Iubenda logo
Crie Agora

Documentação

Tabela de conte√ļdos

Guia completo para estar em conformidade com a CCPA

O que é a CCPA e como você fica em conformidade? Nesse guia descomplicaremos este tema para você.

A Lei de Privacidade do Consumidor da Calif√≥rnia (CCPA) √© a mais recente lei de privacidade da Calif√≥rnia e visa melhorar os direitos do consumidor para residentes do estado da Calif√≥rnia (Estados Unidos). A CCPA entrou em vigor em 1¬ļ de janeiro de 2020 e se tornou aplic√°vel a partir de 1¬ļ de julho de 2020.

Esta legisla√ß√£o introduz novos requisitos para o tratamento de informa√ß√Ķes pessoais e garante aos consumidores novos direitos neste aspecto. Portanto, √© prov√°vel que haja um impacto significativo tanto nos processos quanto nos perfis de responsabilidade corporativa.

Quando a CCPA se aplica?

Voc√™ se enquadra no escopo da CCPA quando as seguintes condi√ß√Ķes se aplicam:

  • voc√™ tem uma empresa; e
  • voc√™ possui como p√ļblico-alvo de usu√°rios localizados na Calif√≥rnia.

Defini√ß√Ķes

Consumidor

Segundo a Lei de Privacidade do Consumidor da Califórnia, um consumidor é uma pessoa natural residente na Califórnia.

Empresa

No √Ęmbito da CCPA, uma empresa significa uma organiza√ß√£o com fins lucrativos que coleta informa√ß√Ķes pessoais de consumidores, determina suas finalidades e m√©todo de tratamento, que possui como p√ļblico-alvo os residentes da Calif√≥rnia (independentemente de a empresa estar ou n√£o sediada na Calif√≥rnia), e atender a pelo menos um dos seguintes requisitos:

  • ter um faturamento bruto anual superior a US$ 25 milh√Ķes; ou
  • pelo menos 50% de seu volume de neg√≥cios deriva da venda de dados pessoais dos consumidores; ou
  • compra, recebe, vende ou compartilha as informa√ß√Ķes pessoais de 50,000, ou mais consumidores anualmente, e para fins comerciais. Como os endere√ßos IP s√£o dados pessoais ‚Äď e “fins comerciais” significam interesses comerciais ou econ√īmicos ‚Äď √© prov√°vel que qualquer website que receba pelo menos 50.000 visitas √ļnicas da Calif√≥rnia em um ano se enquadre neste escopo.

Dados pessoais

De acordo com a CCPA, informa√ß√Ķes pessoais significam ‚Äúinforma√ß√Ķes que identificam, referem-se, descrevem, podem ser associadas ou razoavelmente conectadas, direta ou indiretamente, a um consumidor espec√≠fico ou unidade familiar.‚ÄĚ

A CCPA descreve que informa√ß√Ķes pessoais incluem (entre outras):

  • nome, pseud√īnimo, endere√ßo postal, identidade pessoal, endere√ßo IP, endere√ßo de e-mail, nome de usu√°rio, n√ļmero do seguro social, n√ļmero da carteira de motorista, n√ļmero do passaporte e outros dados de identifica√ß√£o semelhantes;
  • informa√ß√Ķes comerciais, incluindo registros de bens, produtos ou servi√ßos adquiridos e outras compras ou hist√≥ricos de consumo ou tend√™ncias;
  • dados biom√©tricos;
  • informa√ß√Ķes sobre atividades de rede (Internet ou outras), incluindo hist√≥rico de navega√ß√£o, pesquisas feitas e dados relacionados √† intera√ß√£o com um site, aplicativo ou an√ļncio;
  • dados de localiza√ß√£o geogr√°fica;
  • informa√ß√Ķes de natureza sonora, eletr√īnica, visual, t√©rmica, olfativa ou similar;
  • informa√ß√Ķes profissionais ou relacionadas ao trabalho;
  • informa√ß√Ķes educacionais ‚ÄĒ exceto aquelas informa√ß√Ķes que sejam de dom√≠nio p√ļblico como definido aqui; ou
  • qualquer conclus√£o tirada das informa√ß√Ķes acima mencionadas, usada para tra√ßar o perfil de um consumidor de acordo com suas prefer√™ncias, caracter√≠sticas, tend√™ncias, predisposi√ß√Ķes, comportamentos, atitudes, intelig√™ncia, habilidades e aptid√Ķes.

Venda

No contexto da CCPA, o termo venda √© definido como: “vender, transferir, liberar, tornar p√ļblico, divulgar, disseminar, disponibilizar, transferir ou de outra forma comunicar oralmente, por escrito ou por meios eletr√īnicos ou outros meios as informa√ß√Ķes pessoais de um consumidor de uma empresa para outra empresa ou para terceiros, por raz√Ķes monet√°rias ou outra contrapresta√ß√£o onerosa“.

Contraprestação onerosa

A Lei de Privacidade do Consumidor da Calif√≥rnia n√£o explica o que significa “contrapresta√ß√£o onerosa”, no entanto, a lei de contratos da Calif√≥rnia a define como “qualquer benef√≠cio conferido, ou acordado em ser conferido a um terceiro, por qualquer pessoa, √† qual o promissor n√£o seja legalmente intitulado ou qualquer preju√≠zo sofrido, por este terceiro, que envolva uma vantagem para o promissor e diferente de qualquer outro preju√≠zo que, no momento do consentimento, o terceiro √© legalmente obrigado a suportar, constitui uma raz√£o legal v√°lida para um contrato.” (Cal. Civ. Code ¬ß 1605, tradu√ß√£o nossa).

Neste contexto, portanto, “contrapresta√ß√£o onerosa” pode ser entendida como todos os acordos em que dados pessoais s√£o trocados e a entidade transferidora obt√©m um benef√≠cio que n√£o seria poss√≠vel na aus√™ncia deste acordo.

Importante

O California Online Privacy Protection Act (CalOPPA) n√£o foi revogado pela CCPA e continua a ser aplic√°vel. Lembre-se de que, mesmo que voc√™ n√£o se enquadre em uma das defini√ß√Ķes acima, ainda poder√° ter que cumprir o CalOPPA ou ambos os regulamentos. Para saber mais sobre o CalOPPA, leia nossa vis√£o geral dos requisitos regulat√≥rios dos EUA.

Direitos do consumidor sob a CCPA

O que exatamente a CCPA exige?

O direito de ser informado

Segundo a CCPA, os consumidores têm o direito de ser informados sobre os métodos de tratamento de seus dados, antes ou durante o ato de sua coleta.

Portanto, o seguinte deve ser especificado:

  • as categorias de informa√ß√Ķes pessoais que a empresa coleta, vende ou compartilha;
  • as categorias de terceiros com os quais a empresa compartilha informa√ß√Ķes pessoais;
  • as categorias de fontes de onde v√™m essas informa√ß√Ķes;
  • os fins comerciais e empresariais para a coleta ou venda de informa√ß√Ķes pessoais;
  • direitos do consumidor e as formas como podem ser exercidos; e
  • no caso de venda de dados pessoais, as formas como o consumidor pode se opor √† venda de seus dados atrav√©s do link “N√£o vender meus dados pessoais” (caso os dados sejam vendidos.

O direito de acesso

Conforme a CCPA, os consumidores t√™m o direito de acessar suas informa√ß√Ķes pessoais quando efetuarem uma solicita√ß√£o verific√°vel*.

Em particular, eles podem acessar:

  • as categorias de dados coletados nos √ļltimos 12 meses;
  • as informa√ß√Ķes espec√≠ficas coletadas sobre eles;
  • as v√°rias fontes de onde v√™m essas informa√ß√Ķes;
  • os objetivos da coleta ou venda dos dados;
  • as categorias de terceiros com os quais as informa√ß√Ķes pessoais s√£o compartilhadas;
  • as categorias de informa√ß√Ķes pessoais e as categorias de terceiros aos quais foram vendidos;
  • as categorias de informa√ß√Ķes pessoais comunicados para fins comerciais.

*Solicita√ß√£o verific√°vel * Uma solicita√ß√£o verific√°vel significa um pedido feito por um consumidor (por conta pr√≥pria ou em nome de um menor), por uma pessoa f√≠sica ou jur√≠dica, autorizada pelo consumidor a agir em seu nome, e que a empresa pode verificar. . . se √© realmente o consumidor cujas informa√ß√Ķes pessoais ela coletou. Cal. Civ. Code ¬ß 1798.140 (y)

√Č necess√°rio fornecer aos consumidores pelo menos dois meios para apresentar os pedidos de acesso, incluindo o n√ļmero de discagem gratuita e, se houver, o endere√ßo do website. Al√©m disso, devem ser realizados todos os esfor√ßos razo√°veis ‚Äč‚Äčpara verificar se o requerente √© realmente o consumidor cujas informa√ß√Ķes foram recolhidas ou se √©, em qualquer caso, uma pessoa por ele autorizada.

O direito à portabilidade

Segundo a CCPA, o direito à portabilidade dos dados é combinado com o direito de acesso, ver parágrafo 1798.100 (d).

Caso uma empresa atenda ao pedido de acesso em formato eletr√īnico, as informa√ß√Ķes devem ser fornecidas ao consumidor em formato “port√°til e, na medida do que for tecnicamente vi√°vel, que permita ao consumidor transmitir essas informa√ß√Ķes a outra empresa sem dificuldade“.

As solicita√ß√Ķes (verific√°veis) devem ser atendidas gratuitamente em at√© 45 dias ap√≥s o recebimento. Se necess√°rio, pode-se obter uma √ļnica prorroga√ß√£o de 45 dias, desde que o consumidor seja informado em at√© 45 dias ap√≥s a solicita√ß√£o.

Os dados fornecidos na resposta devem cobrir os 12 meses anteriores à solicitação.

Formato

As empresas devem responder por correio normal ou eletronicamente (e-mail, download de arquivo, etc.). No caso de remessa em formato eletr√īnico, a lei prev√™ que os dados sejam “port√°teis”, ou seja, em formato de f√°cil manuseio que permita sua transmiss√£o para outra empresa sem quaisquer impedimentos.

Exce√ß√Ķes e limita√ß√Ķes

  • Os consumidores podem fazer no m√°ximo 2 solicita√ß√Ķes em 12 meses.
  • As atividades de tratamento √ļnicas s√£o exclu√≠das se as informa√ß√Ķes em quest√£o n√£o s√£o vendidas ou armazenadas pela empresa, ou elas n√£o s√£o usadas ‚Äč‚Äčpara identificar essa pessoa.
  • Se a empresa n√£o coletou informa√ß√Ķes sobre o consumidor em quest√£o, nenhuma resposta √© necess√°ria.

O direito de ser excluído

A CCPA concede aos consumidores o direito de solicitar a exclus√£o de quaisquer informa√ß√Ķes pessoais coletadas em seu nome. Uma vez recebido um pedido (verific√°vel) de exclus√£o, √© necess√°rio excluir as informa√ß√Ķes pessoais do consumidor de seus registros e solicitar a todos os prestadores de servi√ßos relacionados que fa√ßam o mesmo.

√Č necess√°rio fornecer ao consumidor, pelo menos, dois meios para apresentar este tipo de pedido, incluindo o n√ļmero de discagem gratuita e, se houver, o endere√ßo do website. Al√©m disso, devem ser efetuados todos os esfor√ßos razo√°veis ‚Äč‚Äčpara verificar se o requerente √© realmente o consumidor cujas informa√ß√Ķes foram coletadas ou se √©, em qualquer caso, uma pessoa por ele autorizada.

As solicita√ß√Ķes verific√°veis devem ser atendidas gratuitamente em at√© 45 dias ap√≥s o recebimento. Se necess√°rio, pode-se obter uma prorroga√ß√£o por mais 45 dias, desde que o consumidor seja informado em at√© 45 dias ap√≥s a solicita√ß√£o.

Exce√ß√Ķes e limita√ß√Ķes

As empresas n√£o s√£o obrigadas a atender √† solicita√ß√£o de cancelamento se os dados forem usados ‚Äč‚Äčpara:

  • concluir a opera√ß√£o para a qual as informa√ß√Ķes pessoais foram coletadas;
  • o fornecimento de um bem ou servi√ßo solicitado pelo consumidor, ou a celebra√ß√£o de um acordo entre a empresa e o consumidor;
  • identificar problemas de seguran√ßa, proteger-se de atividades maliciosas, enganosas, fraudulentas ou ilegais, ou processar os respons√°veis;
  • identificar e corrigir quaisquer erros;
  • exercer o direito √† liberdade de express√£o (pr√≥pria ou de outro consumidor);
  • para cumprir com a Lei de Privacidade das comunica√ß√Ķes eletr√īnicas da Calif√≥rnia (CalECPA);
  • pesquisa cient√≠fica, hist√≥rica ou estat√≠stica de interesse p√ļblico;
  • cumprir uma obriga√ß√£o legal;
  • permitir utiliza√ß√Ķes exclusivamente internas que concordem com as expectativas do consumidor a partir de seu relacionamento com a empresa;
  • uso exclusivamente interno de forma l√≠cita e compat√≠vel com o contexto em que o consumidor forneceu seus dados pessoais.

O direito de se opor/”opt-out” (negar a venda de seus dados)

Nos termos da CCPA, o consumidor tem o direito de impedir ‚Äď a qualquer momento e com uma simples comunica√ß√£o √† empresa ‚Äď a venda de suas informa√ß√Ķes pessoais a terceiros.

O que a CCPA quer dizer com “venda” e como voc√™ vende informa√ß√Ķes pessoais?

Conforme j√° indicado acima, “vender” ou “venda” para a CCPA significa “vender, ceder, liberar, tornar p√ļblico, divulgar, divulgar, disponibilizar, transferir ou de outra forma comunicar oralmente, por escrito ou por meio eletr√īnico ou outro meio, as informa√ß√Ķes pessoais de um consumidor de uma empresa para outra empresa ou para um terceiro, por raz√Ķes monet√°rias ou outra forma de comercializa√ß√£o (contrapresta√ß√£o onerosa)”.

Dois exemplos menos √≥bvios do que a CCPA pode* considerar como “venda” (de dados pessoais) s√£o:

  • compartilhar dados do usu√°rio com redes de publicidade e terceiros para mostrar an√ļncios direcionados a fim de obter um benef√≠cio (incluindo receita financeira); ou
  • usar uma ferramenta de an√°lise estat√≠stica de terceiros para redirecionar ou tra√ßar o perfil de um usu√°rio com o objetivo de vender-lhe bens ou servi√ßos.

* Observe que alguns aspectos podem mudar nesta fase, conforme a lei é aprimorada.

Voc√™ deve informar seus consumidores sobre a venda de suas informa√ß√Ķes pessoais a terceiros, informando tamb√©m que eles t√™m o direito a optar por n√£o aceitar esta pr√°tica (em conformidade com o direito de ser informado mencionado anteriormente).

Um consumidor que deseja cancelar (opt-out) n√£o deve ser for√ßado a criar uma conta. Em vez disso, esse processo deve ser facilitado por um link ‚ÄúN√£o venda minhas informa√ß√Ķes pessoais‚ÄĚ (‚ÄúDNSMPI‚ÄĚ) em seu site ou em seu aviso de privacidade.

Uma vez recebida a instru√ß√£o de n√£o venda de informa√ß√Ķes pessoais, a empresa deve cumprir o pedido, a menos que o consumidor posteriormente autorize expressamente a venda de seus dados pessoais (opt-in).

As empresas podem pedir autorização aos consumidores novamente apenas mais uma vez, e somente após 12 meses quando o consumidor demonstrou oposição à venda (opt-out).

O direito de ades√£o ou “opt-in” (consentimento pr√©vio para menores)

As empresas n√£o podem vender dados pessoais de consumidores sempre que tiverem o conhecimento de que o consumidor √© menor de 16 anos. Nestes casos, as empresas podem vender as informa√ß√Ķes somente quando:

  • o consumidor tem entre 13 e 16 anos e j√° fez o opt-in; ou
  • o consumidor √© menor de 13 anos, mas seus pais ou respons√°vel legal fez o opt-in, consentindo em seu nome.

O direito de não ser discriminado (mesmo que o consumidor exerça seus direitos à privacidade)

A Lei de Privacidade do Consumidor da Califórnia proíbe as empresas de discriminar consumidores por exercerem seus direitos garantidos na forma da lei. Portanto, não é possível:

  • Negar quaisquer bens ou servi√ßos ao consumidor.
  • Aplicar pre√ßos ou tarifas diferentes para os mesmos bens ou servi√ßos, incluindo por meio do uso de descontos, benef√≠cios ou imposi√ß√£o de penalidades.
  • Fornecer bens ou servi√ßos com um n√≠vel de qualidade diferente, se o consumidor exercer seus direitos sob este pretexto.
  • Sugerir que o consumidor receber√° bens ou servi√ßos de pre√ßo, ou qualidade diferente.

Exce√ß√Ķes e limita√ß√Ķes

  • Uma empresa pode aplicar ou oferecer diferentes pre√ßos, taxas, n√≠veis, qualidade de bens ou servi√ßos apenas nos casos em que essa diferen√ßa esteja razoavelmente relacionada ao valor fornecido pelos dados do consumidor.

    Por exemplo, uma empresa que, para incentivar o consumidor a comprar novamente um produto, oferece um desconto de 30% um m√™s ap√≥s a primeira compra. Durante este per√≠odo, o consumidor exerce seu direito √† exclus√£o e solicita a exclus√£o de suas informa√ß√Ķes pessoais. Nesse caso, como a empresa n√£o possui mais os dados que demonstrem que o consumidor adquiriu o produto anteriormente, a empresa n√£o poder√° oferecer o desconto de 30% para este consumidor em particular.

  • Uma empresa pode oferecer incentivos financeiros como compensa√ß√£o ao consumidor para a coleta, venda ou exclus√£o de informa√ß√Ķes pessoais. Nestes casos, esses incentivos ser√£o comunicados aos usu√°rios por meio da p√°gina inicial do website e dentro da pol√≠tica de privacidade.

    As empresas est√£o proibidas de usar pr√°ticas de incentivo que sejam “injustas, irracionais, coercitivas ou usur√°rias por natureza”.

Comparação da CCPA x GDPR

Algumas pessoas chamam a CCPA de “GDPR da Calif√≥rnia”, veremos uma compara√ß√£o destas duas leis de privacidade:

CCPA GDPR
√ďrg√£o respons√°vel pela aplica√ß√£o da lei O Procurador-Geral do Estado da Calif√≥rnia (EUA). Autoridades respons√°veis ‚Äč‚Äčpela prote√ß√£o de dados em n√≠vel nacional (Estados-Membros da UE).
A quem se aplica? Todas as organiza√ß√Ķes com fins lucrativos que atendem a consumidores da Calif√≥rnia e que:
  • processam as informa√ß√Ķes pessoais de pelo menos 50.000 consumidores localizados na Calif√≥rnia (os endere√ßos IP s√£o considerados dados pessoais, isso significa que um website que recebe pelo menos 50.000 visitas por ano de consumidores localizados na Calif√≥rnia se enquadra no escopo da CCPA); ou
  • possuem pelo menos 50% de seu faturamento decorrente do compartilhamento de dados pessoais de consumidores localizados na Calif√≥rnia; ou
  • t√™m um faturamento bruto anual superior a US$ 25 milh√Ķes.
Qualquer entidade ‚Äď organiza√ß√Ķes (mesmo sem fins lucrativos) n√£o governamentais, indiv√≠duos, √≥rg√£os p√ļblicos, etc. ‚Äď com sede na Uni√£o Europeia e que oferece bens ou servi√ßos aos cidad√£os da UE.
Quais dados s√£o protegidos? Quaisquer dados que se relacionam ou podem ser associados a um determinado consumidor ou fam√≠lia, com exce√ß√£o de registros p√ļblicos. Quaisquer dados que podem levar √† identifica√ß√£o de um indiv√≠duo.
Os endereços IP são considerados dados pessoais?
√Č necess√°rio o consentimento pr√©vio antes do tratamento? Apenas para menores e em caso de opt-out anterior. Sim, a menos que outra base legal seja legitimamente aplic√°vel.
As empresas t√™m a obriga√ß√£o de dar aos usu√°rios a oportunidade de se opor ou revogar o consentimento? Sim, as solicita√ß√Ķes de cancelamento devem ser atendidas por meio de um link DNSMPI. Os usu√°rios t√™m o direito de revogar o consentimento e de se opor ao tratamento (tamb√©m aplic√°vel nos casos em que o tratamento √© justificado por uma base legal diferente do consentimento).
As prote√ß√Ķes tamb√©m s√£o aplic√°veis ‚Äč‚Äčem um contexto B2B? N√£o, a CCPA protege apenas os consumidores. O GDPR n√£o faz distin√ß√£o entre B2B e B2C, mas simplesmente aplica suas prote√ß√Ķes aos “titulares de dados“, ou seja, a qualquer “pessoa f√≠sica identific√°vel” residente na UE.
Requisitos de segurança A CCPA não prevê requisitos específicos de segurança, mas dá aos consumidores o direito de ação judicial por danos resultantes da falha de uma empresa em implementar as medidas de segurança adequadas. O GDPR exige que os controladores e os processadores implementem medidas de segurança apropriadas aos riscos envolvidos. As medidas de segurança devem ser adequadas de acordo com as normas mais recentes.
Consequ√™ncias do n√£o cumprimento Penalidades de at√© US$7.500 por viola√ß√£o individual. Al√©m disso, os consumidores t√™m o direito de processar empresas que violem a lei. Multas de at√© 20 milh√Ķes de euros ou at√© 4% do faturamento anual mundial (o que for maior), auditorias e san√ß√Ķes. O GDPR tamb√©m d√° aos titulares de dados o direito de tomar medidas legais em caso de viola√ß√£o de seus direitos.
Resumo dos direitos do usu√°rio
O direito de ser informado
O direito de acesso
O direito à portabilidade
O direito de retificação ×
O direito de ser excluído
O direito de oposição Garantido pelo direito a optar por não aceitar

Consequências da não conformidade

Os consumidores têm o direito de processar* as empresas que violam a lei. As multas podem variar entre US$ 100 e US$ 750, ou qualquer valor mais alto em relação aos danos reais (nos casos em que estes danos podem ser comprovados).
*Isso se aplica apenas às próprias empresas e não aos prestadores de serviços que atuam em seu nome.

O estado pode impor multas de até US$ 2.500 para empresas que violarem involuntariamente a CCPA, e multas de até US$ 7.500 por violação, nos casos de violação intencional.

Se essas penalidades n√£o parecem particularmente altas (especialmente em compara√ß√£o com as previstas em outras regulamenta√ß√Ķes), lembre-se de que devem ser consideradas por cada viola√ß√£o e por cada consumidor. Mesmo para uma empresa com poucos clientes, eles podem representar uma soma consider√°vel.

Como cumprir o CCPA

Como outras leis de privacidade, a conformidade com a Lei de Privacidade do Consumidor da Califórnia é um processo complexo que envolve avaliação honesta, bom planejamento e implementação concreta de uma perspectiva técnica e jurídica. Na maioria das vezes, a fase que se mostra mais desafiadora é a de implementação.

√Č aqui que entra a iubenda. A implementa√ß√£o pode ser complicada. Oferecemos solu√ß√Ķes de software poderosas ‚Äď criadas por nossa equipe jur√≠dica internacional ‚Äď que em poucos cliques permitem que voc√™ gerencie at√© mesmo as situa√ß√Ķes mais complexas (aqui voc√™ encontrar√° uma vis√£o geral de nossas solu√ß√Ķes).

Independentemente das escolhas que você fizer na fase de implementação, também existem outros aspectos fundamentais a serem considerados. Analisaremos estes pontos e todo o processo de implementação.

Avalie e verifique

Uma das etapas mais importantes talvez seja revisar e avaliar honestamente seus processos e sistemas.

Aqui est√£o algumas perguntas para se fazer:

  • Que categorias de dados pessoais coleto e com quais tipos de terceiros os compartilho?
  • De quais fontes essas informa√ß√Ķes v√™m e a quais categorias elas pertencem (por exemplo, an√°lises estat√≠sticas)?
  • Quais s√£o as raz√Ķes ou finalidades da coleta de meus dados?
  • Quais s√£o os direitos do consumidor aplic√°veis ‚Äč‚Äčsegundo a CCPA as minhas atividades de tratamento?
  • Est√£o tecnicamente aptos a atender √†s solicita√ß√Ķes relativas ao direito de cancelamento e acesso?
    • Como posso saber quando essas solicita√ß√Ķes foram atendidas?
    • Estou acompanhando todos os provedores de servi√ßos que acessam as informa√ß√Ķes pessoais dos consumidores em meu nome?
    • Posso entrar em contato com essas partes para atender a quaisquer solicita√ß√Ķes de cancelamento?
    • Devo manter um registro das informa√ß√Ķes pessoais e categorias coletadas de cada consumidor?
  • Tenho os documentos necess√°rios para fornecer as informa√ß√Ķes exigidas por lei?
  • Que exce√ß√Ķes provavelmente se aplicam a meu caso?

Forne√ßa as informa√ß√Ķes solicitadas

Com base nas respostas às perguntas anteriores, redija e inclua as cláusulas relevantes em sua política de privacidade e, se aplicável, nos pontos de coleta de dados (como o formulário de contato, por exemplo).

Certifique-se de incluir:

  • as categorias de informa√ß√Ķes pessoais que voc√™ coletou, vendeu ou compartilhou nos √ļltimos 12 meses;
  • as categorias de terceiros com os quais voc√™ compartilhou e/ou pode compartilhar informa√ß√Ķes pessoais;
  • as categorias das fontes de onde v√™m as informa√ß√Ķes pessoais de seus consumidores;
  • os fins comerciais da coleta ou venda de dados pessoais;
  • os direitos aplic√°veis ‚Äč‚Äče podem ser exercidos pelos consumidores

Respeite os direitos dos consumidores

Os direitos de acesso, portabilidade e cancelamento devem ser respeitados, sem qualquer custo para o consumidor, no prazo de 45 dias ap√≥s o recebimento de uma solicita√ß√£o verific√°vel. Se necess√°rio, voc√™ pode estender o prazo (uma √ļnica vez) por mais 45 dias, desde que o consumidor esteja informado.

Para atender √†s solicita√ß√Ķes de acesso e portabilidade, as informa√ß√Ķes devolvidas ao consumidor devem ser fornecidas em um formato de f√°cil utiliza√ß√£o e transmiss√£o.

Quando um consumidor exerce o direito de opt-out (ou seja, se op√Ķe √† venda de seus dados), voc√™ deve atender ao pedido no ato do recebimento.

Nos casos em que voc√™ tenha conhecimento de que o consumidor √© um menor de 16 anos, voc√™ n√£o deve vender suas informa√ß√Ķes pessoais a menos que haja autoriza√ß√£o expressa de um pai/respons√°vel legal (para crian√ßas menores de 13 anos) ou do pr√≥prio menor (para menores com idade entre 13-16 anos).

Adicione um link “DNSMPI” a seu website

Como requisito para o direito do consumidor a optar por n√£o aceitar, √© necess√°rio fornecer um link de f√°cil acesso, claramente vis√≠vel e contendo as palavras “N√£o venda minhas informa√ß√Ķes pessoais” (“DNSMPI“, sigla para “Do Not Sell My Personal Information”) na p√°gina inicial de seu website e em sua pol√≠tica de privacidade (acompanhada de informa√ß√Ķes sobre o direito do consumidor relacionado).

O link deve levar o usu√°rio a uma p√°gina onde ele pode optar por n√£o vender suas informa√ß√Ķes pessoais.

Sempre que tecnicamente poss√≠vel, os residentes da Calif√≥rnia podem ser redirecionados para uma p√°gina separada com um link ‚ÄúDNSMPI‚ÄĚ.

N√£o discrimine consumidores que exerceram seus direitos

O servi√ßo, a qualidade, os n√≠veis e/ou pre√ßos oferecidos aos consumidores n√£o devem depender da escolha, ou n√£o do exerc√≠cio de seus direitos. As √ļnicas exce√ß√Ķes a essa regra s√£o os casos em que o valor do servi√ßo ou bem oferecido √© baseado nos dados coletados do consumidor (ver exemplo citado acima).

√Č poss√≠vel oferecer incentivos econ√īmicos aos consumidores em troca do acesso a suas informa√ß√Ķes pessoais. No entanto, esses incentivos devem ser justos, razo√°veis, n√£o coercitivos nem extorsivos. Os consumidores ser√£o informados da exist√™ncia de tais incentivos por meio da p√°gina inicial de seu website.

Reveja periodicamente seus processos

As leis, assim como as pessoas, necessidades e ideais que fundamentam, estão sujeitas a mudanças. Da mesma forma, seus objetivos, seus parceiros e processos internos de sua empresa podem mudar com o tempo.

Por isso, é extremamente importante revisar e avaliar periodicamente os processos internos, aspectos técnicos e documentos legais, e mantê-los atualizados com os requisitos da regulamentação.

Como a iubenda pode ajud√°-lo a estar em conformidade com a CCPA

Obedecer ao CCPA pode ser complicado ‚Äď interpretar a lei e implementar as especifica√ß√Ķes t√©cnicas em seu website e empresa pode ser bastante desafiador.

Nossas solu√ß√Ķes eliminam as suposi√ß√Ķes quanto √† conformidade e facilitam o cumprimento com os requisitos da CCPA para voc√™ poder se concentrar em seu neg√≥cio.

Gerador de Política de Privacidade e Cookies de acordo com a CCPA

Todas as pol√≠ticas de privacidade geradas com iubenda est√£o em conformidade com a CCPA, pois elas t√™m a possibilidade de aplicar facilmente os padr√Ķes exigidos por esta legisla√ß√£o aos usu√°rios localizados na Calif√≥rnia.

Nossa solução facilita o cumprimento destes requisitos legais:

  • Uso de linguagem, informa√ß√Ķes e instru√ß√Ķes relacionados ao CCPA conforme exig√™ncia legal;
  • Indicar os servi√ßos em uso em seu website que podem ser considerados como uma venda de dados pessoais segundo a CCPA (conforme exigido por lei); e
  • Atualiza√ß√£o autom√°tica de sua pol√≠tica de privacidade integrada com o texto da CCPA ‚Äď voc√™ n√£o ter√° que inserir novamente o c√≥digo de integra√ß√£o em seu website.

Cookie Solution para CCPA: Mostre um aviso de coleta e link “N√£o vender minhas informa√ß√Ķes pessoais”

Nossa solução ajuda você a cumprir com o requisito da CCPA de informar devidamente os usuários localizados na Califórnia de qualquer atividade de venda de dados a partir da visita no website e permite que estes usuários recusem tal atividade por meio do cancelamento (opt-out) conforme exigido por lei.

Especificamente, nossa Cookie Solution permite que você:

  • Mostre um aviso de coleta de dados;
  • Mostre um link “N√£o vender minhas informa√ß√Ķes pessoais” (DNSMPI) no aviso de coleta de dados (conforme exigido por lei) e tamb√©m permite que voc√™ adicione o link em seu website, facilitando o acesso dos usu√°rios ao cancelamento (opt-out) quanto √† venda de seus dados;
  • Automaticamente detecte e aplique os padr√Ķes corretos com base na localiza√ß√£o. Quando necess√°rio, nossa solu√ß√£o permite que voc√™ aplique as normas CCPA e GDPR aos mesmos usu√°rios.
  • Est√° alinhado com a Estrutura de Conformidade com a CCPA do IAB (“Interactive Advertising Bureau”), um protocolo que permite que anunciantes e seus parceiros se adaptem √†s novas regulamenta√ß√Ķes relacionadas √† venda de dados de consumidores para empresas de tecnologia.
  • Bloqueie manualmente os scripts que n√£o estejam de acordo com a estrutura de conformidade IAB para a CCPA. Nossa solu√ß√£o permite que voc√™ bloqueie scripts que o usu√°rio recuse por meio do opt-out.

ūüí°Descubra como habilitar esses recursos.

Consent Solution & Internal Privacy Management para registros atualizados

Conforme observado acima, a CCPA d√° aos consumidores o direito de se opor (opt-out). Se o tratamento for de alguma forma manual (ou seja, n√£o conectado a scripts, como no caso de direct e-mail marketing), as empresas podem ter que atender manualmente √†s solicita√ß√Ķes de cancelamento.

Além disso, a CCPA estipula que os usuários não podem ser contatados nos 12 meses seguintes à solicitação. Por este motivo, é aconselhável manter um registro com dados do cancelamento (opt-out) de um usuário, data e fornecedores que devem ser notificados em caso de solicitação.

Consent Solution

Nossa Consent Solution se integra a seus formulários para permitir que você transmita as preferências do consumidor (incluindo opt-out) para um dashboard intuitivo via API.

Você pode registrar todos os detalhes relevantes, incluindo a data e hora do opt-out, a versão da política de privacidade mostrada ao usuário no momento da solicitação, ID do usuário, e-mail e até mesmo o endereço IP, a fim de obter uma solicitação verificável.

ūüí°Leia mais sobre a Consent Solution.

Internal Privacy Management Solution

Nossa Internal Privacy Management Solution permite que você registre com precisão os dados necessários, a fim de atender às demandas dos consumidores.

A nossa solução registra:

  • detalhes relacionados √† seguran√ßa, como quais membros de sua organiza√ß√£o t√™m acesso aos dados do usu√°rio;
  • quaisquer fornecedores que processem dados pessoais em seu nome;
  • as finalidades do tratamento adicionadas manualmente;
  • m√©todos de coleta de dados e muito mais.

ūüí°Leia mais sobre a Internal Privacy Management Solution.

Veja também