Perguntas frequentes sobre a lei de privacidade do consumidor da Califórnia (CCPA)

A CCPA (Lei de privacidade e proteção de dados da Califórnia) é a primeira lei abrangente de privacidade nos Estados Unidos. Ela entrou em vigor no final de junho de 2018 e fornece uma variedade de direitos de privacidade para os consumidores da Califórnia. As empresas regulamentadas pelo CCPA terão uma série de obrigações com esses consumidores, incluindo divulgações, direitos gerais de proteção de dados (GDPR) para consumidores, uma "opt-out" para determinadas transferências de dados e um requisito de "opt-in" para menores.

O CPPA só se aplica às empresas que fazem negócios na Califórnia, o que atende anualmente a um ou mais dos seguintes: (1) têm receita bruta de mais de $25.000.000, (2) deriva 50% ou mais da receita anual de venda das informações pessoais de consumidores ou (3) compra, vende ou compartilha as informações pessoais com mas de 50.000 consumidores.

Os CCPA entrarão em vigor em 1º de janeiro de 2020. No entanto, a imposição por lei geral (AG) não começará até 1 de julho de 2020.

Muitos dos direitos do CCPA concedidos aos Californianos são semelhantes aos direitos que o GDPR fornece, incluindo a divulgação e solicitações do consumidor semelhantes a solicitação do titular dos dados (DSR), como acesso, exclusão e portabilidade. Como tal, o cliente pode ter uma visão das nossas soluções de RGPD para ajudá-los com a conformidade do CCPA.

Para começar sua jornada CCPA, você deve se concentrar em cinco etapas principais:

• Descubra: identifique quais informações pessoais você tem e onde ela está localizada.
• Mapeie: Determine como você está compartilhando informações pessoais com terceiros e identifique se o terceiro está sujeito a uma exceção dos requisitos de aceitação CCPA.
• Gerencie: Controle o acesso e o uso dos dados pessoais.
• Proteja: Estabeleça controles de segurança para prevenir, detectar e reagir a vulnerabilidades e violações de dados.
• Documente: documentar um programa de resposta de violação de dados e garantir que seus contratos com terceiros aplicáveis sejam capazes de aproveitar as exceções de recusa.

Você precisa entender quais são as obrigações específicas da sua organização de acordo com o CCPA e como você as cumprirá, embora a Microsoft esteja aqui para ajudá-lo em sua jornada.

O CCPA exige empresas regulamentadas que coletam, usam, transferem e vendem informações pessoais para, entre outras coisas:

• Forneça divulgações para os consumidores, antes da coleção, em relação às categorias e finalidades da coleção.
• Forneça divulgações detalhadas em uma política de privacidade sobre as fontes, os propósitos comerciais e as categorias de informações pessoais coletadas, incluindo como essas categorias são vendidas ou transferidas para outras pessoas.
• Habilite os direitos de consumidor relacionados a acesso, exclusão e portabilidade das partes específicas de informações pessoais que foram coletadas por você.
• Habilitar um controle que permitirá que os consumidores optem por não fazer a 'venda' dos dados do consumidor. No entanto, determinadas transferências, como transferências para provedores de serviços, permanecem permitidas.
• Para menores, com menos de 16 anos, habilite um processo de aceitação para que nenhuma venda de informações pessoais do menor possa ocorrer sem uma aceitação ativamente na venda.
• Certifique-se de que os consumidores não estejam discriminados para exercitar qualquer um de seus direitos no CCPA.

O CCPA requer uma divulgação das seguintes opções:

• Categorias de informações pessoais do consumidor que foram coletadas.
• As categorias de fontes usadas na coleção.
• O negócio ou propósito comercial para coleta.
• As categorias de terceiros com as quais as informações pessoais são 'compartilhadas'.
• Categorias de informações pessoais que foram 'vendidas' e as categorias de 'terceiros' a quem cada categoria de informações pessoais foi vendida.
• Categorias de informações pessoais que foram "divulgadas para uma finalidade comercial" (ou seja, transferidas, mas não uma "venda") e as categorias de "terceiros" para as quais cada categoria de informações pessoais foi transferida.
• As informações pessoais específicas que foram coletadas sobre esse consumidor.

A definição de "vender" no CCPA é incrivelmente ampla, incluindo "disponibilizar informações pessoais para" um terceiro para consideração monetária ou outra consideração valiosa. Quando um consumidor optar por "recusar", a empresa será obrigada a desativar o fluxo de informações pessoais para terceiros.

O CCPA fornece uma série de entalhes para esse controle de opt-out de "venda". Os três entalhes primários são transferências (i) para um Provedor de Serviços, (ii) para uma "entidade isenta" ou "contratante" e (iii) na direção do consumidor. Mesmo que um consumidor tenha optado por "recusar", as informações pessoais podem continuar a ser transferidas para terceiros que se encaixam nessas esculpir.

Para aproveitar as duas primeiras isenções, as empresas terão de garantir que as transferências sejam regidas por contratos escritos contendo os termos específicos necessários para o CCPA.

No contexto do CCPA, as Empresas são indivíduos ou entidades que determinam os propósitos e meios de processamento dos dados pessoais do consumidor, e Provedores de Serviços são indivíduos ou entidades que processam informações em nome de uma empresa. Eles são amplos sinônimos dos termos Controladores e Processadores usados em RGPD.

O direito de ação privado no CCPA é limitado a violações de dados. Sob o direito de ação privada, os danos podem ficar entre $100 e $750 por incidente por consumidor. A Califórnia AG também pode reforçar a CCPA integralmente com a capacidade de aplicar uma penalidade civil de não mais de $2.500 por violação ou $7.500 por violação intencional.

Como a Microsoft implementou o RGPD DSRs globalmente, estamos na posição excelente para atender aos requisitos relacionados ao CCPA. Também revisamos nossos contratos de compartilhamento de dados de terceiros e tomamos medidas para estabelecer que os termos contratuais necessários estão em vigor para garantir que não "vendamos" informações pessoais.

• Comece a aproveitar a avaliação RGPD no Gerenciador de conformidade como parte do seu programa de privacidade do CCPA.
• Estabelecer um processo para responder com eficiência às solicitações de consumo.
• Configure rótulo e políticas para descobrir, classificar & rótulo e proteger dados confidenciais com Proteção de Informações do Microsoft Purview.
• Use os recursos de criptografia de email para controlar ainda mais as informações confidenciais.
• Saiba mais nesta postagem do blog.

Existem muitas diferenças. É mais fácil focar nas similaridades, incluindo:

• Obrigações de divulgação/transparência.
• Direitos de consumidor para acessar, excluir e receber uma cópia de dados.
• Definição de "provedores de serviços" semelhante à forma como o GDPR define "processadores" com uma obrigação contratual semelhante.
• Definição de "empresas" que abrange a definição gdpr de "controladores".

A maior diferença no CCPA é o principal requisito para habilitar uma saída de vendas de dados para terceiros (com 'venda' amplamente definido para incluir o compartilhamento de dados para consideração valiosa). Essa é uma obrigação mais estreita e específica do que o amplo direito do GDPR de se opor ao processamento, que abrange esse tipo de "venda", mas não se limita especificamente a cobrir esse tipo de compartilhamento.

Um controlador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, individualmente ou em conjunto com outras pessoas, determina a finalidade e os meios de processamento de dados pessoais. Um processador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador.

Os dados pessoais são quaisquer informações relacionadas a uma pessoa, identificável ou não. Não há distinção entre as funções pública, privada ou profissionais de uma pessoa. O termo definido "informações pessoais" se alinha aproximadamente com "dados pessoais" em GDPR. No entanto, o CCPA também inclui dados da família e de casa.

Os exemplos de dados pessoais incluem:

Identidade

• Nome
• Endereço residencial
• Endereço comercial
• Telefone
• Celular
• Endereço de email
• Número do passaporte
• RG
• CPF (ou equivalente)
• Habilitação
• Informações físicas, fisiológicas ou genéticas
• Informações médicas
• Identidade cultural

Finanças

• Detalhes bancários/números de conta
• Número de contribuinte
• Números de cartão de crédito/débito
• Postagens em mídia social

Artefatos online

• Postagens em mídia social
• Endereço IP (região da UE)
• Dados de localização/GPS
• Cookies

• O CCPA introduz obrigações de consentimento pelos pais, consistentes com a COPPA (política de proteção de privacidade online) para crianças menores de 13 anos.
• Para crianças entre 13 e 16 anos, o CCPA impõe uma nova obrigação de obter o consentimento da criança para qualquer "venda" de suas informações pessoais.

Em outubro de 2019, várias alterações foram aprovadas na CCPA. Um emenda esclarecendo de que as obrigações CCPA não se aplicam a informações pessoais de funcionários da empresa. No entanto, os legisladores colocaram um prazo de um ano nessa isenção. Esperamos que a Califórnia legisle uma nova lei de proteção de dados para funcionários em 2020.  

Não. Como provedor de serviços online, estamos tomando medidas para garantir que nos qualifiquemos como um "Provedor de Serviços" no CCPA. Conforme observado acima, as transferências de informações pessoais para provedores de serviços são permitidas, mesmo quando um consumidor opta por não ter sido cancelada.