GDPR vs. CCPA: tudo sobre a Lei de Privacidade do Consumidor da Califórnia de 2020 (e como ela se compara ao GDPR)

Artigo 4 do GDPR, CCPA 1798.140

Titulares de dados, definidos como pessoas identificadas ou identificáveis ​​a quem os dados pessoais se referem.

Consumidores, definidos como residentes da Califórnia que são:

• Na Califórnia para fins que não sejam temporários ou transitórios.
• Domiciliados na Califórnia, mas atualmente estão fora do Estado para fins temporários ou transitórios.

Os consumidores incluem:

• Clientes de bens e serviços domésticos.
• Funcionários.
• Transações entre empresas.

Embora nem o GDPR nem a CCPA se apliquem a pessoas jurídicas, ambos se aplicam a pessoas físicas, mas com uma diferença na forma como são definidos. A CCPA afirma claramente que se aplica a residentes da Califórnia, enquanto o GDPR usa o termo mais vago “titular de dados da UE” sem citar nenhum requisito de residência ou cidadania. A CCPA também protege os dados que podem ser vinculados a uma determinada família , não apenas a um indivíduo, como faz o GDPR.

Artigo 3 do GDPR, CCPA 1798.140

Controladores de dados e processadores de dados:

• Estabelecidos na UE que processem dados pessoais no contexto das atividades do estabelecimento da UE, independentemente de o processamento de dados ocorrer dentro da UE.
• Não estabelecido na UE que processe dados pessoais de titulares de dados da UE em conexão com a oferta de bens ou serviços na UE ou monitorando seu comportamento.

Qualquer entidade com fins lucrativos que faça negócios na Califórnia, que atenda a um dos seguintes:

• Tem uma receita bruta superior a US $ 25 milhões.
• Anualmente compra, recebe, vende ou compartilha as informações pessoais de mais de 50.000 consumidores, residências ou dispositivos para fins comerciais.
• Obtém 50% ou mais de sua receita anual da venda de informações pessoais dos consumidores.

O escopo do GDPR é amplo: aplica-se a todas as organizações, desde empresas a instituições públicas e ao setor sem fins lucrativos. Enquanto isso, a CCPA restringiu sua aplicabilidade a empresas com fins lucrativos que atendem a requisitos muito claros.

Em relação à localização geográfica, o GDPR se aplica a qualquer empresa que processe os dados dos titulares de dados da UE, onde quer que estejam localizados. A CCPA não é clara neste ponto: as empresas que se enquadram em sua jurisdição devem estar “fazendo negócios na Califórnia”, mas não esclarece se a empresa deve estar localizada no estado ou atender a certos limites de lucro para se qualificar como tal.

Artigo 4 do GDPR, CCPA 1798.140

Dados pessoais são quaisquer informações relacionadas a um titular de dados identificado ou identificável. O GDPR proíbe o processamento de categorias especiais definidas de dados pessoais, a menos que se aplique uma justificativa legal para o processamento.

As informações pessoais que identificam, se relacionam, descrevem, podem ser associadas ou podem ser razoavelmente vinculadas, direta ou indiretamente, a um determinado consumidor ou família.

O GDPR se aplica a todas as categorias de dados pessoais, enquanto o CCPA se aplica apenas a dados não cobertos pelas leis federais de privacidade existentes, como o Gramm-Leach-Bliley Act (GLBA) ou o Health Information Portability and Accountability Act (HIPAA).

Artigo 4 do GDPR, CCPA 1798.140

Dados pseudônimos são considerados dados pessoais. Dados anônimos não são considerados dados pessoais.

A CCPA não restringe a capacidade de uma empresa de coletar, usar, reter, vender ou divulgar informações do consumidor desidentificadas ou agregadas. No entanto, a CCPA estabelece uma barreira alta para alegar que os dados são desidentificados ou agregados. Dados com pseudônimos podem se qualificar como informações pessoais de acordo com a CCPA porque permanecem capazes de serem associados a um determinado consumidor ou família.

A definição de “pseudonimização” sob o GDPR e a CCPA é muito semelhante, pois é o processamento de dados pessoais de forma que os dados pessoais não possam mais ser atribuídos a uma pessoa identificada ou identificável sem o uso de informações adicionais, por implementar medidas técnicas e organizacionais que mantenham separadamente as informações adicionais necessárias para a identificação.

Artigo 13 do GDPR, CCPA 1798.100

Os controladores de dados devem fornecer informações detalhadas sobre suas atividades de coleta e processamento de dados pessoais. O aviso deve incluir informações específicas, dependendo se os dados são coletados diretamente do titular dos dados ou de terceiros.

As empresas devem informar os consumidores sobre:

• As categorias de informações pessoais coletadas.
• Os propósitos de uso pretendidos para cada categoria.

Tanto o GDPR quanto o CCPA exigem que as organizações divulguem o que fazem com os dados pessoais que coletam. A CCPA, no entanto, exige que as empresas divulguem vendas de dados e atividades relacionadas ao processamento de dados nos últimos 12 meses, enquanto o GDPR não impõe tais limitações.

Artigo 24 do GDPR, CCPA 1798.150

O GDPR exige que os controladores e processadores de dados tomem medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco.

A CCPA não impõe requisitos de segurança de dados diretamente. No entanto, ele estabelece um direito de ação para determinadas violações de dados resultantes de violações do dever de uma empresa de implementar e manter práticas e procedimentos de segurança razoáveis ​​e apropriados ao risco decorrente da lei existente da Califórnia.

• As categorias de informações pessoais coletadas.
• Os propósitos de uso pretendidos para cada categoria.

Substancialmente semelhante na abordagem estatutária, embora medidas de segurança razoáveis ​​possam variar até certo ponto de acordo com as circunstâncias de uma organização e a interpretação do regulador.

Artigo 12 do GDPR - Artigo 21, CCPA 1798.120

Direitos do indivíduo expandido:

• acessar suas informações;
• corrigir as imprecisões;
• ter informações apagadas;
• impedir o marketing direto;
• evitar a tomada de decisão automatizada e a criação de perfis;
• portabilidade de dados.

Direitos do indivíduo expandido:

• acessar suas informações;
• corrigir as imprecisões;
• ter informações apagadas;
• impedir o marketing direto;
• evitar a tomada de decisão automatizada e a criação de perfis;
• portabilidade de dados.

Embora o GDPR exija que as organizações obtenham o consentimento prévio dos titulares de dados para processamento de dados e acesso de terceiros aos seus dados, a CCPA permite que os titulares de dados desativem a venda de seus dados e exige que as empresas tenham um link visível na parte superior de sua página inicial para este fim.

Tanto o GDPR quanto o CCPA oferecem o direito à portabilidade de dados: ou seja, fornecer aos consumidores seus dados pessoais em um formato legível por máquina comumente usado que pode ser transmitido para outra entidade.

O GDPR vai um passo além nessa direção, colocando as organizações sob a obrigação de transferir as informações de um titular de dados para outro controlador de dados mediante solicitação.

Sob a CCPA, as empresas só são obrigadas a fornecer aos consumidores as informações eletronicamente em um formato prontamente utilizável.

Embora o direito de exclusão do GDPR tenha algumas exceções notáveis, como dados necessários para exercer o direito de liberdade de expressão ou dados necessários para conformidade com a legislação da UE ou de um estado membro da UE, a CCPA amplia ainda mais essas exceções, incluindo não apenas liberdade de expressão e informação necessários para contratos, mas, principalmente, também usos internos compatíveis com o contexto em que o consumidor forneceu os dados.

Artigo 8º do GDPR, CCPA 1798.120

A idade padrão para consentimento do GDPR é 16 anos, embora a lei dos estados membros individuais possa reduzir a idade para não menos de 13 anos.

A pessoa com responsabilidade parental deve fornecer o consentimento para crianças menores de idade. As crianças devem receber um aviso de privacidade apropriado para a idade.

Os dados pessoais de crianças estão sujeitos a requisitos de segurança reforçados.

A CCPA proíbe a venda de informações pessoais de um consumidor menor de 16 anos sem consentimento.

Crianças de 13 a 16 anos podem fornecer consentimento diretamente. Crianças menores de 13 anos precisam do consentimento dos pais.

O GDPR enfatiza a proteção especial para crianças e fornece disposições específicas para proteger os dados pessoais de crianças quando processados ​​para fornecer serviços da sociedade da informação.

A CCPA cria uma regra especial para crianças no que diz respeito à “venda” de informações pessoais, mas essa regra não se limita aos serviços da sociedade da informação.