Análogo americano do GDPR: o que você precisa saber sobre o CCPA

Existem cada vez mais análogos do GDPR no mundo. Recentemente, um projeto semelhante foi desenvolvido na Índia , agora os Estados Unidos estão alinhados. A Califórnia tomou um exemplo da Europa, aprovando sua própria lei que rege as regras para trabalhar com os dados pessoais dos usuários.

A Lei de Privacidade do Consumidor da Califórnia, ou CCPA, entrará em vigor em 1º de janeiro de 2020. A seguir, consideramos as principais disposições da lei, que foram desenvolvidas e adotadas em apenas uma semana.


/ foto Ryan Brisco PD

Quem se enquadra na lei

A nova lei não é tão rigorosa quanto a diretiva européia, mas ainda implica grandes mudanças na vida dos negócios. Todo usuário da Internet na Califórnia tem o direito de exigir da empresa as informações que ela coletou sobre ele e uma lista de terceiros de quem ela ficou ciente.

Com base na mesma lei, o usuário agora pode processar uma organização que usou ilegalmente seu PD ou falhou em atender a qualquer uma das solicitações dentro do prazo.

O CCPA cobre empresas que processam os dados pessoais de residentes da Califórnia (os residentes podem estar no estado e no exterior) e recebem um mínimo de US $ 25 milhões em receita anual. Mas há uma nuance: se a receita da empresa é menor, mas ela armazena dados pessoais de mais de 50 mil pessoas, sua atividade se enquadra na SSRA.

A nova lei também regula as atividades das empresas que recebem mais da metade do lucro (não importa qual o tamanho) da venda da PD. A localização da organização não importa: não importa se está localizada na Califórnia ou fora do estado.

O que é considerado dados pessoais

Identificadores pessoais são quaisquer identificadores, biometria, geolocalização, histórico de atividades na Internet e informações sobre emprego ou educação. Em geral, qualquer dado que possa identificar uma pessoa chega lá.

Ao mesmo tempo, formulações bastante vagas são encontradas na lei. Por exemplo, um identificador pessoal pode incluir informações sobre a família do usuário. Além disso, como o PD classifica qualquer informação que permita compilar perfis de usuário: seja apenas psicológico, comportamental etc.

Direitos do Usuário

Por lei, o usuário recebe um conjunto "tradicional" de direitos:

• Acesse direito. O usuário pode enviar uma solicitação e obter todas as informações que a empresa coletou sobre ele;
• O direito ao esquecimento. O usuário pode exigir a remoção de informações pessoais dos servidores da empresa e de terceiros;
• O direito de saber. Mediante solicitação, a empresa deve divulgar os objetivos da coleta de dados pessoais e suas fontes;
• Direito de recusar. Os usuários podem se recusar a transferir seus dados para terceiros.

Aqui está uma diferença importante do GDPR - de acordo com a diretiva européia, uma empresa precisa obter o consentimento do usuário para processar o PD. Segundo as leis da Califórnia, uma organização precisa processar apenas solicitações de usuários.

Se os dados do usuário foram perdidos ou roubados, a empresa terá que pagar de 100 a 750 dólares a cada vítima.

Se o usuário enviou uma reclamação à empresa sobre uma violação relacionada aos seus dados pessoais, ela é obrigada a resolver o problema dentro de um mês. Caso contrário, ela será multada. Agora são 7,5 mil dólares.
No entanto, de acordo com o CCRA, as empresas não são obrigadas a divulgar nenhum fato de violação, se não receberem uma solicitação correspondente dos usuários.

Os valores de multas e pagamentos ainda podem mudar, mas, em qualquer caso (levando em consideração todos os custos técnicos e legais), a SSRA pode se tornar uma ameaça financeira à existência de muitas empresas.


/ foto Justin Lim PD

Descontos

Outra nuance interessante - a lei proíbe as empresas de discriminar usuários que se recusam a fornecer seus dados pessoais. Mas, ao mesmo tempo, sugere a possibilidade de introduzir um sistema de recompensa para aqueles que concordaram.

Formalmente, isso significa (se o item não mudar) que as empresas podem dar descontos para quem compartilha seus dados com terceiros e definir preços diferentes para os usuários, dependendo de suas configurações de privacidade.

Isso cria não apenas um precedente tecnológico interessante, mas também cultural: o CCPA de fato cria novas regras de jogo pelas quais as empresas podem comprar informações de usuários que anteriormente recebiam gratuitamente.

No resíduo seco

Formalmente, a lei entra em vigor em 1º de janeiro de 2020. Porém, assim que começar a operar, a empresa precisará fornecer imediatamente aos usuários os dados coletados sobre eles nos últimos 12 meses. Consequentemente, o prazo para a implementação de todas as soluções tecnológicas necessárias para isso chega um ano antes - ou seja, apenas quatro meses depois.

Com essa abordagem, os primeiros processos judiciais podem ser esperados no primeiro dia da diretiva. Como foi o caso do GDPR e processos para o Facebook e o Google .


/ foto Catálogo de Livros CC

Grandes gigantes de TI se opõem gradualmente, mas não muito abertamente, a essa lei . Em particular, eles financiam uma organização pública que está lutando contra ela.

Especialistas acreditam que a lei, adotada com tanta pressa, será alterada e redigida em dois anos. No entanto, eles não têm certeza de que as mudanças serão significativas. Os principais pontos provavelmente permanecerão intactos.

Assim, a SSRA é o primeiro passo para um entendimento completamente novo da segurança da informação na América e a modificação da maioria das práticas que por muitos anos foram consideradas básicas e inalteradas.

---

PS Postagens relacionadas do nosso blog IaaS:

• Como lidar com PD na nuvem e não violar a lei
• O que considerar a DP do ponto de vista do regulador russo
• PD na nuvem: pelo qual o cliente e o provedor da nuvem são responsáveis

Posts do PPS Fresh em nosso blog sobre Habré:

• Como um provedor de nuvem gerencia licenças de software e por que a blockchain é necessária aqui
• Três meses depois: como o GDPR afetou os cookies