A Lei de Direitos de Privacidade da Califórnia (CPRA): Você está pronto para o CCPA 2.0?
Publicados: 2020-12-01
Em maio de 2020, o grupo de defesa da privacidade Californians for Consumer Privacy anunciou que havia coletado 900.000 assinaturas para adicionar o California Privacy Rights Act (também conhecido como CPRA, CCPA 2.0, Proposition 24 ou Prop 24) à votação de novembro de 2020.
Em 3 de novembro, 56% dos californianos votaram a favor do CPRA nas eleições gerais. A lei visa revisar e suceder a Lei de Privacidade do Consumidor da Califórnia (CCPA), uma vez que entrar em vigor em 1º de janeiro de 2023.
Em suma, a lei expande os direitos de privacidade do usuário para se alinhar ao GDPR, impõe deveres adicionais às empresas e estabelece a primeira autoridade governamental dedicada à implementação e aplicação da privacidade nos EUA, a California Privacy Protection Agency (CPPA) .
A CCPA já teve um impacto significativo fora da Califórnia, tornando-se o padrão de privacidade de dados nos EUA. É por isso que este projeto de lei precisa ser observado de perto – pode impactar as empresas mesmo que não estejam sediadas na Califórnia. Abaixo, descrevemos os principais pontos que os profissionais de marketing precisam saber para começar a se preparar para os novos requisitos de conformidade.
Uma nova agência de aplicação de privacidade
Quando o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor, a UE nomeou a Autoridade de Proteção de Dados para fazer cumprir as leis. Os EUA não têm autoridade comparável para impor os novos direitos de privacidade do consumidor.
É aí que entra a Agência de Proteção à Privacidade da Califórnia (CPPA). Seu papel é esclarecer as novas diretrizes, aplicar multas e realizar audiências sobre violações de privacidade.
Novos Direitos do Consumidor e Conceitos de PII
O CPRA introduz novos conceitos (que já existem na UE graças ao GDPR) ao cenário de privacidade de dados na Califórnia.
Aqui estão alguns deles, explicados:
- Direito à retificação – Conceder aos consumidores o direito de corrigir informações pessoais imprecisas.
- Direito à restrição – Conceder aos consumidores o direito de limitar o uso e a divulgação de informações pessoais confidenciais.
- Informações de identificação pessoal “sensíveis” – De acordo com a nova lei, certos tipos de informações, como CPF, número de passaporte, localização geográfica precisa, informações biométricas, etc., serão marcadas como “confidenciais”.
O que mudou?
CCPA 2020
- Direito de saber
- Direito de excluir
- Direito de recusar vendas de terceiros
- Direito à não discriminação
Inclui implicitamente PI confidenciais em um conjunto de dados regulamentado mais amplo, mas não impõe requisitos e proibições separados para PI confidenciais (exceto requisitos de verificação aumentados).
CPRA 2023
- Direito de saber
- Direito de excluir
- Direito de recusar vendas e compartilhamento de terceiros
- Direito de Limitar o Uso e Divulgação de PI Confidencial
- Direito à correção
- Direito de acesso a informações sobre a tomada de decisão automatizada
- Direito de recusar a tecnologia de tomada de decisão automatizada
- Direito de Restringir PI Sensível
- Obrigações de auditoria
- Direito à não discriminação
Impõe requisitos e restrições separados em PI sensível:
- Requisitos de divulgação
- Requisitos de desativação para uso e divulgação
- Padrão de consentimento opt-in para uso e divulgação
- Requisitos de limitação de finalidade
Nova Definição de Venda de Informações Pessoais
O CPRA definirá o que as empresas podem fazer com as informações pessoais que coletam dos residentes da Califórnia de uma nova maneira. Sob a CCPA, uma venda foi definida como “troca de dados por algum tipo de contraprestação financeira”, uma definição considerada muito vaga por muitos. O CPRA resolve essa questão dividindo o compartilhamento e a venda de informações pessoais das pessoas em duas categorias diferentes.
O que mudou?
CCPA 2020
- Tem mais de US$ 25 milhões em receita anual;
- compra ou vende, OU recebe ou compartilha para fins comerciais de negócios, PI de mais de 50.000 consumidores, residências ou dispositivos; ou
- obtém pelo menos 50% da receita anual da venda de IP ao consumidor.
CPRA 2023
- Tem mais de US$ 25 milhões em receita anual;
- compra, vende ou compartilha PI de mais de 100.000 consumidores ou famílias; ou
- obtém pelo menos 50% da receita anual da venda ou compartilhamento de IP do consumidor.
Mais direitos para menores de 16 anos
- Aumento das multas administrativas por compartilhamento ilegal de informações pessoais de crianças : Quaisquer violações envolvendo informações pessoais de crianças menores de 16 anos estão sujeitas a uma multa de US$ 7.500 por violação. De acordo com a lei atual, essa penalidade foi reservada apenas para violações intencionais. A multa máxima de US$ 2.500 para todos os outros atos não intencionais envolvendo pessoas com mais de 16 anos permanece a mesma.
- Requisitos de consentimento opt-in para compartilhar informações pessoais de crianças menores de 16 anos : De acordo com o CPRA, os consumidores podem não apenas optar por não vender suas PI, mas também optar por não vendê-las especificamente a terceiros. Da mesma forma, o CCRA aborda a necessidade de as empresas coletarem consentimento afirmativo opt-in para compartilhar ou vender o PI de crianças menores de 16 anos. consumidor, ou pai ou responsável do consumidor, para especificar que o consumidor tem menos de 13 anos de idade ou pelo menos 13 anos de idade e menos de 16 anos de idade.”
O que há de novo para os empreiteiros? Obrigações Contratuais para Prestadores de Serviços
A CPRA introduz o termo “contratantes” para descrever aqueles a quem uma empresa disponibiliza informações pessoais de um consumidor para fins comerciais de acordo com um contrato escrito (semelhante aos “prestadores de serviços” da CCPA, onde se refere a pessoas que processam informações pessoais “ em nome de" uma empresa).
Enquanto o CCPA foi ambíguo em suas definições de prestadores de serviços e subprestadores de serviços, o CPRA estabelece as novas regras de forma muito clara. Qualquer contratado ou provedor de serviços é obrigado por contrato escrito a ser transparente sobre quaisquer colaborações com outros subprocessadores. Os provedores de serviços não podem adicionar ou reter quaisquer outros dados do consumidor, dando às empresas o direito de “tomar medidas razoáveis e apropriadas” para garantir que as informações pessoais não sejam obtidas ou usadas de forma antiética.
O que os profissionais de marketing precisam saber sobre o CPRA
Em 2023, os profissionais de marketing precisam prestar mais atenção aos dados que coletam e usam para alcançar os consumidores, sejam dados primários ou de terceiros, como criação de público e informações de segmentação usadas pelos anunciantes. Qualquer coleta de dados, seja direta ou por meio de outros prestadores de serviços ou contratados, exigirá o consentimento explícito do consumidor . Qualquer uso, compartilhamento ou venda subsequente de informações pessoais também precisa ser divulgado.
Veja o que os profissionais de marketing precisam fazer para se preparar para o CPRA:
1. Priorize a transparência em sua empresa
O CPRA deixa claro que as empresas precisam ser transparentes sobre os dados que coletam. Se você já está prestando atenção em como coleta dados, onde os armazena, por quanto tempo os mantém e como os gerencia ao longo de todo o ciclo de vida, agora é a hora de compartilhar todas essas medidas com seus usuários. Da mesma forma, sob o CPRA, as empresas serão limitadas na forma como usam estruturas de consentimento para pressionar os usuários a realizar determinadas ações. Se isso é algo que seu departamento de marketing faz, comece a analisar como você coleta consentimento para evitar padrões obscuros e consentimento implícito.
2. Revise os cookies e atualize as políticas
Semelhante ao GDPR, o CPRA limita certas funções de compartilhamento de dados que incluem o uso de cookies. Comece a inventariar os cookies que existem em seu site e atualize suas políticas para garantir que estejam de acordo com os regulamentos mais recentes. Certifique-se de atualizar seu palavreado para incluir todas as novas cláusulas do CPRA – você está coletando alguma PI “sensível”? Como os usuários podem desativar a tecnologia de tomada de decisão automatizada? Certifique-se de que essas considerações sejam claras para os consumidores.
3. Revise todos os contratos com parceiros (incluindo editores)
Como uma empresa vinculada à CPRA, você deve garantir que seus parceiros forneçam o mesmo nível de conformidade com as leis de privacidade que você. Revise minuciosamente todos os seus contratos (envolva o jurídico, se necessário) para garantir que todos os dados do usuário sejam obtidos por meio de consentimento explícito e gerenciados de forma ética.
O CPRA limita as práticas de venda de dados, especialmente quando se trata de público-alvo e segmentação comportamental. Certifique-se de examinar suas parcerias com editores e favorecer aqueles que usam pools de dados primários e obtiveram os dados em conformidade com esses regulamentos de privacidade.
4. Trabalhe com um especialista em privacidade
Quer você contrate alguém ou trabalhe com um consultor ou agência externa, você precisa de um especialista para ajudá-lo a ficar a par das últimas regulamentações. A CPRA provavelmente não é a última lei de privacidade de dados que afetará seus negócios. Na verdade, a lei está estabelecendo novos padrões que provavelmente serão adotados em todo o país no futuro.
Você está pronto?
Agora que o projeto foi aprovado, as empresas precisam se familiarizar com os novos requisitos de conformidade. A lei entra em vigor em 1º de janeiro de 2023 e entra em vigor em 1º de julho de 2023, mas já pode ser aplicada às informações pessoais coletadas pelas empresas já em 1º de janeiro de 2022.
Um aviso tão longo para se ajustar aos novos regulamentos de privacidade pode parecer excessivo, mas as coisas podem ficar complicadas rapidamente em organizações maiores, especialmente se você trabalha com muitos parceiros. É por isso que recomendamos começar imediatamente.
Tem alguma pergunta? O Convert é a ferramenta de teste A/B mais compatível com a privacidade do mercado. Nossos especialistas conhecem todos os detalhes das regulamentações de privacidade e o que é preciso para estar em total conformidade - envie-nos suas perguntas aqui.
