Pular para o conteúdo principal

Lei de Privacidade do Consumidor da Califórnia - CCPA

A Lei de Privacidade do Consumidor da Califórnia (CCPA) é um estatuto estadual transformado em lei em 2018 com a intenção de melhorar os direitos de privacidade e proteção ao consumidor para os residentes do estado. A lei, que entrou em vigor em janeiro de 2020, dá aos consumidores mais controle sobre as informações pessoais que as empresas coletam sobre eles e estabelece novos direitos de privacidade do consumidor, incluindo:

  • O direito de saber quais informações pessoais uma empresa coleta sobre ela e como são usadas e compartilhadas
  • O direito de ter suas informações pessoais apagadas
  • O direito de optar pela não venda de suas informações pessoais
  • O direito a não ser discriminado pelo exercício dos direitos estabelecidos na CCPA

A quem se aplica a CCPA?

A CCPA se aplica a qualquer empresa com fins lucrativos que conduza negócios na Califórnia e atenda a qualquer um dos seguintes critérios:

  • Tem receita bruta anual acima de US$ 25 milhões
  • Compra ou vende as informações pessoais de 50.000 ou mais habitantes da Califórnia, residências ou dispositivos
  • Gera 50% ou mais de sua receita anual com a venda das informações pessoais dos residentes da Califórnia

A criptografia de dados é necessária para conformidade com a CCPA?

A conformidade com a CCPA exige que as informações pessoais do consumidor sejam criptografadas, conforme observado na Seção 1798.150 da Lei: “Todo consumidor cujas informações pessoais não criptografadas e não predeterminadas, conforme definido no subparágrafo (A) do parágrafo (1) da subdivisão (d) da Seção 1798.81.5, estejam sujeitas a acesso não autorizado e à extração, roubo ou divulgação como resultado da violação pela empresa do dever de implementar e manter procedimentos e práticas de segurança apropriados à natureza das informações para proteger as informações pessoais, pode mover uma ação civil com o objetivo de:

  1. Para recuperar danos em um valor não inferior a cem dólares (US$ 100) e não superior a setecentos e cinquenta dólares (US$ 750) por consumidor por incidente ou danos reais, o que for maior.
  2. Medida cautelar ou declaratória.
  3. Qualquer outra medida que o tribunal considerar adequada.”

Como as violações de dados são tratadas na CCPA?

Os consumidores podem processar uma empresa sob a CCPA somente se certas condições forem atendidas. As informações pessoais roubadas devem incluir o nome (ou sua inicial) e o sobrenome em combinação com as seguintes informações do consumidor:

  • Número da previdência social
  • Número da carteira de motorista, número de identificação fiscal, número de passaporte, número de identificação militar ou outro número de identificação único emitido em um documento governamental comumente usado para identificar uma pessoa
  • Número da conta financeira, número do cartão de crédito ou de débito, se combinado com qualquer código de segurança necessário, código de acesso ou senha que permita o acesso de alguém à conta do consumidor
  • Informações médicas ou de seguro saúde
  • Impressão digital, retina ou imagem da íris, ou outros dados biométricos únicos usados para identificar uma pessoa (exceto fotografias, a menos que usadas ou armazenadas para fins de reconhecimento facial)

Notadamente, essas informações devem ter sido roubadas de forma não criptografada e não editada.

A legislação relacionada vai além para abordar as consequências que as empresas enfrentam como resultado de uma violação de informações do consumidor, onde os registros não foram criptografados ou onde os dados criptografados e as chaves de criptografia foram roubados. Especificamente, como parte de uma emenda ao Projeto de Lei da Assembleia 1130, seção 1798.82 do Código Civil da Califórnia diz, em parte:

“Uma pessoa ou empresa que realize negócios na Califórnia, e que possua ou licencie dados computadorizados que incluam informações pessoais, deverá revelar violações de segurança do sistema após a descoberta ou notificação da violação de segurança dos dados de um residente da Califórnia (1) cujas informações pessoais não criptografadas foram ou podem ter sido adquiridas por uma pessoa não autorizada, ou (2) cujas informações pessoais criptografadas foram ou podem ter sido adquiridas por uma pessoa não autorizada e a chave de criptografia ou credencial de segurança foi ou pode ter sido adquirida por uma pessoa não autorizada e a pessoa ou empresa que possui ou licencia as informações criptografadas acredita que a chave de criptografia ou credencial de segurança pode tornar essas informações pessoais legíveis ou utilizáveis. A divulgação deve ser feita no tempo mais oportuno possível e sem demora injustificada, e deve ser compatível com as necessidades legítimas da aplicação da lei, conforme previsto na subdivisão (c), ou quaisquer medidas necessárias para determinar o escopo da violação e restaurar a integridade do sistema de dados.”