Como tornar seu site WordPress compatível com CCPA

Após a introdução do GDPR em 2018, agora há outra lei definida para afetar ainda mais os webmasters do WordPress em sua tentativa de permanecer em conformidade com os regulamentos locais de privacidade de dados.

Seu nome? A Lei de Proteção ao Consumidor da Califórnia (ou CCPA, abreviada).

Esta nova legislação foi projetada para fornecer aos californianos uma proteção aprimorada em relação ao uso de suas informações pessoais. Entrou em vigor no início do ano de 2020.

Este guia orientará você sobre quais são os requisitos de conformidade do site da CCPA. Também explica o que isso significa para o seu site na prática e como implementar as mudanças necessárias. Então, sem mais delongas, vamos começar discutindo os principais temas da CCPA.

O que é a Lei de Privacidade do Consumidor da Califórnia (CCPA)?

A CCPA foi aprovada em 2018. Inicialmente introduzida como uma iniciativa voluntária, a lei levou apenas sete dias para ser aprovada pelos respectivos órgãos da Legislatura do Estado da Califórnia.

A lei foi drasticamente apressada pelos órgãos legislativos depois que os políticos atenderam ao crescente coro de preocupações dos eleitores que achavam que a lei californiana não acompanhava a quantidade de dados pessoais que os clientes involuntariamente compartilham com as empresas.

Em segundo lugar, o escândalo da Cambridge Analytica que envolveu o Facebook e a introdução das leis do Regulamento Geral de Proteção de Dados (GDPR) na UE aumentaram a importância de levar adiante essa legislação.

Desde esses eventos em junho de 2018, a lei foi alterada em mais duas ocasiões. O Procurador-Geral da Califórnia emitiu orientações para ajudar as empresas a entender melhor como fazer os ajustes necessários em suas operações. A lei entrou oficialmente em vigor em 1º de janeiro de 2020.

No que diz respeito aos detalhes da CCPA, a lei segue principalmente a liderança fornecida por seu antecessor GDPR. Ele concede aos cidadãos da Califórnia o direito de:

• Saiba quais informações pessoais estão sendo coletadas sobre eles
• Saber se suas informações pessoais são vendidas ou divulgadas e para quem
• Diga não à venda de suas informações pessoais
• Solicitar a exclusão de suas informações pessoais
• Acesse suas informações pessoais
• Serviço e preço iguais, mesmo que exerçam seus direitos de privacidade

Com a lei compreendida, você provavelmente está se perguntando se essas leis se aplicam a você, principalmente se seu site ou empresa estiver registrado fora do estado da Califórnia.

A CCPA se aplica ao seu negócio?

Desfazer as implicações de qualquer lei de privacidade é provavelmente a parte mais difícil. Mas agora houve tempo suficiente para a poeira baixar. Existem algumas diretrizes claras sobre como e quando essa lei deve ser aplicada.

O primeiro item a ser observado é que esta lei se refere à proteção de informações pessoais de cidadãos e residentes da Califórnia. Isso significa que as empresas ou organizações que lidam com os cidadãos mencionados acima terão a lei aplicada a eles, independentemente de sua localização.

Como parte da orientação divulgada pelo Procurador-Geral da Califórnia, a lei se aplica a organizações com fins lucrativos que atendem aos seguintes critérios:

1. Tem receita bruta anual de mais de $ 25.000.000
2. Anualmente compra ou recebe, para fins comerciais ou comerciais, vende ou compartilha as informações pessoais de 50.000 ou mais consumidores californianos
3. Deriva 50% ou mais de sua receita anual da venda de informações pessoais de consumidores californianos.

Se você está sentado pensando: “Ótimo, meu negócio não se encaixa em nenhum desses critérios, não preciso fazer nenhuma alteração”, você está apenas parcialmente correto. Esta nova lei ainda pode se aplicar a você por extensão. Se você fizer transações com empresas que precisam cumprir a CCPA, talvez ainda seja necessário fazer as alterações necessárias para cumprir.

Por exemplo, se você comprar uma lista de e-mail para fins de marketing de um provedor californiano que detém milhões de registros, terá que fazer os ajustes estipulados pela CCPA por extensão. Da mesma forma, se você fornecer serviços de web design WordPress para empresas de grande porte, precisará prestar atenção para garantir a entrega de um site compatível.

CCPA x GDPR

A legislação CCPA e GDPR, embora muito semelhantes, têm algumas diferenças importantes. Em primeiro lugar, o GDPR é muito mais abrangente do que o CCPA.

O GDPR contém obrigações para a nomeação de Encarregados de Proteção de Dados, a manutenção de um registro de atividades de processamento e a necessidade de Avaliações de Impacto de Proteção de Dados em circunstâncias específicas. Não existem obrigações legais anexadas à CCPA, embora existam disposições semelhantes em vigor.

Em seguida, o GDPR trabalha com o princípio fundamental de que deve haver uma base legal para o processamento de qualquer aspecto dos dados pessoais. No entanto, a CCPA nem se aplica a alguns conjuntos de dados pessoais. Por exemplo, registros médicos e informações pessoais registradas para fins de relatório de crédito não são cobertos pela CCPA, pois são vistos como cobertos por legislação existente separada.

Finalmente, as diferentes leis diferem em um princípio jurídico final, que é a questão do consentimento prévio. A CCPA não exige que as empresas solicitem consentimento prévio para processar informações pessoais, que é o pilar legal central sobre o qual o GDPR se baseia.

De fato, de acordo com a CCPA, uma empresa não precisa do consentimento prévio de um usuário antes de processar seus dados, nem um site precisa de permissão prévia de um usuário antes de vender seus dados a terceiros. No entanto, um cidadão californiano tem o direito de 'excluir' esse processamento e solicitar a visualização e a remoção de seus dados.

Em outras palavras, a CCPA visa fornecer transparência e proteção de dados após o fato. Em contraste, o GDPR se concentra em fornecer aos cidadãos da UE o poder de consentimento prévio do processamento de dados pessoais.

Como tornar seu site compatível com CCPA

Se o seu site WordPress precisar ser atualizado para atender aos requisitos de conformidade do site da CCPA, as etapas a seguir devem ajudá-lo a garantir que você não infrinja a nova lei de privacidade.

Atualize sua política de privacidade

Você provavelmente já implementou uma política de privacidade para alinhar seu site ao GDPR, mas precisará atualizá-la para refletir as alterações exigidas pela CCPA. Em primeiro lugar, você precisará incluir os novos direitos dos visitantes do site, conforme estabelecido na CCPA.

Em seguida, você precisará incluir vários meios de contato para que os consumidores possam enviar suas solicitações para exercer seus direitos previstos na legislação. Também é uma boa ideia atualizar quais dados você coleta, como os obtém e para quais finalidades são usados ​​se alguma dessas informações tiver sido alterada desde a introdução do GDPR.

Lembre-se de definir um processo passo a passo transparente sobre como os clientes podem obter acesso e solicitar a remoção de seus dados. Por fim, altere a data de sua política de privacidade para mostrar que essas atualizações ocorreram após a introdução da nova lei.

(Observação: se você vender as informações pessoais de 4.000.000 ou mais consumidores californianos por ano, talvez seja necessário incluir divulgações adicionais)

Diga aos clientes onde eles podem saber mais sobre sua Política de Privacidade e CCPA

Informar os clientes sobre a política de privacidade e seus direitos sob a CCPA são requisitos no processo de coleta de seus dados. Observe que você não precisa de consentimento (conforme GDPR); em vez disso, você precisa informá-los sobre onde eles podem aprender mais sobre o que você está coletando e por quê.

Uma excelente maneira de informar seus clientes é por meio de um aviso de privacidade ou barra de cookies, como você já faz para fins de GDPR.

Aviso de conformidade/privacidade entregue via barra de cookies ou rodapé

Este aviso será muito semelhante ao que você já fornece para cumprir o GDPR. Esses avisos de conformidade/privacidade são basicamente versões extremamente condensadas de sua política de privacidade.

Certifique-se de incluir uma lista de categorias de informações pessoais que você coleta de consumidores e, para cada categoria, liste o(s) propósito(s) comercial(is) para o qual elas serão usadas.

Você terá espaço limitado se exibir por meio de um rodapé ou barra de cookies, portanto, seja o mais direto e objetivo possível antes de incluir links para sua Política de Privacidade e sua página “Não venda minhas informações pessoais”.

Certifique-se de que o opt-in/opt-out esteja disponível

Conforme mencionado, você não precisa obter consentimento para fins da CCPA. No entanto, você precisará fornecer a opção para os consumidores optarem por não receber a coleta de dados pessoais. Com isso em mente, faz sentido agrupar essa permissão com o consentimento prévio necessário para o GDPR se você já tiver esses parâmetros em vigor.

Considerando os critérios de tamanho da empresa para a CCPA, é provável que você já tenha implementado uma arquitetura de site semelhante, portanto, faz sentido fazer os ajustes necessários para também atender aos requisitos da CCPA.

Adicione uma página 'Não venda minhas informações' e coloque um link para ela em sua página inicial

Se você vender as informações pessoais de residentes da Califórnia, a nova lei exige que você tenha uma página da Web intitulada 'Não venda minhas informações pessoais' ou 'Não venda minhas informações'.

Nessa página da Web recém-criada, você precisa incluir as seguintes informações:

• Detalhes sobre o direito do consumidor de recusar a venda de seus dados pessoais
• Um formulário de contato para enviar uma solicitação de desativação
• Informações relativas a outros métodos de contato para desativação
• Um link para sua Política de Privacidade
• O ônus da prova exigido para quando um consumidor optou por ter um agente autorizado para enviar uma solicitação de exclusão em seu nome

Você deve colocar um link para esta página no rodapé do seu site para que nunca fique a mais de um clique de distância.

Obter consentimento prévio de menores de 13 a 16 anos antes de vender dados

Mais uma vez, se você estiver no ramo de venda de dados pessoais de residentes da Califórnia, não poderá fazê-lo para pessoas de 13 a 16 anos sem consentimento prévio. Você pode optar por usar sua barra de cookies para incluir uma mensagem para esse efeito, acompanhada de uma caixa de consentimento.

Ou, caso não tenha interesse em coletar dados de indivíduos dessa idade, você pode estabelecer uma política de destruição de todos os dados relativos àqueles que se enquadram nesse critério, que deve ser detalhado em sua Política de Privacidade.

Resumo

Embora seja indubitavelmente verdade que o CCPA não é tão abrangente quanto o GDPR, ele deve ser levado a sério mesmo assim. É provável que represente apenas uma das várias leis de privacidade em nível estadual que devem entrar em vigor nos Estados Unidos ao longo de 2020.

Muitos usarão a CCPA como um modelo de recortar e colar para as leis relativas aos seus respectivos estados. Portanto, faz sentido ajustar seu site WordPress para aderir aos requisitos de conformidade do site da CCPA agora, para que você possa continuar em conformidade nos mercados da UE (GDPR) e da América do Norte (CCPA et al.). Para obter informações mais detalhadas sobre a CCPA, consulte o site do Departamento de Justiça do Estado da Califórnia.

Aqui na WP White Security, levamos a conformidade e a segurança a sério. Desenvolvemos plugins de segurança de nicho e utilitários de administração de alta qualidade que ajudam os administradores a gerenciar e proteger melhor seus sites WordPress. Por que não dar uma olhada em nosso portfólio de plugins para ver como podemos ajudá-lo a proteger melhor seu site e gerenciar seus usuários?