A Califórnia avança para proteções de privacidade semelhantes às do GDPR na Lei de Privacidade do Consumidor da Califórnia de 2018

CCPA em resumo

A nova lei concede aos consumidores amplos direitos de acesso e controlo sobre as suas informações pessoais e impõe obrigações técnicas, de notificação e financeiras às empresas afetadas.
A CCPA foi promulgada para proteger a privacidade dos consumidores da Califórnia e tem algumas características semelhantes ao Regulamento Geral sobre a Proteção de Dados (RGPD) da UE, incluindo uma definição nova e muito ampla do que está incluído nas informações pessoais protegidas. As empresas afetadas são entidades com fins lucrativos que operam na Califórnia e que atendem a determinados requisitos de receita ou volume de recolha de dados.
A CCPA entra em vigor a 1 de janeiro de 2020 e será aplicável às informações pessoais recolhidas antes e depois da data de entrada em vigor.
As empresas precisarão modificar as suas operações, políticas e procedimentos para cumprir os direitos dos residentes da Califórnia à informação e ao controlo das suas informações pessoais.
Dada a exigência de que o Procurador-Geral da Califórnia desenvolva regulamentos de implementação e a forte e aberta oposição à CCPA por parte das empresas de tecnologia, os requisitos finais de conformidade provavelmente evoluirão consideravelmente entre agora e 1 de janeiro de 2020.

Em 28 de junho de 2018, a Califórnia aprovou a AB 375, a Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA), que entrará em vigor em 1 de janeiro de 2020. Apresentada apenas uma semana antes, numa tentativa de derrotar uma iniciativa eleitoral muito mais rigorosa focada na privacidade, a CCPA é uma nova lei abrangente sobre privacidade que foi aprovada por unanimidade pelo legislativo, faltando apenas alguns minutos para retirar a iniciativa eleitoral da votação de novembro. A CCPA concede aos consumidores da Califórnia direitos significativamente ampliados no que diz respeito à recolha e utilização das suas informações pessoais por empresas.

Aplicabilidade às empresas

Novos tipos de dados incluídos como informações pessoais

A CCPA define informações pessoais de forma ampla para abranger tipos de informações que tradicionalmente não são consideradas informações pessoais nos Estados Unidos, incluindo:

endereços IP
endereços de e-mail
registos de históricos ou tendências de compra ou consumo
histórico de navegação e histórico de pesquisa

dados de geolocalização
informação áudio, visual ou térmica
informações profissionais ou de emprego
informações sobre educação

A CCPA utiliza uma definição muito mais ampla de informações pessoais do que a geralmente utilizada nas leis de privacidade dos Estados Unidos, incluindo a definição da própria lei de notificação de violação de dados da Califórnia. As informações pessoais ao abrigo da CCPA incluem «informações que identificam, se relacionam, descrevem, são capazes de ser associadas ou podem ser razoavelmente ligadas, direta ou indiretamente, a um consumidor ou família em particular». Com esta definição ampla, os tipos de informações protegidas pela CCPA estão muito mais próximos dos encontrados no Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia.

A lei aplica-se a entidades com fins lucrativos que operam na Califórnia e têm um papel na determinação dos meios e finalidades do processamento de informações pessoais e que: (a) têm receitas brutas anuais superiores a US$ 25.000.000; (b) processam anualmente as informações pessoais de 50.000 ou mais residentes, famílias ou dispositivos da Califórnia; ou (c) obtêm pelo menos metade da sua receita bruta com a venda de informações pessoais. Assim, a aplicabilidade da CCPA baseia-se na estrutura corporativa, na receita total e na fonte de receita, bem como na quantidade de informações pessoais processadas por uma empresa, independentemente da sua localização real. A CCPA não define «famílias», e a definição de «dispositivos» não se limita aos dispositivos pertencentes a residentes da Califórnia. Assim, a lei pode afetar empresas com laços apenas vagos com a Califórnia.

Apesar da aparente ampla aplicabilidade da CCPA, ela exclui especificamente informações pessoais abrangidas por outras leis federais e estaduais, tais como: informações de saúde protegidas pela Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA) ou HIPAA; a venda de informações de ou para uma agência de relatórios de crédito, se as informações forem utilizadas como parte de um relatório de crédito e em conformidade com a Lei de Relatórios de Crédito Justos (FCRA); e apenas na medida em que a CCPA esteja em conflito, informações que são recolhidas, processadas, vendidas ou divulgadas de acordo com a Lei Gramm-Leach-Bliley (GLBA) ou a Lei de Proteção à Privacidade do Motorista (DPPA).

Requisitos da CCPA

Conforme atualmente promulgada, a lei aumenta drasticamente os direitos dos consumidores de acesso e controlo sobre como as suas informações pessoais são recolhidas, utilizadas, vendidas e divulgadas. Supondo que a lei não seja revista, a CCPA proporcionaria aos consumidores o seguinte:

Direito às informações pessoais recolhidas por empresas – Os consumidores terão o direito (sujeito a verificação de identidade) de obter um registo das informações pessoais que uma empresa recolhe sobre eles, bem como informações sobre as fontes e os fins comerciais ou empresariais dessas informações pessoais.
Direito de apagar informações pessoais – Os consumidores podem exigir (sujeito a verificação de identidade e exceções limitadas) que uma empresa e seus prestadores de serviços apaguem quaisquer informações pessoais que a empresa tenha sobre o consumidor, uma vez que as informações não sejam mais necessárias.
Direito de exclusão – Os consumidores terão o direito de optar por não permitir a venda futura das suas informações pessoais através, pelo menos, de um link «Não vender as minhas informações pessoais» na página inicial de uma empresa.
Requisito de consentimento para menores – As empresas estão proibidas de vender as informações pessoais de consumidores que tenham conhecimento efetivo de que são menores de 16 anos e para os quais não tenham o consentimento adequado.
Proíbe a renúncia e a retaliação por parte das empresas – As renúncias aos direitos e recursos dos consumidores ao abrigo da CCPA são inexequíveis e as empresas não podem discriminar os consumidores pelo exercício dos seus direitos ao abrigo da CCPA, por exemplo, recusando bens ou serviços ao consumidor ou cobrando ou sugerindo preços ou taxas diferentes para bens e serviços.
Maior transparência – As empresas precisarão ser substancialmente mais transparentes sobre a recolha e utilização de informações pessoais e devem fornecer aos consumidores um aviso (nas suas políticas de privacidade) sobre os seus novos direitos ao abrigo da CCPA.

Aplicação da lei

Antes da lei entrar em vigor, a CCPA exige que o Procurador-Geral adote regulamentos de implementação, incluindo o estabelecimento de exceções, procedimentos, regras e outros regulamentos necessários para estabelecer a conformidade com os objetivos da CCPA. As empresas de tecnologia se opuseram fortemente à CCPA e é de se esperar que tomem medidas para afetar os regulamentos de implementação. Espera-se que os requisitos de conformidade evoluam entre agora e a data de entrada em vigor, justificando um monitoramento contínuo.

O Procurador-Geral garantirá o cumprimento da CCPA. As empresas que não corrigirem as supostas violações no prazo de 30 dias estarão sujeitas a uma multa de até US$ 7.500 por violação.

A CCPA também concede um direito de ação privado aos consumidores cujas informações pessoais não criptografadas e não editadas (conforme definido de forma mais restrita pela lei de notificação de violação de dados da Califórnia) foram sujeitas a roubo ou outra divulgação não autorizada como resultado da falha de uma empresa em proteger razoavelmente as informações pessoais dos consumidores, conforme exigido pela lei de notificação de violação de dados da Califórnia. Sujeito a determinados requisitos processuais, cada incidente desse tipo permitirá que os consumidores recuperem os danos reais ou até US$ 750 por incidente por consumidor, o que for maior. Assim como em outras leis de privacidade, as alegadas violações da CCPA podem ser a base para ações coletivas.

Semelhanças com o RGPD

A aprovação da CCPA na Califórnia faz parte de uma tendência crescente no sentido de aumentar a proteção de dados para os consumidores. A CCPA surge na sequência da entrada em vigor, em 25 de maio de 2018, do RGPD, que confere amplos direitos de privacidade e proteção de dados pessoais aos indivíduos na União Europeia. Embora o RGPD seja mais abrangente em muitos aspetos do que a CCPA, existem sobreposições significativas nos direitos dos consumidores e nas obrigações das empresas. Por exemplo, tanto a CCPA quanto o GDPR concedem aos consumidores o direito de serem esquecidos e o direito de acessar suas informações pessoais, além de exigir que as empresas sejam transparentes no processamento de informações pessoais. No entanto, o GDPR exige que os consumidores optem por alguns usos de suas informações pessoais, enquanto a CCPA mantém a abordagem de exclusão geralmente usada nos Estados Unidos. A CCPA também não possui os requisitos relativamente restritivos de segurança e acordos com fornecedores encontrados no GDPR.

No entanto, existem semelhanças e sobreposições significativas entre o RGPD e a CCPA. Essas semelhanças podem facilitar a conformidade com a CCPA para empresas que já tomaram medidas para cumprir o RGPD. As empresas sujeitas ao RGPD devem rever o seu tratamento de informações pessoais para determinar se satisfazem os requisitos da CCPA. As organizações que já tomaram medidas para cumprir integralmente o RGPD apenas para indivíduos na União Europeia podem ter de alargar muitas das proteções aos consumidores da Califórnia. As organizações que não estavam em total conformidade com os requisitos do RGPD podem querer rever e priorizar o seu cronograma para garantir a conformidade com os requisitos da CCPA antes de 1 de janeiro de 2020. As organizações que anteriormente não estavam sujeitas ao RGPD devem avaliar se agora estarão sujeitas à CCPA e devem começar a planear a sua conformidade com bastante antecedência em relação à data de entrada em vigor.

Impacto nas empresas

Embora a CCPA só entre em vigor em 2020, as empresas afetadas levarão algum tempo para cumprir todas as suas disposições. As empresas sujeitas à CCPA devem considerar as seguintes ações como preparação para a implementação da CCPA:

Realizar um mapeamento dos dados pessoais recolhidos pela empresa para compreender o âmbito das informações pessoais recolhidas e como elas são utilizadas e partilhadas com terceiros.
Revisar as políticas e procedimentos internos para poder responder adequadamente às solicitações dos consumidores quanto ao acesso, exclusão ou informações relacionadas à venda ou divulgação de suas informações pessoais.
Acompanhe atentamente as orientações do Procurador-Geral da Califórnia sobre medidas de verificação adequadas para solicitações de consumidores. A CCPA descreve que uma empresa deve associar as informações fornecidas por um consumidor às informações que coletou, vendeu ou divulgou sobre ele para verificar sua identidade, mas instrui o Procurador-Geral da Califórnia a solicitar comentários públicos para promulgar regulamentos adicionais nessa área.
Iniciar o planeamento e a implementação de melhorias tecnológicas nos seus sistemas de informação que possam ser necessárias para processar as solicitações dos consumidores e os seus direitos de recusa da venda de informações pessoais.
Revisar e atualizar as políticas de privacidade para cumprir os requisitos de divulgação da CCPA quando for necessário.
Comece a preparar materiais de formação e a planear a formação de todo o pessoal responsável pelo tratamento de consultas sobre informações pessoais dos consumidores.
Atualize os contratos com terceiros e prestadores de serviços aos quais as informações pessoais dos consumidores são transmitidas para garantir que o fornecedor possa responder adequadamente às solicitações dos consumidores para excluir informações. Considere a utilização de auditorias de terceiros para garantir a conformidade com a CCPA e a realização dessas auditorias por meio de assessoria jurídica para apoiar a posição de que os resultados são cobertos pelo privilégio advogado-cliente.

Olhando para o futuro

Embora a CCPA tenha sido amplamente aplaudida numa conferência de imprensa realizada imediatamente após a sua assinatura pelo governador Jerry Brown, ela também recebeu algumas críticas. Nicole Ozer, diretora de tecnologia e liberdades civis da ACLU, criticou que a CCPA foi redigida às pressas e que falhou completamente em fornecer as proteções de privacidade que os consumidores exigem e merecem. Ela comentou ainda que a lei precisará ser revisada para incluir proteções de privacidade eficazes contra o uso indevido desenfreado de informações pessoais, disposições mais fortes para que os californianos façam valer os seus direitos e proteções contra retaliações por parte das empresas contra os consumidores da Califórnia que exercem os seus direitos. Por outro lado, algumas empresas da Califórnia consideraram a CCPA demasiado restritiva, mas não tentaram opor-se a ela porque a iniciativa eleitoral concorrente, se aprovada, teria imposto restrições significativamente maiores ao uso de informações pessoais e seria mais difícil de alterar no futuro do que a CCPA, tal como promulgada pelos legisladores. Como resultado, é provável que a CCPA seja revista antes de entrar em vigor em 1 de janeiro de 2020. A lei também está sujeita à participação pública na implementação de regulamentos que devem ser adotados pelo Procurador-Geral, incluindo categorias adicionais potenciais de informações pessoais e requisitos específicos para lidar com os direitos de exclusão dos consumidores. Os advogados da Foley continuarão a monitorizar a CCPA e quaisquer alterações e regulamentos de implementação.

Para perguntas ou informações adicionais sobre este tema, entre em contacto com qualquer um dos seguintes autores de notícias jurídicas ou parceiros adicionais da equipa de Cibersegurança da Foley: