Tabela de conteúdos

Autorização da CPPA: quais são os principais requisitos?

CPPA do Canadá, Ato de Proteção da Privacidade do Consumidor, está atualmente em segunda leitura na Câmara dos Comuns como Projeto de Lei C-27. O full text já está disponível. Entretanto, ainda pode sofrer mudanças significativas.

Um dos aspectos mais interessantes da nova lei de privacidade canadense certamente está relacionado ao consentimento dos indivíduos, que representaria a base principal para muitas atividades relativas à coleta e processamento de informações pessoais realizadas por organizações.

Neste pequeno guia, vamos analisar os principais requisitos relativos ao consentimento da CPPA, para que você esteja pronto quando a lei entrar em vigor!

Consentimento de acordo com a Lei de Proteção à Privacidade do Consumidor

De acordo com a Lei de Proteção à Privacidade do Consumidor do Canadá, se você estiver coletando, usando e/ou divulgando informações pessoais, você deve obter o consentimento explícito e válido de seus usuários.

Deve recolher o consentimento no momento ou antes da recolha das informações pessoais, e deve utilizar uma “linguagem simples” que os utilizadores possam facilmente compreender.

Para que o consentimento seja válido, os usuários devem ser informados sobre isso:

👉 quais dados pessoais você irá reunir, processar ou divulgar;
👉 a forma como a coleta, o uso e a divulgação são realizados;
👉 seu propósito por trás de tais atividades;
👉 uma avaliação dos efeitos “razoavelmente previsíveis” ligados à coleta, uso ou divulgação;
👉 as categorias ou identidade de quaisquer terceiros aos quais as informações pessoais poderiam ser divulgadas.

Uma vez que você tenha o consentimento de seus usuários, você está autorizado a usar suas informações pessoais somente para os fins descritos e você também deve dar a eles uma maneira de retirar seu consentimento a qualquer momento.

Além disso, se você coleta consentimento através de “práticas enganosas ou enganosas”, tais como dark patterns, esses consentimentos são considerados inválidos.

Consentimento sob CPPA vs PIPEDA

CPPA se baseia no PIPEDA, que também exige que as organizações obtenham consentimento explícito antes de processar informações pessoais.

Entretanto, com o CPPA, as empresas devem fornecer aos indivíduos detalhes mais específicos sobre as atividades de coleta e processamento de dados, como já mencionado acima.

Além disso, o CPPA aprofunda o conceito de consentimento implícito e fornece informações adicionais a este respeito. Explicamos este ponto no próximo parágrafo.

Existem excepções ao consentimento no âmbito do CPRA (alteração CCPA)?

Sim, a nova lei de privacidade canadense prevê algumas exceções para o consentimento.

Aqui estão alguns casos, entre outros, em que você não precisaria do consentimento de seus usuários:

a recolha ou utilização é feita com o propósito de uma actividade comercial e:
- os utilizadores esperariam que os seus dados fossem recolhidos ou utilizados no contexto de tal actividade comercial; e
- As informações pessoais não são coletadas ou usadas com o propósito de influenciar o comportamento ou as decisões do indivíduo;
a coleta ou uso é feita sob o interesse legítimo do seu negócio, que supera os impactos potenciais sobre o indivíduo.

São consideradas actividades de negócio no âmbito da CPPA, as seguintes:

necessário para fornecer um produto ou serviço que os utilizadores tenham solicitado ao seu negócio;
necessário para a sua informação empresarial, segurança do sistema ou da rede;
necessário para a segurança de um produto ou serviço que o seu negócio fornece.

✉️