Comparação de Conformidade entre CCPA e GDPR

O GDPR é uma lei da União Europeia (UE) que entrou em vigor em abril de 2016. O Regulamento foi projetado para melhorar a proteção de dados pessoais e aumentar a responsabilidade organizacional pelas violações de dados para proteger os residentes da União Europeia. O GDPR inclui multas de até 4% da receita global ou 20 milhões de euros (o que for maior), e não importa onde sua organização esteja localizada, se ela processa ou controla os dados pessoais dos residentes da UE, sua organização está sujeita ao regulamento.

Exigências de segurança notáveis de dados do GDPR
Algumas das principais disposições do GDPR exigem que as organizações:

• Processem dados pessoais para garantir sua segurança, “incluindo a proteção contra o tratamento não autorizado ou ilegal” (Artigo 5)
• Implementar medidas técnicas e organizacionais para garantir uma segurança de dados adequada ao nível de risco, incluindo “pseudonimização e criptografia de dados pessoais.” (Artigo 32)
• Comuniquem “sem demora injustificada” violações de dados pessoais às vítimas de tais violações “quando a violação puder causar alto risco para os direitos e liberdades” dessas pessoas. (Artigo 34)
• Proteger contra a “divulgação não autorizada de, ou acesso não autorizado a, dados pessoais.” (Artigo 32)

Mais sobre GDPR:

• O que é GDPR? – página da web da Entrust com lista completa de capítulos e artigos do GDPR
• GDPR.UE - Site oficial da União Europeia com guia completo de conformidade
• Visão geral do GDPR - página da web da Entrust com uma visão geral do GDPR

Artigo 6 (Legalidade do processamento) identifica “criptografia ou pseudonimização” como “salvaguardas apropriadas” para proteger os dados pessoais dos sujeitos.

Artigo 32 (Segurança do processamento) estabelece que “o processador deverá implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, entre outros, conforme adequado:

(a) a pseudonimização e criptografia de dados pessoais ...”

Artigo 34 (Comunicação de uma violação de dados pessoais ao envolvido) permite às organizações que sofrem uma violação de dados evitar a exigência de comunicação se usaram criptografia para “tornar os dados pessoais ininteligíveis a qualquer pessoa não autorizada a acessá-los”

A Lei de Privacidade do Consumidor da Califórnia (CCPA) entrou em vigor no início de 2020. Ela foi projetado para dar aos residentes da Califórnia mais controle sobre quais dados pessoais são coletados e como esses dados são utilizados.

As empresas que violarem a CCPA podem incorrer em uma multa de US$ 7.500 para cada violação intencional. As violações não intencionais são menos onerosas, mas ainda assim custam US$ 2.500 cada. No entanto, litígios civis podem potencialmente ter um impacto negativo em organizações não conformes. As organizações podem ter que desembolsar até US$ 750 em danos civis para cada consumidor afetado pela não conformidade com a CCPA.

Mais sobre CCPA:

• Código Civil da CCPA - Código oficial no site de informações sobre a legislação do estado da Califórnia
• Visão geral da CCPA - página da web da Entrust com uma visão geral da CCPA

Seção 1798.150 da CCPA declara: “Todo consumidor cujas informações pessoais não criptografadas e não editadas, conforme definido no subparágrafo (A) do parágrafo (1) da subdivisão (d) da Seção 1798.81.5, está sujeita a acesso não autorizado e exfiltração, roubo ou divulgação como resultado de a violação pela empresa do dever de implementar e manter procedimentos e práticas de segurança razoáveis e apropriados à natureza das informações para proteger as informações pessoais pode instaurar uma ação civil…”

Além disso, a proteção das chaves de criptografia é abordada na legislação relacionada a CCPA. Notavelmente, Lei da Assembleia 1130, que foi introduzido para atualizar o estatuto de notificação de violação da Califórnia, requer a notificação de pessoas cujos dados foram violados, a menos que esses dados sejam criptografados e as chaves de criptografia não tenham sido obtidas com os dados.

Como o GDPR e a CCPA são similares?
Tanto o GDPR quanto a CCPA têm como objetivo proteger a privacidade e os direitos de dados das pessoas que vivem em suas respectivas regiões geográficas. Ambas estendem seu alcance a organizações que fazem negócios com seus residentes, independentemente de essas organizações residirem ou não em suas geografias.

Tanto a CCPA quanto o GDPR concedem aos indivíduos certos direitos em relação aos seus dados pessoais e exigem transparência das organizações que detêm e processam esses dados.

Tanto a CCPA quanto o GDPR:

• Exija que as empresas divulguem as informações pessoais que as empresas compilaram sobre esses indivíduos.
• Exija que as organizações divulguem o que fazem com os dados pessoais.
• Exija que organizações detentoras de dados pessoais excluam esses dados a pedido da pessoa a quem os dados dizem respeito.
• Exija que as organizações implementem medidas de segurança cibernética para proteger os dados pessoais dos indivíduos.
• Multas por não conformidade.

Quais são as diferenças entre o GDPR e a CCPA?

• O GDPR exige que as empresas tenham uma base legal antes de processar dados sobre os residentes. A CCPA não o faz.
• O GDPR se aplica a todas as empresas que atendem ao requisito de base legal mencionado acima. A CCPA se aplica somente a empresas com uma receita bruta anual de mais de US$ 25 milhões.
• Nos termos da CCPA, um indivíduo pode impedir que as empresas vendam seus dados privados, e as organizações não podem discriminar esses indivíduos.
• O GDPR impõe condições adicionais para empresas que processam informações relacionadas à saúde, porque o GDPR é mais específica ao incluir termos como "dados genéticos" e “dados biométricos”. A CCPA usa um termo geral de guarda-chuva.
• Em geral, as multas do GDPR parecem ser provavelmente mais altas do que as multas da CCPA. Entretanto, a CCPA abre a porta para litígios civis, que podem ser igualmente caros para uma organização infratora.