Há uma nova lei de privacidade que entrará em vigor em 1 de Janeiro de 2020, para ser exato, e todos estão se esforçando para implementar a conformidade. Soa familiar? Se estás a sentir um déjà vu, não te preocupes, nós também nos lembramos do GDPR.

Embora a GDPR fosse uma lei abrangente para proteger os direitos de privacidade dos cidadãos da União Europeia, esta nova lei preocupa-se com os direitos de privacidade dos residentes da Califórnia. Permita-nos apresentar-lhe a Lei de Proteção ao Consumidor da Califórnia de 2018 (CCPA), uma lei concebida para fornecer aos californianos mais controle sobre suas informações pessoais.

Neste guia, nós o acompanharemos através do seguinte:

Por favor note que este guia é apenas para fins informativos e não deve ser considerado como aconselhamento jurídico.

O que é o CCPA?

A CCPA é uma lei de privacidade que foi aprovada em 28 de junho de 2018. Uma versão desta lei foi inicialmente apresentada como uma iniciativa para a votação estadual de novembro de 2017 por uma incorporadora imobiliária. O promotor ofereceu à legislatura da Califórnia um acordo para que ele retirasse sua cédula (o que era bastante duro para as empresas) se uma lei de privacidade semelhante fosse aprovada.

A legislatura introduziu, emendou e aprovou a sua versão do CCPA num total de sete dias. Desde então, a lei foi alterada mais algumas vezes e o Procurador-Geral da Califórnia também divulgou regulamentos que visam esclarecer os requisitos desta nova lei. Você pode encontrar o texto completo do CCPA, com as emendas aprovadas aqui, e os regulamentos propostos aqui.

De acordo com os legisladores, o CCPA foi aprovado porque:

  1. O crescimento da tecnologia tem limitado a capacidade dos californianos de proteger e salvaguardar adequadamente sua privacidade.
  2. A lei da Califórnia não acompanhou o fato de os consumidores partilharem cada vez mais informações pessoais com as empresas.
  3. A divulgação não autorizada de informações pessoais e a perda de privacidade pode ter efeitos devastadores sobre as pessoas
  4. O escândalo da Cambridge Analytica aumentou o desejo por controles de privacidade e transparência nas práticas de dados.

Finalmente, é claro que as pessoas desejam privacidade e mais controle sobre suas informações, e o CCPA foi aprovado para atender a esse desejo. Tal como a GDPR, o CCPA cumpre este desejo ao proporcionar certos direitos aos consumidores, ou, neste caso, aos residentes da Califórnia. Estes direitos são os seguintes:

  1. O direito de saber que informação pessoal está a ser recolhida sobre eles
  2. O direito de saber se as suas informações pessoais são vendidas ou reveladas e a quem
  3. O direito de dizer não à venda das suas informações pessoais
  4. O direito de solicitar a eliminação dos seus dados pessoais
  5. O direito de aceder às suas informações pessoais
  6. O direito à igualdade de serviço e preço, mesmo que exerçam os seus direitos de privacidade

A Quem se Aplica o CCPA?

A parte mais complicada e, por vezes, mais confusa das leis de privacidade é descobrir se elas se aplicam ao seu negócio. As leis de privacidade são criadas para proteger as informações pessoais dos residentes ou cidadãos de um determinado estado ou país, não das empresas.

Isto significa que as empresas fora da Califórnia ainda podem estar sujeitas a esta lei. O CCPA aplica-se a “negócios” que é definido como uma entidade jurídica com fins lucrativos que faz negócios na Califórnia e atende a um dos seguintes limites:

  1. Tem uma receita bruta anual de mais de US$25.000.000
  2. Compra ou recebe anualmente, para fins comerciais ou comerciais, vende ou partilha a informação pessoal de 50.000 ou mais consumidores californianos, lares ou dispositivos ou
  3. Deriva 50% ou mais das suas receitas anuais da venda de informações pessoais dos consumidores californianos.

Se você está pensando que o CCPA se aplica tecnicamente apenas a grandes empresas, você está parcialmente correto. Devido à definição muito ampla de venda de informações pessoais, uma grande parte do cumprimento da CCPA é a gestão de fornecedores.

Isto significa que se você fizer negócios com, ou agir como fornecedor para grandes negócios, eles podem exigir que você cumpra com a CCPA através de contrato. Portanto, se você é uma pequena empresa que não atinge os limites acima, talvez ainda precise prestar atenção e cumprir esses requisitos.

Além disso, se você desenhar sites para empresas que são grandes e precisam cumprir com a CCPA, você precisará prestar atenção, assim como esta lei afetará a forma como você projeta esses sites.

Quais São as Consequências de Não Cumprir com o CCPA?

O CCPA será geralmente aplicado pelo Procurador-Geral da Califórnia. As multas por não cumprimento são de US$$2.500 por violação ou US$7.500 por violação intencional. “Por violação” é geralmente entendido como por pessoa cujos direitos de privacidade você violou.

Então, se você tem 100 visitantes do site da Califórnia e não tem uma Política de Privacidade em conformidade, suas multas podem somar até US$250.000. É fácil de ver como isto pode transformar um balão num número muito grande.

Se tiver de cumprir a CCPA apenas por contrato, uma consequência do incumprimento pode ser a perda desse cliente ou da relação comercial. Se você tiver que construir um site compatível com CCPA, a consequência da não conformidade pode significar que seu cliente seja multado e que você seja processado em troca ou que você seja prejudicado pelo seu negócio de web design.

Como Preparar o Seu Site WordPress para o CCPA

Se você tem um site no WordPress que precisa ser compatível com o CCPA, nós o acompanharemos através de alguns dos passos que você pode tomar para garantir que você esteja em conformidade com o CCPA. As medidas que você toma para se preparar para o CCPA podem incluir:

Se tudo isto parece dar muito trabalho, é. Mas não se preocupe, nós também lhe forneceremos algumas das nossas ferramentas e recursos favoritos que você pode usar para ajudá-lo a se preparar.

Contrate um Advogado de Privacidade

Como você verá em breve, há muita coisa que vai para o cumprimento da CCPA. A lei e os regulamentos podem ser difíceis de interpretar, para dizer o mínimo.

Se você não tem certeza do caminho certo para você, você deve contratar um advogado especializado em privacidade, pois eles serão capazes de lhe indicar a direção certa e lhe fornecer conselhos valiosos específicos para a sua situação.

Se você não tem certeza de qual advogado escolher, confira a lista da Associação Internacional de Profissionais de Privacidade de escritórios de advocacia que trabalham na área de privacidade.

Entenda que Informações Pessoais Você Coleta

O CCPA exige que você informe aos consumidores quais categorias de informações pessoais você coleta. Você deve percorrer o seu site e criar uma lista.

Dê uma olhada em todas as suas páginas e em todos os formulários que você usa, incluindo formulários de contato, formulários de inscrição para newsletter, formulários de criação de conta, formulários de envio de comentários, formulários de check-out e quaisquer outros formulários que você possa usar e seus plugins associados.

Por exemplo, como mostrado abaixo, o formulário padrão no WordPress que é usado para fornecer comentários em postagens de blog coleciona nome e e-mail:

Formulário de comentários sobre Kinsta
Formulário de comentários sobre Kinsta

Além disso, faça uma lista de informações pessoais que você coleta de qualquer outra fonte. Think Analytics software, Hotjar, informações em uma página de checkout de comércio eletrônico ou página de registro no WordPress, e outras semelhantes.

Em seguida, coloque as informações pessoais que você coleta nesses formulários em categorias que permitam ao consumidor entender facilmente quais informações pessoais você coleta. Exemplos das categorias de informações pessoais podem incluir:

  1. Informações de identificação
  2. Informação financeira
  3. Informações comerciais
  4. Informação biométrica
  5. Informação sobre a atividade da Internet e
  6. Informação de geolocalização

Entenda a Partir de que Fontes Você Coleta Essas Informações Pessoais

O CCPA exige que você divulgue a partir de que fontes você coleta informações pessoais. Exemplos de fontes podem incluir:

  1. Diretamente do consumidor
  2. Pesquisas
  3. Rastreamento de pixels
  4. Observação e registro de atividades como o uso de cookies e
  5. Revendedores de dados

Entenda se Você Está Divulgando Informações Pessoais a Terceiros

A CCPA exige que você divulgue se está divulgando informações pessoais a terceiros. Quando perguntado se eles compartilham dados, a resposta inicial da maioria das pessoas é um “não” ligeiramente ofendido.

Leve algum tempo e pense realmente nas integrações que você fez com o seu site.

As subscrições de newsletter vão diretamente para uma ferramenta de marketing por e-mail, como MailChimp?

As submissões de formulários são registradas em uma ferramenta de gerenciamento de relacionamento com o cliente, como o HubSpot?

O seu web developer recebe um alerta sempre que recebe um formulário de envio?

Se assim for, você está compartilhando dados com terceiros e precisa divulgar isso.

Criar uma Página de Não Vender as Minhas Informações Pessoais

Se você vende as informações pessoais dos consumidores californianos, você deve ter uma página web intitulada “Não Vender Minhas Informações Pessoais” ou “Não Vender Minhas Informações”. Esta página web precisa de conter as seguintes informações:

  1. Uma descrição do direito do consumidor de optar pela não venda das suas informações pessoais
  2. Um formulário web através do qual o consumidor pode apresentar o seu pedido de auto-exclusão.
  3. Instruções para quaisquer outros métodos pelos quais o consumidor possa apresentar o seu pedido de auto-exclusão
  4. Um link para a sua Política de Privacidade
  5. Qualquer prova exigida quando um consumidor deseja designar um agente autorizado para apresentar um pedido de auto-exclusão em seu nome

Abaixo, você pode ver um exemplo de rodapé da página inicial de um site que inclui um hiperlink para a página “Não Vender Minhas Informações Pessoais”.

Exemplo de uma página "Não vender minhas informações pessoais".
Exemplo de uma página “Não vender minhas informações pessoais”.

Criar uma Nota de Privacidade

A CCPA exige que você forneça aos consumidores californianos uma Nota de Privacidade no momento da coleta de informações pessoais.

Note que a CCPA não exige que o consumidor dê o seu consentimento para a recolha de informações pessoais, o que é um grande desvio em relação aos requisitos que vimos na GDPR.

Uma Nota de Privacidade é como uma mini-Política de Privacidade: ela fornece uma explicação rápida e condensada sobre quais informações pessoais são coletadas, para que serão usadas, e outras divulgações.

O aviso deve ser concebido e apresentado ao consumidor de uma forma que seja fácil de ler e deve ser compreensível para a pessoa comum. O aviso deve:

  1. Use linguagem clara e direta e evite jargões técnicos ou legais
  2. Usar um formato que chame a atenção dos consumidores para o aviso e torne o aviso legível, inclusive em telas menores
  3. Estar disponível nos idiomas em que você fornece contratos, isenções de responsabilidade, anúncios de venda ou outras informações aos consumidores
  4. Ser acessível aos consumidores com deficiência

O seu aviso de privacidade deve incluir as seguintes informações:

  1. Uma lista de categorias de informações pessoais que você coleta dos consumidores. Cada categoria que você listar deve dar ao consumidor uma compreensão significativa das informações pessoais coletadas
  2. Para cada categoria de informação, a finalidade comercial ou comercial para a qual será utilizada
  3. Se você vender informações pessoais, um link intitulado “Não vender minhas informações pessoais” ou “Não vender minhas informações”. Este link deve conduzir a uma página web onde os consumidores possam exercer o seu direito de dizer não à venda de informações pessoais.

Se você não quiser criar uma Nota de Privacidade, você pode simplesmente fornecer aos consumidores um link para sua Política de Privacidade no momento da coleta de informações pessoais. Abaixo está um exemplo de uma Nota de Privacidade específica da Califórnia.

Aviso de Privacidade específico da Califórnia
Aviso de Privacidade específico da Califórnia

Criar uma Política de Privacidade

A CCPA também exige que você tenha uma Política de Privacidade. O objetivo da Política de Privacidade é fornecer ao consumidor uma descrição completa de suas práticas em relação à coleta, uso, divulgação e venda de informações pessoais e os direitos de privacidade que os consumidores recebem no âmbito do CCPA.

A Política de Privacidade deve cumprir os mesmos requisitos de legibilidade, formato, disponibilidade e acessibilidade que a Nota de Privacidade.

No entanto, a Política de Privacidade também deve estar disponível em um formato adicional que permita ao consumidor imprimi-la facilmente. A Política de Privacidade deve ser publicada no seu site através de um link conspícuo usando a palavra “privacidade” na página inicial do seu site.

A sua Política de Privacidade deve conter as seguintes informações:

  1. Uma descrição dos direitos dos consumidores californianos ao abrigo do CCPA
  2. Um ou mais métodos pelos quais os consumidores podem apresentar pedidos para o exercício dos seus direitos. Se você vender informações pessoais, um link para sua página “Não Vender Minhas Informações Pessoais” ou “Não Vender Minhas Informações” onde o consumidor pode exercer seu direito de dizer não à venda de suas informações pessoais
  3. Uma lista de categorias de informações pessoais que você coletou nos últimos 12 meses
  4. Uma lista de categorias de fontes a partir das quais você coleta as informações pessoais
  5. Os fins empresariais ou comerciais para os quais você usa as informações pessoais
  6. Uma lista de categorias de informações pessoais que você vendeu nos últimos 12 meses e uma lista de categorias de terceiros aos quais você vendeu essas informações pessoais. Se você não vendeu nenhuma informação pessoal, então você deve divulgar esse fato
  7. Uma lista de categorias de informações pessoais que você divulgou nos últimos 12 meses e uma lista de categorias de terceiros aos quais você divulgou essas informações pessoais. Se você não revelou nenhuma informação pessoal, então você deve revelar esse fato
  8. Como um consumidor pode designar um agente autorizado para fazer pedidos para exercer os seus direitos de privacidade em seu nome;
  9. Um contato que um consumidor pode contactar para quaisquer questões ou preocupações
  10. A data da última atualização da Política de Privacidade
  11. Se você vender as informações pessoais de 4.000.000 ou mais consumidores californianos por ano, você precisará incluir também divulgações adicionais

Ferramentas e Recursos que Podem Ajudá-lo a Cumprir com a CCPA

Todos estes requisitos de conformidade e divulgação podem parecer assustadores. Felizmente, existem algumas ferramentas úteis que você pode usar para preparar o seu site e o seu negócio:

Termageddon

termageddon
Termageddon

Termageddon: um software como serviço que gera Políticas de Privacidade que são personalizadas para o seu negócio. Atualizamos as Políticas de Privacidade dos nossos clientes sempre que as leis mudam, assegurando que as suas políticas se mantêm sempre atualizadas.

CCPA Toll Free

CCPA Toll Free
CCPA Toll Free

CCPA Toll Free: o CCPA exige que algumas empresas forneçam um número de telefone gratuito como um dos métodos que os consumidores podem usar para exercer seus direitos de privacidade. O CCPA Toll-Free ajuda-o a cumprir esse requisito.

Orrick’s CCPA Readiness Assessment

CCPA Readiness Assessment
CCPA Readiness Assessment

Orrick’s CCPA Readiness Assessment: esta ferramenta ajuda-o a compreender o quão completamente está preparado para o CCPA, fazendo-lhe perguntas simples de “sim” ou “não”. Você também pode usar esta ferramenta como uma espécie de lista de verificação para a preparação.

CCPA Opt-Out por CookiePro

CCPA Opt-Out WordPress plugin
CCPA Opt-Out WordPress plugin

CCPA Opt-Out: este plugin permite que você personalize e adicione um “Não Vender” ao seu site.

IAPP

IAPP
IAPP

IAPP: a Associação Internacional de Profissionais de Privacidade é o maior grupo de privacidade do mundo. Confira o site deles para uma lista constantemente atualizada de notícias sobre privacidade, recursos e fornecedores.

Kinsta e CCPA

Kinsta está comprometida com a privacidade e segurança dos dados, e temos o prazer de afirmar que não vendemos informações pessoais dos consumidores da Califórnia a terceiros. Consulte a nossa Política de Privacidade e a Seção 15 dos nossos Termos de Serviço para obter informações adicionais.

Resumo

Embora o CCPA não tenha uma aplicação tão ampla quanto a GDPR, ainda é um grande negócio e não deve ser tomado de ânimo leve.

O CCPA é verdadeiramente um primeiro do seu género nos Estados Unidos e outros estados estão agora a seguir o exemplo da Califórnia. Na verdade, desde o final de 2019, nove estados propuseram suas próprias contas de privacidade.

Estas notas ou citam a CCPA como inspiração ou são cópias virtualmente completas da CCPA. É evidente que a CCPA preparou o caminho para mais regulamentos de privacidade e que os requisitos para o cumprimento da privacidade online não vão desaparecer tão cedo.

Agora é a sua vez: o que você acha do CCPA? Você está preparando seu site para isso? Informe-nos nos comentários!

Donata Kalnenaite

Donata Kalnenaite is a privacy and technology attorney that helps others understand and comply with privacy laws. She is the President of Termageddon, a Privacy Policy generator that automatically updates its clients' policies whenever the laws change. Follow them on Twitter to keep up to date with all things privacy: @termageddon.