Privacidade | CCPA
Embora não tenha sido a primeira lei que regula dados pessoais, o GDPR causou um grande movimento tanto de mercado quanto cultural em relação a como lidamos, como cidadãos, com a questão da privacidade e propriedade de nossos dados pessoais e, com isso, um movimento amplo se inicicou, reverberando em várias outras localidades, gerando a vindoura LGPD e, no caso do assunto deste post, o CCPA (California Consumer Privacy Act), uma regulação criada em 2018 para proteção de direitos de dados de consumidores e como as organizações as coletam, armazenam e manipulam.
A vigência se iniciou em 01/01/2020 e é aplicável apenas aos residentes no estado da Califórnia, nos EUA (ou seja, é uma lei local e não federal) e seus princípios básicos são possibilitar ao indivíduo:
- Conhecimento sobre quais dados pessoais estão sendo coletados;
- Conhecimento sobre quem e para quem seus dados são vendidos e para quais finalidades;
- Rejeitar a venda de seus dados por e para terceiros;
- Acessar seus dados pessoais coletados;
- Solicitar a remoção de seus dados pessoais das bases de organizações que eventualmente tiverem coletado-os;
- Não ser discriminados por conta de suas preferências de privacidade
Todas as atividades profissionais residentes no estado da Califórnia estão sujeitas a esta legislação que satisfaçam ao menos a um dos critérios abaixo:
- Receita bruta anual superior a US$ 25.000.000,00;
- Compra ou venda de informações de 50.000 ou mais indivíduos;
- Receita anual superior a 50% proveniente de venda de dados pessoais
Estas organizações devem implementar controles que garantam mecanismos que permitam controle de pais para informações de menores de 13 anos, consentimento expresso para indivíduos entre 13 e 16 anos; direito a bloquear a venda de dados pessoais a terceiros; acesso facilitado aos dados coletados, incluindo uma linha gratuita para consulta pelo dono das informações; atualização de suas políticas prevendo as leis de direitos dos cidadãos do estado da Califórnia; e evitar novas inclusões de dados que foram rejeitados no período minimo de 12 meses após a solicitação de remoção.
As instituições receberam um período de 30 dias para adequação antes de serem autuadas e, em caso positivo, podem ser multadas em até US$ 7500,00 por registro armazenado.
Uma característica da lei que se descola do GDPR é sua abrangência quanto aos dados pessoais, onde esta cobre itens como informações olfativas e histórico de sites acessados e considera como informação pessoal os seguintes dados:
- Dados que levem à identificação direta de um indivíduo, como nome, endereço, endereço IP, email, logins, documentos pessoais e similares;
- Informações classificadas pelas leis do estado da Califórnia;
- Informações comerciais, como aquisição de produtos e serviços e histórico de tendências (muito usado por sistemas de CRM - Customer Relationship Manager);
- Informações biométricas;
- Informações e hábitos de navegação na Internet;
- Geolocalização;
- Informações sonoras, eletrônicas, visuais, térmicas, olfativas ou similares;
- Dados relacionados a relação trabalhista;
- Informações educacionais conforme define a legislação local;
- Profiling
Há uma comparação feita pela PWC colocando lado-a-lado o CCPA e o GDPR, evidenciando que são complementares e excludentes, aplicando-se a segunda apenas a organizações californianas que se relacionarem com cidadãos da União Européia:
É, portanto, mais uma passo em direção ao estabelecimento de uma cultura global de proteção aos dados pessoais, onde cidadãos comuns, organizações que utilizam dados como insumo e profissionais de Privacidade de Dados e Segurança da Informação devem amadurecer e tratar este tema com seriedade e sobriedade, sem excessos e nunca esquecendo os princípios que regem a vida em sociedade.