antes sobre suas práticas de dados. Aqui estão os acréscimos que você deve fazer à sua política de privacidade:

  • O que, por que e como você coleta e processa informações pessoais
  • Como os usuários podem acessar, alterar ou remover seus dados pessoais que você coletou
  • Seu método para verificar a identidade de um usuário que está fazendo uma dessas solicitações
  • Como os dados pessoais são vendidos e como um usuário pode optar por não ter seus dados pessoais vendidos

Lembre-se de que esses são os requisitos mínimos de CCPA. Se você acha que há mais coisas em seu processo de coleta de dados que os usuários desejam saber, adicione.

Obtenha o consentimento de menores

Você precisará obter o consentimento de menores de 13 a 16 anos ou de pais de crianças menores de 13 anos. Você pode solicitar o consentimento logo quando eles acessam o seu site ou antes de vender seus dados. De qualquer forma, você não pode vender seus dados antes de obter seu consentimento. Armazene todas as respostas que você receber, mesmo se o usuário rejeitar o consentimento. Além de menores, você não precisa do consentimento do usuário antes de coletar e usar os dados.

Permitir que os usuários alterem suas informações

Parte do CCPA é dar aos usuários da Califórnia a capacidade de acessar, alterar, mover ou excluir seus dados pessoais. Você deve criar um método para os usuários enviarem esses tipos de solicitações, e um desses métodos deve ser um número gratuito. Você pode então adicionar um formulário de contato ao seu site ou fornecer um e-mail ou endereço para correspondência.

Verifique a identidade do usuário quando ele fizer uma solicitação

Depois que os usuários entram em contato para alterar suas informações, você precisa de uma maneira de verificar se eles são quem dizem ser. Você não pode pedir uma prova de identificação por meio de um documento emitido pelo governo, como uma carteira de motorista. Em vez disso, você pode usar o mesmo tipo de autenticação usado quando a pessoa enviou seus dados. Você também pode tentar verificar sua identidade, pedindo-lhes para confirmar as informações que forneceram no passado.

Se a empresa não puder verificar a identidade do usuário, ela deve obedecer da melhor forma possível. Por exemplo, digamos que um usuário deseja que suas informações sejam excluídas, mas a empresa não pode verificar a identidade do usuário. Em vez de excluir suas informações, eles as retêm, mas permitem que o usuário opte por não ter suas informações vendidas. Se não houver como atender, a empresa pode negar a solicitação.

Adicione um link “Não vender minhas informações pessoais” à sua página inicial

Você precisará colocar um link “Não vender minhas informações pessoais” em um local visível na página inicial do seu site. Isso é para os usuários clicarem se quiserem impedir que você venda seus dados pessoais. O processo de desativação da venda de dados do usuário deve ser o mais simples e fácil possível. A empresa também precisa responder às solicitações de exclusão. De acordo com o informativo oficial do CCPA, “... as empresas devem tratar as configurações de privacidade ativadas pelo usuário que sinalizam a escolha do consumidor de cancelar como uma solicitação de cancelamento enviada de forma válida”.

Além disso, você não pode exigir que as pessoas criem uma conta para que possam cancelar o recebimento. Embora algumas empresas possam exigir uma conta como meio de identificar o usuário, o CCPA evita isso como um pré-requisito para a desativação. Se o usuário já possui uma conta e é assim que você pode verificar sua identidade, tudo bem.

Mantenha registros de trocas com clientes

As empresas devem manter registros de todas as solicitações dos usuários e também devem registrar e salvar suas respostas aos usuários. Mantenha seus registros por no mínimo 24 meses; para ficar mais seguro, segure-os indefinidamente.

Não discrimine com base em solicitações de privacidade

A CCPA afirma que as empresas não podem discriminar os usuários se eles exercerem seus direitos de privacidade. Isso significa que se um usuário disser que você não pode vender seus dados, você não pode negar os serviços a ele ou ajustar seus preços em retaliação.

É possível que uma empresa ofereça um incentivo às pessoas que permitem a venda de seus dados. Nesse caso, você deve divulgar os detalhes do incentivo, incluindo como você calcula o valor dos dados pessoais.

Penalidades por não cumprimento da CCPA

Se você não estiver em conformidade com a CCPA até 1º de julho de 2020, o Procurador-Geral irá notificá-lo. Você terá 30 dias para responder e se atualizar sobre conformidade. Se você não cumprir dentro desses 30 dias, você pode ter um processo civil contra você. A partir daí, você pode ser multado em US $ 7.500 por violação , o que significa por usuário da Califórnia. Por exemplo, se você coletar dados de 2.000 residentes da Califórnia, poderá ser multado em $ 7.500 x 2.000, o que é um total de $ 15.000.000. Essa é uma conta que você definitivamente vai querer evitar!

As diferenças entre CCPA e GDPR

Embora as diretrizes da CCPA pareçam semelhantes às do GDPR, as duas têm diferenças importantes. Mesmo que sua empresa seja atualmente compatível com o GDPR, isso não significa que ela será automaticamente compatível com o CCPA. Você pode atender a algumas diretrizes da CCPA, mas não a todas. Algumas das diretrizes CCPA que podem exceder o GDPR são:

  • Adicionar um link “Não vender minhas informações pessoais” na página inicial
  • Criação de um método para os usuários solicitarem alterações ou remoção de suas informações
  • Identificar a identidade da pessoa ao fazer esse tipo de solicitação
  • Obter o consentimento de menores antes de vender suas informações

Embora você possa ter alguns dos processos já configurados para o GDPR, verifique se seus métodos também estão em conformidade com o CCPA. Existem diferenças pequenas, mas importantes, entre os dois. Por exemplo, no CCPA, você deve mostrar as categorias de informações pessoais que vendeu em um período de 12 meses; isso não é um requisito do GDPR. Por outro lado, a CCPA não tem o requisito de consentimento de cookies que o GDPR tem.

Pensamentos finais

Sua primeira etapa é avaliar se sua empresa deve estar em conformidade com o CCPA a partir de 1º de janeiro de 2020. Ou, considere se sua empresa crescerá a ponto de precisar estar em conformidade no futuro. Em caso afirmativo, é melhor colocar tudo no lugar agora para que você não precise se atrapalhar mais tarde e correr o risco de ser multado. Exatamente como você configura seu site para cumprir o CCPA depende de seus processos atuais e de sua força de trabalho. Você pode automatizar o máximo possível ou, se não esperar muitas alterações ou solicitações de remoção, pode ter alguns funcionários que respondem diretamente aos usuários.

Se você ainda não tem uma política de privacidade, esta é uma ótima oportunidade para escrever uma, esteja você preocupado ou não com o CCPA. Confira nosso artigo sobre como criar uma política de privacidade para o seu site.

Imagem em destaque via Sammby / shutterstock.com