A Lei de Privacidade do Consumidor da Califórnia (CCPA) está em vigor a partir de hoje, 1 de Janeiro de 2020

A nova lei tem um impacto sobre a maioria dos proprietários e operadores de websites, como acontecia anteriormente com o GDPR europeu. No entanto, em muitos aspectos, a CCPA não é tão rigorosa como a GDPR e é mais explicitamente dirigida às empresas que vendem os dados pessoais dos consumidores.

Em primeiro lugar, os efeitos da lei são limitados aos residentes da Califórnia. No entanto, isto não significa que as empresas fora da Califórnia não terão de cumprir a lei, se lidarem com clientes deste estado. Uma vez que os residentes da Califórnia podem acessar qualquer website, independentemente da sua origem, isso significa basicamente que todos os proprietários de websites, nos EUA e no estrangeiro, devem tomar medidas para o cumprimento da CCPA.

Já vimos isso antes com a lei GDPR na Europa, que visava todas as empresas que lidam com as informações pessoais dos cidadãos da UE. Na altura em que a GDPR entrou em vigor, os proprietários de websites nos EUA e noutros locais ou cumpriram a GDPR para todos os seus clientes, ou decidiram simplesmente bloquear o acesso aos seus websites se a visita estivesse a ser realizada a partir de um PI na União Europeia.

Se você administra um website em qualquer um dos outros estados americanos, você pode estar enfrentando uma escolha semelhante aqui. Se você pode se dar ao luxo de deixar de fora seus clientes que vivem na Califórnia, há a opção de bloquear as visitas de IPs californianos. No entanto, é provável que as leis de privacidade de dados também estejam na agenda dos legisladores no futuro. Não é imprevisível que mais, se não todos os estados, aprovem legislação semelhante no futuro. Portanto, em vez de bloquear progressivamente potenciais clientes, pode ser mais sensato cumprir agora, independentemente da localização do seu negócio.

Em segundo lugar, ao contrário da GDPR, os efeitos da lei são algo que é limitado. O CCPA dirá respeito apenas às seguintes empresas:

• aqueles com receitas brutas de pelo menos 25 milhões de dólares
• aqueles que têm informações pessoais sobre pelo menos 50.000 residentes na Califórnia / domicílios / dispositivos por ano
• pelo menos 50% da sua receita anual é gerada pela venda dos dados pessoais dos californianos

Se o seu site coleta informações pessoais, mas não se enquadra em uma das categorias acima, então você é livre para fazer negócios como de costume. Estas advertências são um sinal claro de que a lei não foi concebida a pensar nos pequenos empresários, mas sim nas empresas que estão a lucrar com a venda de grandes conjuntos de informações pessoais. No entanto, certifique-se de verificar o número de visitantes únicos da Califórnia que você tem no seu site. Se esse número exceder 50.000 em um ano, então você terá que considerar o cumprimento da CCPA.

Não há uma grande diferença em relação ao que já discutimos anteriormente nos tópicos relacionados à GDPR, pois os dados pessoais envolvidos são praticamente os mesmos: nomes, endereços de e-mail, localização, dados biométricos, etc. A lei define isso como qualquer informação que "identifica, relaciona-se, descreve, é capaz de ser associada, ou pode razoavelmente ser ligada, directa ou indiretamente, a um determinado consumidor ou agregado familiar". Note que a informação disponível ao público, bem como a informação de consumidoridentificada ou agregada não é considerada informação pessoal nos termos do CCPA.

Você ainda pode coletar e até mesmo vender informações pessoais, mas você precisa facilitar para que os usuários optem por não participar deste processo. A lei diz explicitamente que, se uma empresa vende as informações pessoais dos usuários, ela tem que fornecer um link claro em sua página inicial, intitulado "Não Vender Minhas Informações Pessoais". Além disso, é ilegal oferecer diferentes serviços ou funcionalidades com base na opção de opt-in ou opt-out. Todos os clientes têm de continuar a beneficiar dos mesmos serviços.

Semelhante à GDPR, você tem que conceder aos clientes o direito de acesso aos dados, apagar seus dados pessoais e solicitar a divulgação de todas as categorias de dados pessoais coletados e vendidos (se for o caso). Isto será feito numa base anual. A pedido, você tem que fornecer os dados pessoais dos 12 meses anteriores ao pedido. Além disso, o cliente só pode apresentar tais pedidos duas vezes por ano, no máximo.

Além disso, não deixe de incluir o seguinte na sua política de privacidade:

• todas as categorias de informação que você coleta e processa
• para que são utilizadas estas categorias de informação
• como as informações estão sendo coletadas
• qual é o procedimento para solicitar acesso, alterar, mover ou apagar os dados pessoais dos mesmos
• como é verificada a identidade da pessoa que apresenta um pedido
• se os dados pessoais estão a ser vendidos, então isto tem de ser descrito aqui
• como optar pela exclusão da venda dos seus dados

Não necessariamente, mas é provável que se você tomou medidas para cumprir com a GDPR, você também está em conformidade com o CCPA. Todas as condições acima são encontradas na GDPR também, com exceção de regras explícitas para a venda de dados pessoais.

O principal risco que os proprietários de websites enfrentam é o de uma violação de dados. Nos termos da lei, a empresa é responsável por impedir o acesso não autorizado e o roubo de dados dos consumidores. Se isso acontecer, qualquer usuário cujos dados forem vazados tem o direito de solicitar a reparação de danos num valor entre $100 e $750. Uma grande quebra de dados, onde os dados de milhares de usuários são roubados, pode potencialmente levar uma empresa à falência. Multiplique 1000 x $750 e obtenha uma estimativa do impacto.

No entanto, antes de haver qualquer ação civil, as empresas têm 30 dias para "curar a violação notada", se isso for possível.

Como os dados desidentificados, bem como os dados agregados, não se enquadram nas regras do CCPA, a maioria das ferramentas analíticas são provavelmente compatíveis por padrão. No entanto, você deve certificar-se de ler o acordo de processamento de dados e as políticas de privacidade desses terceiros, para ter certeza de que você tem todas as informações sobre o uso de dados pessoais. Como parte do esforço para cumprir com a GDPR, a Visitor Analytics também se tornou compatível com a CCPA. A nossa empresa não se envolve na venda ou partilha de dados com terceiros. Os dados que coletamos não podem ser ligados à identidade de nenhum indivíduo ou domicílio, ou dispositivo.

Se você precisar de mais detalhes sobre a nova lei de privacidade, você pode ler o texto completo do 1.81.5. Lei de Privacidade do Consumidor da Califórnia aqui. Se você gostaria de saber mais sobre como a Visitor Analytics cumpre as leis de privacidade, leia a nossa Política de Privacidade e Contrato de Processamento de Dados.