Após uma ampla cobertura da mídia sobre o escândalo Facebook-Cambridge Analytica, a violação de dados da Equifax e inúmeras outras violações de dados conhecidas, os consumidores se tornaram mais conscientes de como seus dados pessoais estão sendo usados e mal utilizados pelas empresas.

Em 2016, a União Europeia aprovou o Regulamento Geral sobre a Proteção de Dados (GDPR), que visa proteger os dados e a privacidade dos consumidores. Nos Estados Unidos, não existe uma lei nacional semelhante. Na ausência de uma legislação abrangente de privacidade do consumidor a nível federal, o membro da assembleia da Califórnia, Ed Chau, apresentou o Projeto de Lei 375 da Assembleia, que mais tarde se tornou a lei de privacidade mais rigorosa e extensa do país — a Lei de Privacidade do Consumidor da Califórnia (CCPA). “A Califórnia deu um passo histórico ao promulgar uma legislação para proteger crianças e consumidores, dando-lhes controle sobre seus próprios dados pessoais. Os consumidores devem ter o direito de escolher como suas informações pessoais são coletadas e usadas pelas empresas. São seus dados, sua privacidade, sua escolha”, disse o membro da assembleia Ed Chau quando o projeto de lei CCPA foi aprovado.

Esta é uma mudança bem-vinda para os consumidores, mas o que tudo isso significa para as empresas? 

Boa pergunta. Empresas e grupos da indústria frequentemente reclamaram que a CCPA, como está escrita, é vaga e em algumas áreas inconsistente com as leis atuais. Orientações e emendas recentes em outubro de 2019 ajudaram a esclarecer essas ambiguidades e remover inconsistências na lei. Mas com definições e deveres em constante mudança, as empresas agora estão em uma corrida contra o tempo para implementar um programa de privacidade em conformidade antes que a CCPA e suas emendas entrem em vigor em 1º de janeiro de 2020. Percebendo que montar um programa de privacidade internamente poderia deixar as empresas em risco, muitas estão recorrendo a consultores, prestadores de serviços e fornecedores de software para garantir a conformidade com a lei.

O que exatamente é a CCPA e a quem ela se aplica?

A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma lei de proteção à privacidade e ao consumidor que dá aos consumidores da Califórnia mais controle sobre os dados pessoais que as empresas coletam, vendem e compartilham. Os consumidores terão acesso a dados relacionados a quais informações pessoais estão sendo coletadas e quais informações foram compartilhadas ou vendidas, e para quem foram vendidas. Os indivíduos também terão a capacidade de optar por não participar da coleta e venda de seus dados pessoais e, por lei, não serão discriminados por solicitar essas informações ou por optar por não participar da coleta de dados.

A CCPA se aplica a empresas com fins lucrativos que operam no estado da Califórnia e que atendem a um ou mais dos seguintes requisitos:

• • Ter receitas anuais brutas superiores a 25 milhões de dólares
  • Comprar ou receber anualmente informações pessoais de 50.000 ou mais consumidores, domicílios ou dispositivos
  • Derivar 50% ou mais de suas receitas anuais da venda de dados pessoais dos clientes

A CCPA não se aplica a dados de consumidores coletados ou vendidos totalmente fora da Califórnia, nem se aplica a organizações sem fins lucrativos.

Saiba onde sua empresa armazena dados de consumidores

Para cumprir a CCPA, é necessário saber onde sua empresa armazena seus dados de consumidores. Muitas empresas realizam isso completando um inventário de dados, seguido por uma investigação de fluxo de dados para entender como os dados são usados dentro e fora da organização.

Perguntas que as empresas devem ser capazes de responder incluem: onde os dados dos consumidores são obtidos e armazenados, e se devem ser protegidos; se os dados dos consumidores estão atendendo aos requisitos da CCPA no momento da coleta; que tipo de dados de consumidores são e para quais fins comerciais são usados; quais terceiros têm acesso aos dados e como eles os categorizam; e se os dados precisam ser criptografados, redigidos, anonimizados ou descartados.

Tipos de dados de informações pessoais protegidos pela CCPA:

Os dados dos consumidores protegidos pela CCPA incluem:

• Identificadores como nome real, pseudônimo, endereço postal, identificador pessoal único, endereço de protocolo de internet, endereço de e-mail, nome de conta, número de segurança social, número de carteira de motorista, número de passaporte ou outros identificadores semelhantes.
• Informações comerciais, incluindo registros de propriedade pessoal, produtos ou serviços comprados, obtidos ou considerados, ou outros históricos ou tendências de compra ou consumo.
• Informações biométricas, incluindo características fisiológicas, biológicas ou comportamentais de um indivíduo, incluindo DNA, imagens da íris, retina, impressão digital, rosto, mão, padrões de veias, gravações de voz, impressões faciais, um modelo de minúcias, impressões de voz, padrões ou ritmos de digitação, padrões ou ritmos de marcha, e dados de sono, saúde ou exercício contendo informações identificáveis.
• Informações de atividade de rede eletrônica ou de internet, incluindo histórico de navegação, histórico de pesquisa e informações sobre a interação de um consumidor com um site, aplicativo ou anúncio.

• • Dados de geolocalização

• • Informações de áudio, eletrônicas, visuais, térmicas, olfativas ou semelhantes.
  • Informações profissionais ou relacionadas ao emprego que não estão disponíveis publicamente.
  • Informações educacionais que não estão disponíveis publicamente.
  • Inferências feitas para criar um perfil sobre um consumidor refletindo suas preferências, características, tendências psicológicas, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões.
  • “Identificador probabilístico” significa a identificação de um consumidor ou dispositivo com um grau de certeza mais provável do que não, com base em qualquer categoria de informações pessoais incluídas ou semelhantes às categorias enumeradas na definição de informações pessoais.
  • “Identificador único” ou “Identificador pessoal único” significa um identificador persistente que pode ser usado para reconhecer um consumidor, uma família ou um dispositivo que está vinculado a um consumidor ou família, ao longo do tempo e em diferentes serviços, incluindo, mas não se limitando a, um identificador de dispositivo; um endereço de protocolo de internet; cookies, beacons, tags de pixel, identificadores de anúncios móveis ou tecnologia semelhante; número de cliente, pseudônimo único ou alias de usuário; números de telefone ou outras formas de identificadores persistentes ou probabilísticos que podem ser usados para identificar um consumidor ou dispositivo específico. Para fins desta subdivisão, “família” significa um pai ou responsável legal e quaisquer filhos menores sobre os quais o pai ou responsável tenha custódia.
  • Dados históricos; os consumidores têm o direito de acessar dados que remontam aos últimos 12 meses.
  • Tipos de categorias de dados coletados sobre o consumidor e vendidos ou compartilhados com terceiros.

Anonimize qualquer dado de consumidor que puder

Uma boa notícia — dados desidentificados, anonimizados ou agregados não estão sujeitos à CCPA. Onde for viável para o seu negócio, reduza a quantidade de informações pessoalmente identificáveis (PII) armazenadas em seus sistemas.

A desidentificação de dados, ou anonimização de dados, inclui a exclusão de identificadores pessoais, como nomes e quase identificadores, como datas de nascimento. A CCPA proíbe que dados desidentificados sejam reidentificados e exige controles para garantir que tentativas de fazê-lo sejam proibidas.

Criptografe, mascare, pseudonimize e redija os dados de consumidores que você deve manter.

O que é criptografia? Além de ser sua salvação em relação à legislação da CCPA, a criptografia é uma maneira de as empresas converterem seus dados sensíveis em código, tornando-os ilegíveis para qualquer pessoa, exceto aqueles que possuem as chaves de descriptografia.

A CCPA exige explicitamente que as empresas criptografem informações pessoalmente identificáveis (PII) mantidas sobre os consumidores. Isso é para evitar o uso no caso de os dados serem ilegalmente hackeados, vazados, roubados ou divulgados. Para atender a esses requisitos, software de criptografia usa criptografia para mascarar arquivos, textos e dados, protegendo informações de partes indesejadas. Dados criptografados são transcritos em texto cifrado, tornando-se inutilizáveis para aqueles sem uma chave de criptografia para descriptografar as informações. As empresas utilizam essas ferramentas para garantir que seus dados sensíveis estejam protegidos mesmo em caso de violação.

Mascaramento de dados, ou ofuscação de dados, é uma estratégia para prevenir o uso indevido de dados por funcionários ou ameaças internas. Os dados do consumidor mantêm suas características identificáveis, como faixa etária e código postal, por exemplo, mas removem informações identificáveis, como nome, endereços, números de telefone e outros dados sensíveis. Isso permite que a empresa use dados realistas para testes e desenvolvimento, sem expor informações pessoalmente identificáveis a usuários do dia a dia. O software de mascaramento de dados protege os dados importantes de uma organização, disfarçando-os com caracteres aleatórios ou outros dados, de modo que ainda sejam utilizáveis pela organização, mas não por forças externas.

A redação de dados é um método onde as informações são retidas, mas apenas visíveis para usuários com as permissões corretas. Por exemplo, em vez de mostrar a um usuário não privilegiado o número de segurança social de um consumidor, o usuário não privilegiado veria xxx-xx-xxxx.

Software de conformidade com a CCPA 

Que tipo de software as empresas estão usando para cumprir a CCPA? Resposta curta, uma série de softwares e serviços de proteção de dados, incluindo:

Então, a CCPA é uma lei de cibersegurança? 

Em resumo, sim. A CCPA é tanto uma lei de privacidade do consumidor quanto uma lei de cibersegurança, pois é prescritiva sobre como as empresas devem proteger as informações pessoalmente identificáveis (PII) dos consumidores e dados relacionados em caso de violação de dados. Especificamente, a CCPA destaca a necessidade de criptografar e anonimizar dados identificáveis dos consumidores para evitar multas.

Violações de dados e recurso legal dos consumidores

Não se preocupou em criptografar seus dados sensíveis de consumidores? Prepare-se para desembolsar algum dinheiro. Os consumidores têm recurso legal se descobrirem que dados de consumidores em texto simples, não criptografados ou não redigidos foram hackeados, roubados ou de outra forma divulgados devido à incapacidade da empresa de manter protocolos de segurança razoáveis. Os consumidores devem notificar a empresa sobre a divulgação de seus dados pessoais e as empresas têm 30 dias para resolver o problema. Se o problema não for resolvido de forma satisfatória nesse momento, os consumidores podem notificar o Procurador-Geral (AG) e o AG determinará se processará a empresa. Se o AG descobrir que a empresa violou intencionalmente as disposições da CCPA, a empresa poderá ser responsabilizada por penalidades civis de até $7.500 por cada violação. Se o AG não processar dentro de 6 meses, os consumidores podem tomar medidas civis para recuperar danos no valor de não menos de $100 e não mais de $750 por incidente, podem pedir aos tribunais por alívio injuntivo ou declaratório, ou qualquer outro alívio considerado adequado pelos tribunais.

Emendas à CCPA

As empresas há muito argumentam que a CCPA tem orientações de conformidade vagas, que os prazos são inatingíveis e que contém obrigações conflitantes para os consumidores com base nas leis existentes. Em 11 de outubro de 2019, várias emendas à CPPA foram aprovadas para fornecer esclarecimentos, abordar incongruências e fornecer extensões de prazo de conformidade para certos grupos.

Um olhar para o futuro das regulamentações de privacidade

A CCPA é apenas o começo. Olhando para o futuro, as empresas devem esperar um mosaico de regulamentações de privacidade nos próximos anos. Mais da metade dos estados dos EUA apresentou algum tipo de legislação de privacidade do consumidor em 2019, mas muitos desses projetos de lei ainda não se tornaram lei. Estados como Connecticut, Louisiana e Texas aprovaram legislação estabelecendo forças-tarefa de privacidade do consumidor para estudar a questão.

Um mosaico de regulamentações de privacidade baseadas em estados tornará a obtenção de conformidade ainda mais difícil. A legislação de privacidade foi discutida a nível federal nos EUA para substituir a legislação dos estados, mas os projetos de lei estagnaram no Congresso. Independentemente disso, as empresas podem esperar mais regulamentações de privacidade de dados em um futuro próximo. Comece a preparar suas estratégias de negócios para se adaptar a um cenário legal em mudança.

*Aviso: Eu não sou advogado e não estou oferecendo aconselhamento jurídico. Se você tiver dúvidas legais, consulte um advogado licenciado.*