💡 Confundido sobre a CCPA? Eis o que precisa de fazer:
O que é a California Consumer Privacy Act (CCPA) e de que forma é possível cumprir a CCPA? Explicamos-lhe tudo (sem todo o juridiquês!) nas secções abaixo.
A CCPA consiste na mais recente lei em matéria de privacidade da Califórnia que visa reforçar os direitos de privacidade dos consumidores residentes na Califórnia, Estados Unidos. A lei entrou em vigor a 1 de janeiro de 2020, tornando-se plenamente aplicável desde 1 de julho de 2020..
A CCPA (igualmente conhecida como o “RGPD da Califórnia”) estabelece novos requisitos para o tratamento de elementos de identificação, concedendo direitos adicionais aos consumidores, pelo que terá provavelmente um impacto significativo tanto nos processos empresariais como na responsabilidade em geral.
De um modo geral, a CCPA aplica-se quando se verifiquem AMBAS as condições seguintes:
Nos termos da CCPA, um “consumidor” refere-se a uma pessoa singular residente na Califórnia.
No âmbito da California Consumer Privacy Act, uma “empresa” refere-se a uma organização com fins lucrativos que recolhe as informações pessoais dos consumidores, determina as finalidades e o método do tratamento, visa residentes da Califórnia (independentemente de a empresa estar efetivamente estabelecida na Califórnia) e preenche pelo menos um dos seguintes requisitos:
Nos termos da California Consumer Privacy Act, “informações pessoais” refere-se a “informações que identificam, se relacionam, descrevem, são suscetíveis de ser associadas ou de ser razoavelmente ligadas, direta ou indiretamente, a um determinado consumidor ou agregado familiar.”
A CCPA especifica que as informações pessoais podem incluir, nomeadamente:
No contexto da CCPA, a venda é definida como: “venda, aluguer, publicação, divulgação, disseminação, disponibilização, transferência ou qualquer comunicação oral, escrita, por meios eletrónicos ou outros meios, de informações pessoais do consumidor pela empresa a outra empresa ou a terceiros, mediante uma contrapartida pecuniária ou com caráter oneroso“.
Apesar de a CCPA não definir atualmente de forma explícita “caráter oneroso”, ao abrigo do direito dos contratos da Califórnia, define-se como “[q]ualquer benefício conferido, ou que tenha sido acordado ser conferido, ao promitente, por qualquer outra pessoa, ao qual o promitente não tenha direito nos termos da lei, ou qualquer prejuízo sofrido, ou que tenha sido acordado ser sofrido, por tal pessoa, que não aquele que, no momento do consentimento, esteja obrigado a sofrer nos termos da lei, enquanto incentivo ao promitente, constitui o caráter oneroso de uma promessa”. (Código Civ. Cal. § 1605).
Assim, o “caráter oneroso” pode ser interpretado de forma abrangente como incluindo quaisquer acordos em que sejam trocadas informações pessoais – e a entidade transmitente receba qualquer benefício a que não teria direito nos termos da lei sem o acordo.
A CalOPPA não foi revogada pela CCPA e continua em vigor. É algo a ter em consideração, ainda que a definição de “empresa” acima não se aplique a si, uma vez que poderá ainda ter de cumprir a CalOPPA ou ambas as leis poderão aplicar-se a si. Leia mais sobre a CalOPPA aqui
O que é que a CCPA exige ao certo?
Nos termos da CCPA, os consumidores têm o direito de ser informados sobre a forma como as suas informações são tratadas no momento da recolha ou antes da mesma.
Nos termos da California Consumer Privacy Act, deve divulgar:
Nos termos da CCPA, os consumidores têm o direito de aceder às suas informações pessoais quando comprovadamente solicitadas*.
Nomeadamente, os consumidores têm o direito de aceder:
*Comprovadamente solicitado ou um “pedido verificável do consumidor” significa um pedido efetuado por um consumidor, por um consumidor em nome de um filho menor do consumidor ou por uma pessoa singular ou uma pessoa registada junto do Secretário de Estado, autorizada pelo consumidor a agir em seu nome e que a empresa pode razoavelmente verificar . . . ser o consumidor a respeito do qual a empresa recolheu informações pessoais. Código Civ. Cal § 1798.140(y)
Deve proporcionar aos consumidores dois ou mais métodos de apresentação de pedidos de acesso, incluindo, pelo menos,um número de telefone gratuito e, no caso de a empresa possuir um website na internet, um endereço de website. Deve ainda empreender esforços razoáveis no sentido de verificar que a pessoa que efetua o pedido corresponde ao consumidor a respeito do qual as informações foram recolhidas ou se trata de uma pessoa autorizada a solicitar estas informações em nome do consumidor, tal como acima referido.
Nos termos da California Consumer Privacy Act, o direito de portabilidade dos dados é conjugado com o direito de acesso, de acordo com o artigo 1798.100 (d).
Quando as empresas satisfaçam os pedidos de Acesso “por via eletrónica”, é igualmente exigido que as informações sejam fornecidas ao consumidor “num formato portátil e, tanto quanto tecnicamente viável, pronto a utilizar, que permita ao consumidor transmitir essas informações a outra entidade sem dificuldades“.
Os pedidos de informação devem ser satisfeitos, de forma gratuita, no prazo de 45 dias após o pedido verificável do consumidor. Este prazo pode ser prorrogado uma vez por mais 45 dias, caso seja razoavelmente necessário, e desde que o consumidor seja notificado da prorrogação no primeiro prazo de 45 dias.
As divulgações efetuadas ao satisfazer o pedido devem abranger o período de 12 meses anterior à receção do pedido.
As empresas devem responder através de correio normal ou em formato eletrónico (como email, descarregamento de ficheiros, etc.). No caso de entrega por via eletrónica, a lei exige que as informações sejam “portáteis”, isto é, entregues num formato de fácil utilização e que permita a transmissão das informações a outra entidade sem dificuldades.
A CCPA concede aos consumidores o direito de solicitar o apagamento de quaisquer informações pessoais que tenham sido recolhidas a seu respeito. Se for recebido um pedido verificável de apagamento de um consumidor, deverá apagar as informações pessoais do consumidor dos seus registos e dar instruções a qualquer prestador de serviços relevante no sentido de apagar as informações pessoais do consumidor dos seus registos.
Deve proporcionar aos consumidores dois ou mais métodos de apresentação de pedidos, incluindo, pelo menos,um número de telefone gratuito e, no caso de a empresa possuir um website na internet, um endereço de website. Deve ainda empreender esforços razoáveis no sentido de verificar que a pessoa que efetua o pedido corresponde ao consumidor a respeito do qual as informações foram recolhidas ou se trata de uma pessoa autorizada a solicitar estas informações em nome do consumidor, tal como acima referido.
Este pedido deve ser satisfeito, de forma gratuita, no prazo de 45 dias após o pedido verificável do consumidor. Este prazo pode ser prorrogado uma vez por mais 45 dias, caso seja razoavelmente necessário, e desde que o consumidor seja notificado da prorrogação no primeiro prazo de 45 dias.
As empresas não são obrigadas a satisfazer o pedido de apagamento se as informações forem necessárias:
Nos termos da CCPA, o consumidor tem o direito, a qualquer momento, de informar uma empresa que venda as suas informações pessoais a terceiros, que deverá deixar de vender essas informações pessoais.
Como referido acima, nos termos da CCPA, “vender”, “venda” ou “vendido” significa venda, aluguer, publicação, divulgação, disseminação, disponibilização, transferência ou qualquer comunicação oral, escrita ou por meios eletrónicos de informações pessoais do consumidor pela empresa a outra empresa ou a terceiros, mediante uma contrapartida pecuniária ou com caráter oneroso.
Dois exemplos menos óbvios do que poderia* considerar-se “vender” nos termos da CCPA incluem:
*Tenha em consideração que, nesta fase da implementação, alguns fatores podem vir a alterar-se à medida que a lei for sendo ajustada.
Se “vender” as informações pessoais dos consumidores a terceiros, deve divulgar este facto aos consumidores, informando-os ainda de que têm o direito de recusar a venda das suas informações pessoais (de acordo com “O direito de ser informado” indicado acima).
Não se pode pedir a um consumidor que crie uma conta para poder recusar. Em vez disso, este processo deve ser facilitado através de um link “Não Vendam as Minhas Informações Pessoais” (“NVMIP“) no seu website ou de um aviso de privacidade.
Se uma empresa receber instruções de um consumidor no sentido de não vender as informações pessoais do consumidor, fica proibida de vender as informações pessoais desse consumidor, exceto se o consumidor posteriormente autorizar expressamente a venda das suas informações pessoais (Aceitação).
As empresas só podem pedir a autorização de um consumidor mais uma vez e apenas 12 meses após o consumidor ter recusado.
As empresas estão proibidas de vender as informações pessoais dos consumidores se tiverem efetivamente conhecimento de que o consumidor tem uma idade inferior a 16 anos. Nesses casos, as empresas só podem vender as informações se:
Nos termos da CCPA, as empresas estão proibidas de discriminar os consumidores por exercerem os seus direitos concedidos ao abrigo da lei. As formas de discriminação proibidas incluem:
Uma empresa apenas poderá cobrar ou oferecer preços, taxas, níveis ou qualidade dos bens ou serviços diferentes quando essa diferença esteja razoavelmente relacionada com o valor apresentado ao consumidor pelos seus dados.
Por exemplo, uma empresa oferece um desconto normal de 30% sobre um bem para incentivar a sua reaquisição, um mês após a compra inicial do mesmo bem pelo consumidor. Durante esse período, o consumidor exerce o seu direito ao apagamento dos dados e solicita que as suas informações pessoais sejam apagadas. Neste caso, uma vez que a empresa já não dispõe dos dados do consumidor que indicam que o consumidor adquiriu previamente o bem, não pode razoavelmente oferecer o desconto normal de 30% a esse consumidor em particular.
Uma empresa pode oferecer incentivos financeiros, incluindo pagamentos aos consumidores como compensação, pela recolha de informações pessoais, pela venda de informações pessoais ou pelo apagamento de informações pessoais. Nesses casos, tais incentivos financeiros devem ser divulgados aos utilizadores através da página inicial do seu website e na sua política de privacidade.
As empresas estão proibidas de utilizar práticas de incentivos financeiros que sejam “injustas, pouco razoáveis, coercivas ou abusivas”.
Já houve quem designasse a CCPA como “o RGPD da Califórnia”. Segue-se uma comparação entre estas duas leis de privacidade:
| CCPA | RGPD | |
|---|---|---|
| Autoridade de controlo? | O Procurador-Geral do Estado da Califórnia, EUA.. | As autoridades de proteção de dados nacionais (dos Estado-Membros da UE). |
| Quem deve cumprir? | Qualquer empresa com fins lucrativos que vise consumidores da Califórnia e:
|
Quaisquer entidades (com ou sem fins lucrativos – incluindo ONG, pessoas e entidades públicas) que visem os consumidores da UE ou que estejam estabelecidas na UE. |
| Que tipo de dados são protegidos? | Quaisquer dados que digam respeito a um determinado consumidor ou agregado familiar ou que sejam suscetíveis de ser associados aos mesmos, exceto os registos públicos de entidades públicas. | Quaisquer dados que possam levar à identificação de uma pessoa. |
| Os endereços IP são considerados Dados Pessoais? | ||
| O consentimento é exigido antes do tratamento? | Apenas no caso de menores e em casos de recusa anterior. | Sim, exceto quando legitimamente se aplicar outro fundamento jurídico. |
| As Empresas devem permitir a recusa ou retirada do consentimento dos consumidores? | Sim, devem fornecer um link NVMIP e respeitar os pedidos de recusa. | Os utilizadores têm tanto o direito de retirar o consentimento como o direito de se oporem ao tratamento (potencialmente aplicável mesmo nos casos em que o tratamento se justifique com base num fundamento jurídico que não o consentimento). |
| A proteção aplica-se igualmente às interações entre empresas (B2B)? | Não, a proteção conferida pela CCPA aplica-se apenas aos consumidores. | O RGPD não distingue entre a proteção conferida às interações B2B e B2C (entre empresas e consumidores). Limita-se a conferir a sua proteção aos “titulares dos dados“, que são definidos como quaisquer “pessoas singulares identificáveis” residentes na UE. |
| Requisitos de segurança? | A CCPA não enumera quaisquer requisitos de segurança específicos, embora conceda aos consumidores o direito explícito de instaurar processos para obter indemnizações por danos resultantes da não implementação por parte de uma empresa de procedimentos de segurança adequados. | O RGPD exige que tanto os responsáveis pelo tratamento como os subcontratantes apliquem métodos de segurança adequados ao risco específico em causa. Os métodos de segurança devem consistir nas “técnicas mais avançadas”, o que significa que os métodos de segurança devem seguir os padrões mais avançados. |
| Penalizações por incumprimento? | Coimas até 7500$ por cada incumprimento. A CCPA confere ainda aos consumidores o direito de instaurar processos para obter indemnizações por danos. | Coimas até 20 milhões de euros (22 milhões de USD) ou 4% das receitas globais anuais – consoante o que seja maior, eventuais auditorias e sanções. O RGPD confere ainda aos titulares dos dados o direito de instaurar processos se os seus direitos forem violados. |
| Direitos dos utilizadores aplicáveis de forma resumida | ||
| O direito de ser informado | ||
| O direito de acesso | ||
| O direito de portabilidade | ||
| O direito de retificação | × | |
| O direito ao apagamento dos dados | ||
| O direito de oposição | De algum modo abrangido pelo direito de recusa | |
Os consumidores têm o direito de instaurar processos* contra as empresas que violem a lei. As respetivas coimas oscilarão entre 100$ e 750$ ou qualquer montante superior relativo a danos efetivos (sempre que seja possível provar danos de maior valor).
*Isto aplica-se apenas às próprias empresas e não aos “prestadores de serviços” que atuem em nome das empresas.
O Estado pode deduzir acusações até 2.500 $ por violação, no caso de empresas que violem involuntariamente a CCPA, e coimas até 7.500 $ por violação, no caso de empresas que cometam violações intencionais.
Apesar de estas coimas poderem não parecer muito elevadas quando comparadas com outras leis de privacidade, tenha em consideração que estas coimas se aplicam por violação individual e por consumidor.
O cumprimento da CCPA, à semelhança do cumprimento de outras leis em matéria de privacidade, constitui um processo multifacetado que envolve uma análise honesta, planeamento e implementação técnica e legal. Contudo, na maioria dos casos, é a implementação que se revela mais exigente.
É aqui que entra a iubenda. A implementação pode ser complicada. Nós aliviamos a pressão que recai sobre si ao oferecer soluções de software eficazes — apoiadas pela nossa equipa jurídica internacional — que lhe permitem lidar inclusive com os cenários mais complexos com poucos cliques, bem como personalizar totalmente sempre que necessário (saiba mais sobre as nossas soluções e como elas podem ajudar aqui).
Independentemente do modo como decida abordar o processo de implementação, existem ainda alguns passos básicos que terá de tomar antes sequer de chegar à fase de implementação. De seguida, iremos analisá-los, incluindo o restante processo de implementação.
Talvez um dos passos mais importantes seja analisar e avaliar de forma honesta os seus próprios processos e sistemas.
Algumas questões que pode colocar neste contexto incluem:
Com base nas respostas obtidas no passo acima, estruture e inclua as declarações relevantes na sua política de privacidade, e eventualmente no momento da recolha dos dados (por exemplo, um formulário de contacto), se aplicável.
Certifique-se de que inclui:
Os direitos de acesso, portabilidade e apagamento devem ser respeitados, sem custos para o consumidor, no prazo de 45 dias após a receção de um pedido verificável.O prazo para satisfazer o pedido pode ser prorrogado (apenas uma vez) por mais 45 dias, se necessário, desde que o consumidor seja notificado de tal facto.
Ao satisfazer pedidos de acesso e portabilidade, as informações devolvidas ao consumidor devem ser disponibilizadas num formato de fácil utilização e transmissão.
Quando um consumidor exerça os seus direitos de recusa (o direito de recusar a venda dos seus dados), deve cumprir esse pedido logo que o receba.
Nos casos em que tenha conhecimento de que o consumidor é um menor com idade inferior a 16 anos, não deve vender as suas informações, salvo autorização explícita em contrário de um dos pais ou tutor (para menores com idade inferior a 13 anos) ou mediante a autorização explícita do consumidor menor entre 13 e 16 anos de idade.
Enquanto requisito do direito de recusa do consumidor, deve fornecer um link “Não Vendam as Minhas Informações Pessoais” (“NVMIP“) de fácil acesso, claro e visível na página inicial do seu website e na sua política de privacidade (com as devidas divulgações do respetivo direito do consumidor).
O link deve levar o utilizador para uma página onde possa recusar a venda das suas informações pessoais.
Sempre que tecnicamente viável, poderá alojar e redirecionar residentes da Califórnia para uma página inicial em separado com o link NVMIP visível.
O serviço, qualidade, níveis e/ou preços que cobra/oferece aos consumidores não deve ser influenciado ou depender do facto de terem ou não exercido os seus direitos. As únicas exceções a esta regra são os casos em que o valor do serviço ou bem oferecido depende dos dados recolhidos sobre o consumidor (veja o exemplo acima)
Poderá oferecer incentivos financeiros (incluindo pagamentos) aos consumidores como contrapartida pelo acesso às suas informações pessoais. Contudo, só poderá recorrer a incentivos financeiros justos, razoáveis, não coercivos e não excessivos. Em todos esses casos, os consumidores devem ser previamente notificados desses incentivos através da página inicial do seu website.
As leis, tal como as pessoas, as necessidades e as ideias que servem, são frequentemente coisas “vivas” e dinâmicas. Da mesma forma, os seus próprios objetivos comerciais, parceiros e processos podem alterar-se com o tempo.
Por esta razão, é essencial que analise e avalie periodicamente os seus processos internos, capacidades técnicas e documentos legais, mantendo-os atualizados em função dos requisitos legais.
De um modo geral, a conformidade pode revelar-se complicada – compreender a forma correta de aplicar a lei e de fazer com que as especificações técnicas funcionem no seu site e no seu negócio pode ser bastante desafiante.
As nossas soluções resolvem quaisquer dúvidas relativas à conformidade, tratando de todo o trabalho técnico e jurídico, para que se possa concentrar no crescimento do seu negócio.
Todas as políticas de privacidade geradas com a iubenda permitem-lhe cumprir a CCPA, uma vez que incluem a opção de aplicar facilmente as normas legais definidas pela CCPA aos utilizadores da Califórnia.
A nossa solução facilita-lhe o preenchimento de requisitos acrescidos através da:
💡 Saiba mais sobre o nosso Gerador de Políticas de Privacidade e de Cookies.
A nossa solução ajuda-o a cumprir a obrigação de a CCPA informar os utilizadores californianos de qualquer atividade de venda durante a navegação no site, permitindo também que estes utilizadores se autoexcluam (nos termos legalmente exigidos).
Mais especificamente, a Privacy Controls and Cookie Solution permite-lhe:
💡 Saiba mais sobre como ativar estas funcionalidades.
Como referido anteriormente, a CCPA concede aos consumidores o direito de recusa. Nos casos em que o tratamento seja de certo modo manual (ou seja, não relacionado com scripts no site, como no caso do marketing direto por correio eletrónico), as empresas podem ter de implementar manualmente o pedido de recusa.
Além disso, a CCPA determina que os utilizadores que tenham recusado não possam ser contactados durante um período mínimo de 12 meses após o pedido. Por este motivo, é prudente manter registos de informações de recusa, tais como o utilizador específico, a data e os subcontratados a notificar no caso de serem apresentados pedidos.
A nossa Consent Database liga-se aos seus formulários web para lhe permitir transmitir automaticamente as informações das preferências dos consumidores, como a recusa através da API até um painel de controlo visual gerido de forma centralizada.
Pode registar todas as informações relevantes, incluindo a data e hora da recusa, a versão da política de privacidade disponível para o utilizador no momento da recusa, o Id de utilizador, o e-mail e até o endereço IP para ajudar na verificação do pedido.
💡 Saiba mais sobre a Consent Database.
O nosso Registo das Atividades de Tratamento de Dados permite-lhe registar com precisão as informações relevantes necessárias para satisfazer com rigor os pedidos dos Consumidores.
A solução regista:
💡 Saiba mais sobre o Registo das Atividades de Tratamento de Dados.
