CCPA (Lei de Privacidade do Consumidor da Califórnia)

Visão geral do CCPA

A Lei de Privacidade do Consumidor da Califórnia (CCPA) é a primeira lei de privacidade abrangente nos Estados Unidos. Ele fornece uma variedade de direitos de privacidade para os consumidores da Califórnia. As empresas regulamentadas pelo CCPA terão várias obrigações com esses consumidores, incluindo divulgações, RGPD (Regulamento Geral de Proteção de Dados) como direitos de usuário (DSRs), um "opt-out" para determinadas transferências de dados e um requisito de "aceitação" para menores.

O CCPA só se aplica a empresas que fazem negócios na Califórnia que atendam a uma ou mais das seguintes: (1) têm uma receita anual bruta de mais de US$ 25 milhões ou (2) derivam mais de 50% da receita anual da venda de informações pessoais do consumidor da Califórnia, ou (3) compram, vendem ou compartilham as informações pessoais de mais de 50.000 consumidores da Califórnia anualmente.

Os CCPA entrarão em vigor em 1º de janeiro de 2020. No entanto, a aplicação pela Ag (Advocacia Geral da Califórnia) começará em 1º de julho de 2020.

A CALIFÓRNIA AG imporá o CCPA e terá poder para emitir multas de não conformidade. O CCPA também fornece um direito privado de ação limitado a violações de dados. Sob o direito de ação privada, os danos podem ficar entre $100 e $750 por incidente por consumidor. A Califórnia AG também pode reforçar a CCPA integralmente com a capacidade de aplicar uma penalidade civil de não mais de $2.500 por violação ou $7.500 por violação intencional.

Microsoft e CCPA

Para clientes comerciais que fazem negócios na Califórnia, a Microsoft atuará como um "provedor de serviços" em relação aos nossos Serviços Online e Professional Serviços. Os termos dos Termos de Serviços Online (OST) e do Microsoft Professional Services Data Protection Addendum (MSDPA) já atendem aos requisitos para Provedores de Serviços no CCPA e geralmente são suficientes para permitir que os clientes continuem a transferir dados para nossos Serviços Online. Dessa forma, nenhuma alteração contratual adicional é necessária para que os clientes sejam capazes de confiar na Microsoft como provedor de serviços no CCPA.

Conforme definido no OST, a Microsoft cumpre todas as leis e regulamentos aplicáveis à sua provisão dos Serviços Online, que incluiria o CCPA.

Plataformas e serviços em nuvem no escopo da Microsoft

Como você pode se preparar para a conformidade do CCPA ao usar produtos e serviços da Microsoft

Aqui estão algumas etapas que você pode seguir para se preparar para o CCPA:

  • Comece a aproveitar a avaliação do RGPD no Gerenciador de Conformidade como parte do seu programa de privacidade CCPA.
  • Estabeleça um processo para responder de forma eficiente a DSARs (Solicitações de Acesso a Pessoas de Dados) usando a ferramenta Solicitações de Assunto de Dados.
  • Configure rótulos e políticas para descobrir, classificar & rotular e proteger dados confidenciais com o Microsoft Information Protection.
  • Use os recursos de criptografia de email para controlar ainda mais as informações confidenciais.

Perguntas frequentes

Como o CCPA afetará a minha empresa?

Muitos dos direitos do CCPA proporcionados aos californianos são semelhantes aos direitos que o RGPD fornece, incluindo as solicitações de DSR (direito de divulgação e de assunto de dados), como acesso, exclusão e portabilidade. Dessa forma, o cliente pode procurar nossas soluções de RGPD já existentes para ajudá-los com a conformidade do CCPA.

Para começar sua jornada do CCPA, você deve se concentrar na Descoberta de informações, determinando como as informações pessoais são compartilhadas, regendo como são usadas, como são protegidas e tendo um programa de resposta formal de violação de dados no local.

Quais são as diferenças entre RGPD e CCPA?

Existem muitas diferenças. É mais fácil focar nas similaridades, incluindo:

  • Obrigações de transparência/divulgação,
  • Direitos do consumidor para acessar, excluir e receber uma cópia de dados,
  • Definição de 'provedores de serviços' semelhante à forma como o RGPD define 'processadores' com uma obrigação contratual semelhante e
  • Definição de "empresas" que abrange a definição RGPD de 'controladores'.

A maior diferença no CCPA é o principal requisito para habilitar a aceitação das vendas de dados para terceiros (com a 'venda' amplamente definida para incluir o compartilhamento de dados para consideração valiosa).

Quais direitos as empresas precisam garantir segundo os termos do CCPA?

O CCPA requer empresas regulamentadas que coletam, transferem e vendam informações pessoais para, entre outras coisas:

  • Forneça divulgações para os consumidores, antes da coleção, em relação às categorias e finalidades da coleção.
  • Forneça divulgações mais detalhadas em uma política de privacidade em relação às fontes, fins comerciais e categorias de informações pessoais coletadas, incluindo como essas categorias são vendidas ou transferidas para outras entidades.
  • Habilita os direitos de acesso, exclusão e portabilidade de DSR para as partes específicas de informações pessoais coletadas por você.
  • Habilita um controle que permitirá que os consumidores optem pela venda dos dados do consumidor. No entanto, as transferências para entidades isentas, como provedores de serviços, serão permitidas.
  • Para menores de 16 anos, habilita um processo de aceitação para que nenhuma venda das informações pessoais do menor possa ocorrer sem ativamente optar pela venda.
  • Certifique-se de que os consumidores não estejam discriminados para exercitar qualquer um de seus direitos no CCPA.

Como o CCPA se aplica a crianças?

  • O CCPA introduz obrigações de consentimento pelos pais, consistentes com a COPPA (política de proteção de privacidade online) para crianças menores de 13 anos.
  • Para crianças entre 13 e 16 anos, o CCPA impõe uma nova obrigação de obter consentimento de aceitação do filho.

Usar o Gerenciador de Conformidade da Microsoft para avaliar o risco

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos