O que é a CCPA (Lei de Privacidade do Consumidor da Califórnia)?

A Lei de Privacidade do Consumidor da Califórnia (CCPA) dá aos residentes da Califórnia o controle sobre os dados pessoais que as empresas coletam sobre eles.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Saiba quais são os direitos dos residentes da Califórnia de acordo com a CCPA
  • Explicar quando a CCPA se aplica a uma empresa
  • Comparar a CCPA com outras legislações sobre privacidade de dados

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é a Lei de Privacidade do Consumidor da Califórnia (CCPA)?

A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma parte da legislação de privacidade de dados que se aplica à maioria das empresas que processam dados pessoais de residentes da Califórnia. A CCPA dá aos residentes da Califórnia um certo controle sobre os dados pessoais que as empresas coletam sobre eles.

A CCPA entrou em vigor em 1º de janeiro de 2020. No final de 2020, os eleitores da Califórnia aprovaram uma proposta, a Lei de Direitos de Privacidade da Califórnia (CPRA), que alterou e expandiu a CCPA. A CCPA continuará a ser revista ao longo do tempo.

Que direitos a CCPA confere aos consumidores?

A CCPA concede aos consumidores os seguintes direitos importantes:

  • O direito de saber: os consumidores devem ser informados sobre quais informações pessoais uma organização coleta sobre eles e como essas informações são usadas.
  • O direito de excluir: com algumas exceções, os consumidores podem excluir as informações coletadas sobre eles.
  • O direito de recusar: os consumidores podem evitar a venda de suas informações a terceiros.
  • O direito de não discriminação: uma organização não pode tratar os usuários que exercem seus direitos da CCPA de forma diferente — como cobrando mais por serviços regulares. No entanto, há momentos em que o exercício dos direitos da CCPA afeta os serviços que uma organização pode fornecer; por exemplo, se um usuário de um site de comércio eletrônico exercer o "direito de excluir" e excluir sua conta, talvez não consiga mais salvar seu endereço de entrega ou informações de cartão de crédito nesse site.

Suponha que Alice visite um site, news.example.com, e esse site use cookies de navegador e rastreamento de localização do usuário. Alice está carregando este site em seu laptop em seu apartamento em San Jose, Califórnia. Como ela está na Califórnia, um banner aparece quando ela carrega o news.example.com e o banner informa a Alice sobre o uso de cookies e dados de localização do site. Isso acontece porque Alice tem o direito de saber.

O banner também oferece a Alice uma escolha: ela pode optar por não permitir que news.example.com venda informações sobre sua localização para redes de anúncios clicando em um botão que diz "Não vender minhas informações pessoais". Ou ela pode clicar em "Aceitar e continuar" para permitir essa venda de dados. Ela tem essa escolha porque tem o direito de recusar.

Agora imagine que Alice clica em "Não vender minhas informações pessoais" porque ela prefere manter sua localização o mais privada possível. De repente, todo o conteúdo do news.example.com fica bloqueado e Alice não pode mais assistir a vídeos ou ler artigos no site. Isso seria uma violação da CCPA, porque Alice tem o direito de não discriminação — o news.example.com tem que fornecer a Alice os mesmos serviços, pelo mesmo preço que eles fornecem aos seus outros usuários que permitem a venda de seus dados.

Onde se aplica o CCPA?

A CCPA se aplica apenas aos dados pessoais de residentes da Califórnia. No entanto, qualquer organização pode estar sujeita à CCPA se coletar dados sobre residentes da Califórnia, não importa onde a organização esteja sediada.

A CCPA se aplica a organizações que realizam qualquer tipo de negócio na Califórnia e atendem a uma das seguintes descrições:

  1. têm uma receita bruta anual de US$ 25 milhões ou mais.
  2. compram, recebem ou vendem as informações pessoais de pelo menos 50 mil residentes, residências ou dispositivos da Califórnia.
  3. obtêm 50% ou mais de sua receita anual com a venda das informações pessoais dos residentes da Califórnia.

A CCPA não se aplica a organizações sem fins lucrativos, agências governamentais ou certos tipos de instituições financeiras — por exemplo, um residente da Califórnia não pode evitar o pagamento de uma dívida solicitando à agência de cobrança de dívidas que exclua suas informações pessoais.

Como a CCPA define "informações pessoais"?

A CCPA define "informações pessoais" da seguinte forma:

"'Informações pessoais' significa informações que identificam, se relacionam, descrevem, podem ser razoavelmente associadas ou vinculadas, direta ou indiretamente, a um determinado consumidor ou família".

A CCPA também lista muitos tipos de dados que são considerados informações pessoais, incluindo:

  • Nome
  • Endereço IP
  • endereço para correspondência
  • informações biométricas
  • histórico de navegação ou histórico de pesquisa na internet
  • geolocalização
  • quaisquer inferências extraídas de qualquer um dos tipos listados de informações pessoais

A lista completa pode ser encontrada na Lei de Privacidade do Consumidor da Califórnia, seção 1798.140.

A CCPA também esclarece que informações publicamente disponíveis, como informações em registros governamentais obtidos legalmente, não são consideradas informações pessoais.

Observe que esta definição de "informações pessoais" é exclusiva da CCPA. Outras estruturas de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, usam suas próprias definições.

A conformidade com a CCPA é o mesmo que a conformidade com o GDPR?

Além do fato de que essas duas estruturas de privacidade se aplicam a diferentes regiões, a CCPA e o GDPR não são os mesmos. Eles definem os termos de maneiras diferentes, têm requisitos diferentes para as empresas e têm diferentes estruturas de multas e penalidades. A conformidade com o GDPR não garante a conformidade com a CCPA e vice-versa.

A CCPA substitui a HIPAA?

A Lei de portabilidade e responsabilidade de provedores de saúde (HIPAA) é uma lei federal dos EUA que regulamenta a privacidade e a proteção de dados de saúde. A CCPA não se aplica a informações pessoais de saúde já regulamentadas pela HIPAA.

Como a CCPA afeta o uso de cookies?

Um "cookie" é um pequeno arquivo de informações que um site gera e envia para o navegador de um usuário quando ele visita o site. Alguns cookies coletam o histórico de navegação do usuário, o histórico de pesquisa do usuário ou as interações de um usuário com um site. Tudo isso é considerado "informações pessoais" de acordo com a CCPA. Por causa do direito de saber, as organizações precisam informar aos usuários quais dados elas coletam por meio de cookies e como esses dados são usados.

No entanto, ao contrário de outras estruturas de privacidade, a CCPA não exige que as organizações obtenham o consentimento do usuário para cookies.

Saiba mais sobre cookies ou sobre privacidade de dados.