Está pronto para os requisitos de «Não rastrear» da Califórnia?

Nos últimos meses, a Califórnia aprovou várias novas leis de privacidade e proteção de dados que afetam os operadores de sites, serviços online e aplicações móveis em todo o país, incluindo uma lei que estabelece um «apagador da Internet» para menores e alterações aos requisitos estaduais de notificação de violação de dados. O projeto de lei mais recente, que altera a Lei de Proteção à Privacidade Online da Califórnia (California Online Privacy Protection Act, “CalOPPA”), dá aos operadores de sites até 1º de janeiro de 2014 para atualizar suas políticas de privacidade e divulgar como respondem aos mecanismos “Não rastrear” nos navegadores da web. Você está pronto para esses novos requisitos “Não rastrear”?

O que exige a nova lei?

De acordo com a CalOPPA, os operadores de sites já eram obrigados, entre outras coisas, a publicar de forma visível uma política de privacidade que descrevesse as categorias de informações pessoais identificáveis que o site ou aplicativo móvel recolhe e com quem as informações são partilhadas. Conforme alterado pela Assembleia Bill 370, os operadores de sites e aplicações móveis agora são obrigados a divulgar aos utilizadores como o site responde aos chamados mecanismos "Do Not Track" (Não rastrear), que são normalmente pequenos pedaços de código - semelhantes a cookies - que sinalizam aos sites ou aplicações móveis que o utilizador não deseja que o operador do site rastreie a sua visita ao site, incluindo através de ferramentas analíticas, redes de publicidade e outros tipos de práticas de recolha e rastreamento de dados.

Os requisitos aplicam-se a mim?

A lei aplica-se a todas as empresas que recolhem informações de rastreamento de residentes da Califórnia e, consequentemente, aplica-se a empresas que fazem negócios na Califórnia e rastreiam residentes da Califórnia, mesmo que a empresa não tenha presença física na Califórnia.

Preciso respeitar as preferências de Não Rastrear do utilizador?

Notavelmente, a Califórnia não exigiu que os operadores de sites e aplicações móveis respeitem o uso de mecanismos «Não rastrear» pelos utilizadores – apenas que seja fornecida ao utilizador uma divulgação sobre como o site responderá a tal mecanismo.

Como posso cumprir?

Um operador de site pode satisfazer o novo requisito fornecendo «um hiperlink claro e visível na política de privacidade do operador para um local online que contenha uma descrição, incluindo os efeitos, de qualquer programa ou protocolo que o operador siga e que ofereça aos consumidores essa opção [de não serem rastreados]». O Programa de Autorregulação para Publicidade Comportamental Online da Digital Advertising Alliance é um programa de autorregulação comumente usado para ajudar as empresas a permitir que os consumidores optem por não receber publicidade direcionada com base no rastreamento de atividades na web.

Nota: O prazo para conformidade é 1 de janeiro de 2014.

Existem penalidades se eu não atualizar a minha política de privacidade?

O não cumprimento dos novos requisitos pode resultar em multas de US$ 2.500 por violação. Com relação aos aplicativos móveis, o Procurador-Geral da Califórnia indicou que cada download de um aplicativo móvel que não esteja em conformidade com os novos requisitos constitui uma violação e pode acarretar a multa.

Melhores práticas para conformidade

Como parte da atualização das suas políticas de privacidade para cumprir os novos requisitos Do Not Track (Não Rastrear) da CalOPPA, os proprietários e operadores de sites devem adotar as seguintes práticas recomendadas:

1. Identificar os mecanismos de rastreamento implementados nos seus sites e serviços online, incluindo (a) os tipos específicos de informações pessoais recolhidas pelo mecanismo de rastreamento e (b) se os utilizadores têm a opção de controlar se e como os mecanismos são utilizados e se o operador respeitará a escolha do utilizador. A lista deve incluir os mecanismos de rastreamento utilizados pelo próprio operador, bem como quaisquer mecanismos de rastreamento colocados por terceiros, incluindo anunciantes e serviços de análise.
2. No caso de mecanismos de rastreamento empregados por terceiros, o operador deve determinar se o mecanismo recolhe informações pessoais sobre os utilizadores. Mesmo que os mecanismos não recolham informações pessoais, o operador pode querer identificar os mecanismos na sua política de privacidade, caso o operador terceiro combine os dados de rastreamento com informações pessoais sobre os utilizadores que recolheu de outra fonte.
3. Identifique quaisquer outros mecanismos que recolham informações pessoais dos utilizadores, incluindo plug-ins de redes sociais. Embora as alterações à CalOPPA não visem necessariamente este tipo de mecanismos de recolha de dados, os operadores devem considerar a possibilidade de os divulgar aos utilizadores nas suas políticas de privacidade.
4. Incorpore as informações identificadas acima nas divulgações da política de privacidade do site, incluindo as informações recolhidas dos utilizadores no contexto do rastreamento da atividade do site e como o utilizador pode optar por não permitir a recolha dessas informações e/ou receber publicidade direcionada com base nas informações de rastreamento.

Uma cópia completa do Projeto de Lei 370 da Assembleia está disponível aqui.