O que é CCPA?

A Lei de Privacidade do Consumidor da Califórnia (CCPA) um estatuto estadual que aprimora os direitos de privacidade do consumidor e regula a coleta, uso e venda de informações pessoais por empresas que operam na Califórnia. O CCPA é a resposta da Califórnia ao GDPR da União Europeia. Ele concede aos consumidores o direito de acessar, excluir, corrigir, etc., para fornecer transparência e responsabilidade nas práticas de dados.

Visão geral da CCPA

  • Lei: Lei de Privacidade do Consumidor da Califórnia
  • Região: Califórnia
  • Assinado em: 28-06-2018
  • Data efetiva: 01-01-2020
  • Indústria: Todas as indústrias que fazem negócios na Califórnia

Dados pessoais sob o CCPA

A CCPA define informações pessoais como quaisquer informações que identifiquem um titular de dados e aquelas que possam ser razoavelmente vinculadas a um titular de dados específico.

Identificadores diretos: Nome, endereço, e-mail, número de telefone, número do seguro social, número da carteira de motorista, número do passaporte, identificador on-line, etc.
Identificadores Indiretos: Endereço IP, histórico de navegação, registros de compras, dados de geolocalização, dados de saúde, dados biométricos, gravações de áudio, informações educacionais, informações de emprego, inferências extraídas de dados coletados (por exemplo, hábitos de consumo, opiniões políticas) e outros detalhes que, quando combinados, podem identificar uma pessoa.

Principais componentes do CCPA

O California Consumer Privacy Act (CCPA) é construído sobre vários componentes essenciais, que coletivamente estabelecem sua estrutura abrangente de proteção de dados. Esses componentes abrangem

  • Direitos sobre os dados
  • Princípios de proteção de dados
  • Requisitos de conformidade
  • Tratamento de solicitação de dados
  • execução
  • Atualizações da Política de Privacidade

Princípio de proteção de dados

Os princípios de proteção de dados da Lei de Privacidade do Consumidor da Califórnia (CCPA) giram em torno dos seguintes princípios fundamentais:

  • Limitação de finalidade: PII coletados devem ser usados ​​somente para os propósitos específicos divulgados ao consumidor durante a coleta. As empresas não podem usá-los para propósitos não relacionados sem consentimento adicional.
  • Minimização de dados: As empresas só podem coletar PII razoavelmente necessárias para seus propósitos declarados. Coletar dados excessivos ou irrelevantes levanta preocupações de privacidade e aumenta os riscos de conformidade.
  • Segurança de dados: As empresas devem implementar medidas de segurança razoáveis ​​para proteger PII de acesso não autorizado, divulgação, alteração ou destruição. Essas medidas incluem criptografia, controles de acesso, avaliações regulares de segurança e muito mais.
  • Transparência: As empresas devem ser transparentes sobre as PII que coletam, seus propósitos e quaisquer terceiros com quem os dados são compartilhados. Elas também precisam de mecanismos para que os consumidores exerçam seus direitos e abordem preocupações.
  • Prestação de contas: As empresas são responsáveis ​​por cumprir os requisitos da CCPA, incluindo responder às solicitações dos consumidores e garantir que os provedores de serviços terceirizados cumpram a lei.

Direitos sob CCPA

A CCPA concede aos californianos vários direitos em relação às suas PII:

  • Direito de Informar
  • Direito de acesso
  • Direito de exclusão
  • Direito de Corrigir
  • Direito de Limitar o Uso
  • Direito de optar por não participar da venda
  • Direito à Não Discriminação

Quem precisa obedecer

A CCPA se aplica a empresas que:

  • Faça negócios na Califórnia.
  • Colete as PII dos residentes da Califórnia.
  • Ter uma receita bruta anual superior a US$ 25 milhões.
  • Compre ou venda informações de identificação pessoal de 50,000 ou mais residentes da Califórnia anualmente.
  • Obter 50% ou mais de sua receita bruta com a venda de PII de residentes da Califórnia.

Exceções

A CCPA, embora tenha como objetivo a proteção abrangente da privacidade de dados, inclui diversas exceções:

  • Comunicações B2B: Esta política não se aplica a informações pessoais coletadas para comunicações entre empresas, o que significa interações entre empresas e não entre empresas e indivíduos.
  • Dados do funcionário: Informações sobre funcionários, coletadas e usadas somente dentro do contexto da relação de emprego, ficam fora do escopo do CCPA. No entanto, dados coletados sobre candidatos a emprego ficam sob as proteções do CCPA.
  • Informações disponíveis publicamente: As informações de identificação pessoal já disponíveis em registros públicos estão isentas dos regulamentos da CCPA.
  • Instituições financeiras: Informações regidas por leis federais específicas, como o Fair Credit Reporting Act (FCRA) ou o Gramm-Leach-Bliley Act (GLBA), estão isentas de certas disposições do CCPA.
  • Pesquisa: Atividades de pesquisa científica, histórica ou estatística podem ser isentas do requisito de exclusão do CCPA sob condições específicas, como consentimento informado e justificativa de interesse público.
  • Informações sobre propriedade do veículo: A Lei de Proteção à Privacidade do Motorista (DPPA) substitui a CCPA para informações como propriedade de veículos compartilhadas entre concessionárias e fabricantes para fins de garantia ou recall.
  • Setor de Saúde: Em questões de informações de saúde protegidas (PHI), a Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA) precede a CCPA.
  • Atividades de aplicação da lei: As informações pessoais coletadas e usadas para fins de aplicação da lei estão fora do escopo da CCPA.

Penalidades Regulatórias

A CCPA impõe dois tipos de multas por não conformidade:

Multas por violação: Violações intencionais: US$ 7,500 por violação, sem um máximo definido. Isso significa que as penalidades podem se multiplicar rapidamente, dependendo do número de indivíduos afetados e violações.
Violações não intencionais: US$ 2,500 por infração, limitado a US$ 2,500 por evento de violação de dados. Isso enfatiza a importância de medidas preventivas para evitar erros não intencionais.
Ações judiciais de consumidores: Danos Estatutários: $100-$750 por consumidor afetado por ocorrência ou danos reais incorridos (o que for maior). Isso capacita indivíduos a buscar compensação direta por violações de privacidade.
Medida cautelar: Os tribunais podem impor ordens para interromper atividades ilegais e evitar danos futuros.

Autoridade de conformidade para CCPA

A principal autoridade de conformidade para o California Consumer Privacy Act é o California Attorney General's Office (CAO). A California Privacy Protection Agency começou a operar em julho de 2023. No entanto, o CPPA se concentra principalmente na criação de regras e educação, assumindo a maioria dessas responsabilidades do CAO. O CAO mantém sua autoridade de execução sob o CCPA e outras obrigações legais contínuas. Portanto, embora o CPPA desempenhe um papel crescente na conformidade com o CCPA, o California Attorney General's Office continua sendo a principal autoridade de execução para o ato.

Concluindo, entender e aderir aos regulamentos da CCPA são primordiais para empresas que operam na Califórnia ou lidam com informações pessoais de residentes da Califórnia. Técnicas de mascaramento de dados, como anonimização de dados, criptografia de dados e redação de dados, podem reduzir significativamente o risco de não conformidade e violações de dados ao obscurecer PII sensíveis em ambientes de desenvolvimento, teste e análise. Isso minimiza a exposição de informações sensíveis, como informações de identificação pessoal (PII), registros financeiros, informações de saúde protegidas, números de previdência social, etc., simplificando a conformidade com a CCPA e aprimorando a segurança e a privacidade dos dados.

O que você pode fazer com Solix

Solicitar uma demonstração
Cadastre-se para um teste gratuito e ganhe um vale-presente Amex

Participe para ganhar um vale-presente Amex de $ 100

Notícias

Acesse nossos outros recursos relacionados