O que é CCPA?

A Lei de Privacidade do Consumidor da Califórnia (CCPA) é um estatuto estadual transformado em lei em 2018 com a intenção de melhorar os direitos de privacidade e proteção ao consumidor para os residentes do estado. A lei, que entrou em vigor em janeiro de 2020, dá aos consumidores mais controle sobre as informações pessoais que as empresas coletam sobre eles e estabelece novos direitos de privacidade do consumidor, incluindo:

• O direito de saber quais informações pessoais uma empresa coleta sobre ela e como são usadas e compartilhadas
• O direito de ter suas informações pessoais apagadas
• O direito de optar pela não venda de suas informações pessoais
• O direito a não ser discriminado pelo exercício dos direitos estabelecidos na CCPA

Os direitos listados acima devem ser incluídos na Política de privacidade da empresa, que deve ser fornecida aos consumidores em um formato fácil de ler, compreensível e imprimível.

A CCPA exige que as empresas forneçam os seguintes avisos aos consumidores em formato fácil de ler e compreensível:

• Política de Privacidade
• Aviso de coleta de informações pessoais
• Aviso de direito de recusar a venda de informações pessoais
• Aviso de incentivo financeiro

A CCPA se aplica a qualquer empresa com fins lucrativos que conduza negócios na Califórnia e atenda a qualquer um dos seguintes critérios:

• Tem receita bruta anual acima de US$ 25 milhões
• Compra ou vende as informações pessoais de 50.000 ou mais habitantes da Califórnia, residências ou dispositivos
• Gera 50% ou mais de sua receita anual com a venda das informações pessoais dos residentes da Califórnia

As empresas que não estiverem em conformidade com a CCPA estão sujeitas a multas financeiras de US$ 2.500 para cada violação acidental, US$ 7.500 para cada violação intencional, mais US$ 750 em indenizações cíveis por consumidor afetado.

Para atender à conformidade com a CCPA, as empresas devem criptografar as informações pessoais do consumidor, conforme observado na Seção 1798.150 da Lei: “Todo consumidor cujas informações pessoais não criptografadas e não predeterminadas, conforme definido no subparágrafo (A) do parágrafo (1) da subdivisão (d) da Seção 1798.81.5, estejam sujeitas a acesso não autorizado e à extração, roubo ou divulgação como resultado da violação pela empresa do dever de implementar e manter procedimentos e práticas de segurança apropriados à natureza das informações para proteger as informações pessoais, pode mover uma ação civil com o objetivo de:

a. Para recuperar danos em um valor não inferior a cem dólares (US$ 100) e não superior a setecentos e cinquenta dólares (US$ 750) por consumidor por incidente ou danos reais, o que for maior.

b. Medida cautelar ou declaratória.

C. Qualquer outra medida que o tribunal considerar adequada.”

Para simplificar, se os dados não criptografados do consumidor forem roubados de uma empresa, os indivíduos afetados podem processar essa empresa no valor máximo de US$ 750 por consumidor ou danos reais, o que for maior.

Os consumidores podem processar uma empresa sob a CCPA somente se certas condições forem atendidas. As informações pessoais roubadas devem incluir o nome (ou sua inicial) e o sobrenome em combinação com as seguintes informações do consumidor:

• Número da previdência social
• Número da carteira de motorista, número de identificação fiscal, número de passaporte, número de identificação militar ou outro número de identificação único emitido em um documento governamental comumente usado para identificar uma pessoa
• Número da conta financeira, número do cartão de crédito ou de débito, se combinado com qualquer código de segurança necessário, código de acesso ou senha que permita o acesso de alguém à conta do consumidor
• Informações médicas ou de seguro saúde
• Impressão digital, retina ou imagem da íris, ou outros dados biométricos únicos usados para identificar uma pessoa (exceto fotografias, a menos que usadas ou armazenadas para fins de reconhecimento facial)

Notadamente, essas informações devem ter sido roubadas de forma não criptografada e não editada.

A própria CCPA não discute as chaves de criptografia. Entretanto, vamos nos referir novamente à Seção 1798.150 da Lei (consulte “A criptografia de dados é necessária para conformidade com a CCPA?” acima) e a declaração “…acesso não autorizado e exfiltração, roubo ou divulgação como resultado da violação da empresa do dever de implementar e manter procedimentos e práticas de segurança razoáveis…” (sublinhado adicionado para dar ênfase). Supondo que os registros tenham sido criptografados, seria prudente esperar que uma auditoria pós-violação inclua uma análise de como e onde as chaves de criptografia foram mantidas. Se as chaves foram armazenadas no mesmo local dos registros roubados ou mantidas em outro sistema com nível de proteção semelhante, tais procedimentos e práticas podem não atingir o nível de “razoável” aos olhos do auditor. Portanto, é aconselhável proteger as chaves de criptografia separadamente dos dados criptografados.

Além disso, a legislação relacionada vai além ao abordar as consequências que as empresas enfrentam como resultado de uma violação de informações do consumidor, onde os registros não foram criptografados ou onde os dados criptografados e as chaves de criptografia foram roubados. Especificamente, como parte de uma emenda ao Projeto de Lei da Assembleia 1130, seção 1798.82 do Código Civil da Califórnia diz, em parte:

“Uma pessoa ou empresa que realize negócios na Califórnia, e que possua ou licencie dados computadorizados que incluam informações pessoais, deverá revelar violações de segurança do sistema após a descoberta ou notificação da violação de segurança dos dados de um residente da Califórnia (1) cujas informações pessoais não criptografadas foram ou podem ter sido adquiridas por uma pessoa não autorizada, ou (2) cujas informações pessoais criptografadas foram ou podem ter sido adquiridas por uma pessoa não autorizada e a chave de criptografia ou credencial de segurança foi ou pode ter sido adquirida por uma pessoa não autorizada e a pessoa ou empresa que possui ou licencia as informações criptografadas acredita que a chave de criptografia ou credencial de segurança pode tornar essas informações pessoais legíveis ou utilizáveis. A divulgação deve ser feita no tempo mais oportuno possível e sem demora injustificada, e deve ser compatível com as necessidades legítimas da aplicação da lei, conforme previsto na subdivisão (c), ou quaisquer medidas necessárias para determinar o escopo da violação e restaurar a integridade do sistema de dados.”

O regulamento da CCPA é amplo em escopo e exige que as empresas tomem várias medidas para informar os consumidores sobre seus direitos, bem como proteger suas informações pessoais. Uma solução da CCPA abrangente incorporará recursos como criptografia de dados, notificações oportunas ao consumidor e atendimento ao cliente.

Embora a Califórnia tenha sido a primeira a promulgar uma extensa lei de privacidade de dados, muitos outros estados adotaram ou têm legislação em andamento que visa adotar requisitos semelhantes à CCPA. Em meados de 2022, quatro outros estados – Colorado, Connecticut, Utah e Virgínia – promulgaram leis de privacidade de dados do consumidor, cada uma entrando em vigor em 2023. Diversos outros estados têm legislação de privacidade de dados em andamento e mais devem seguir o exemplo.