O que é a CCPA? Guia da Lei de Privacidade do Consumidor da Califórnia
A Lei de Privacidade do Consumidor da Califórnia (CCPA) é a lei de privacidade estadual mais significativa dos Estados Unidos. Desde que entrou em vigor a 1 de janeiro de 2020 – e foi substancialmente reforçada pela Lei de Direitos de Privacidade da Califórnia (CPRA) em 2023 – estabeleceu o padrão para a proteção de dados dos consumidores nos EUA.
Se o seu website tem visitantes da Califórnia, a CCPA provavelmente aplica-se a si. Com uma população de quase 40 milhões de pessoas e uma fatia considerável do tráfego de internet dos EUA, a maioria dos editores com audiência americana precisa de compreender esta lei. Este guia explica o que é a CCPA, o que exige, como a CPRA a alterou e o que os editores precisam de fazer para cumprir.
O que é a CCPA?
CCPA é a sigla para California Consumer Privacy Act (Lei de Privacidade do Consumidor da Califórnia). Foi promulgada em junho de 2018 e tornou-se aplicável a 1 de janeiro de 2020. Foi a primeira lei abrangente de privacidade do consumidor nos Estados Unidos, conferindo aos residentes da Califórnia direitos específicos sobre as suas informações pessoais e impondo obrigações às empresas que as recolhem.
A lei foi uma resposta direta às crescentes preocupações sobre a forma como as empresas – em particular as grandes plataformas tecnológicas – recolhem, vendem e partilham dados pessoais. Foi parcialmente inspirada pelo Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, embora adote uma abordagem distintamente americana, focando-se no direito de recusa em vez de exigir consentimento prévio.
A CCPA é aplicada pelo Procurador-Geral da Califórnia e, desde as alterações introduzidas pela CPRA, pela California Privacy Protection Agency (CPPA) – o primeiro organismo estatal dedicado à aplicação da lei de privacidade nos EUA.
A quem se aplica a CCPA?
A CCPA aplica-se a empresas com fins lucrativos que recolhem informações pessoais de residentes da Califórnia e que cumpram pelo menos um dos seguintes critérios:
- Receita anual bruta superior a 25 milhões de dólares.
- Volume de dados – a empresa compra, vende ou partilha informações pessoais de 100.000 ou mais consumidores, agregados familiares ou dispositivos da Califórnia por ano.
- Receita proveniente de dados – a empresa obtém 50% ou mais das suas receitas anuais da venda ou partilha de informações pessoais dos consumidores.
Para os editores, o critério de receita é o mais comum. Se o seu website gera mais de 25 milhões de dólares em receita anual e recebe visitantes da Califórnia, a CCPA aplica-se. Editores de menor dimensão também podem estar abrangidos se servirem tráfego suficiente da Califórnia para atingir o critério de volume de dados, ou se a partilha de dados através da publicidade programática constituir uma parte significativa das receitas.
Vale a pena referir que a CCPA não exige que a empresa esteja sediada na Califórnia – ou mesmo nos Estados Unidos. Qualquer entidade com fins lucrativos que opere na Califórnia e que cumpra os critérios está sujeita à lei.
O que são informações pessoais ao abrigo da CCPA?
A CCPA define informações pessoais de forma ampla: qualquer informação que “identifique, relacione, descreva, seja razoavelmente capaz de ser associada ou possa razoavelmente ser ligada, direta ou indiretamente, a um determinado consumidor ou agregado familiar.”
Para os editores, as categorias mais relevantes incluem:
- Identificadores – nomes, endereços de e-mail, endereços IP, nomes de conta
- Atividade na internet – histórico de navegação, histórico de pesquisa, interações com um website ou anúncio
- Dados de geolocalização – localização aproximada obtida a partir de endereços IP
- Identificadores de dispositivos – cookies, IDs de publicidade, impressões digitais de dispositivos
- Inferências – perfis criados a partir de dados recolhidos que refletem preferências, comportamentos ou interesses
Esta definição ampla significa que grande parte dos dados recolhidos através das operações habituais de ad tech – rastreamento baseado em cookies, segmentação de audiências, sinais de licitação em tempo real – está abrangida pela CCPA.
Direitos dos consumidores ao abrigo da CCPA
A CCPA confere aos consumidores da Califórnia um conjunto de direitos sobre as suas informações pessoais. Estes direitos foram ampliados pelas alterações da CPRA, tornando o quadro atual mais abrangente do que a versão original de 2020.
Direito a saber
Os consumidores podem solicitar que uma empresa divulgue que informações pessoais recolheu sobre eles, as fontes de onde provieram, o propósito comercial para a sua recolha, as categorias de terceiros com quem foram partilhadas e os dados específicos recolhidos.
Direito à eliminação
Os consumidores podem solicitar que uma empresa elimine as informações pessoais que recolheu sobre eles. As empresas devem também instruir os seus prestadores de serviços a eliminar os dados, com exceções limitadas (como a conclusão de uma transação, a deteção de incidentes de segurança ou o cumprimento de uma obrigação legal).
Direito de recusa à venda ou partilha
Esta é a disposição central da CCPA. Os consumidores têm o direito de pedir a uma empresa que pare de vender ou partilhar as suas informações pessoais. Com as alterações introduzidas pela CPRA, a “partilha” foi acrescentada à “venda” para cobrir explicitamente a transferência de dados pessoais para publicidade comportamental entre contextos – o que é diretamente relevante para a publicidade programática.
As empresas que vendem ou partilham informações pessoais devem disponibilizar uma ligação clara “Do Not Sell or Share My Personal Information” no seu website.
Direito à retificação
Introduzido pela CPRA, os consumidores podem solicitar que uma empresa corrija informações pessoais inexatas que detém sobre eles.
Direito de limitar a utilização de informações pessoais sensíveis
Também introduzido pela CPRA, os consumidores podem instruir as empresas a limitar a utilização e divulgação de informações pessoais sensíveis – como geolocalização precisa, raça, dados de saúde ou informações financeiras – ao estritamente necessário para a prestação do serviço solicitado.
Direito à não discriminação
As empresas não podem discriminar os consumidores que exercem os seus direitos ao abrigo da CCPA – por exemplo, cobrando preços mais elevados, prestando um serviço de qualidade inferior ou recusando serviços.
O que é a CPRA? Como alterou a CCPA
A Lei de Direitos de Privacidade da Califórnia (CPRA) foi aprovada pelos eleitores da Califórnia em novembro de 2020 como Proposição 24. Entrou em vigor a 1 de janeiro de 2023, tendo alterado e expandido a CCPA original sem a substituir. A lei combinada é frequentemente designada como “CCPA tal como alterada pela CPRA” ou simplesmente “CCPA/CPRA.”
Principais alterações introduzidas pela CPRA:
- Nova categoria: “partilha” – A CPRA acrescentou a “partilha” de informações pessoais como atividade regulada, a par da “venda.” A partilha significa a transferência de dados para publicidade comportamental entre contextos, independentemente de existir contrapartida financeira. Abrange diretamente os fluxos de dados na publicidade programática.
- Informações pessoais sensíveis – A CPRA criou uma nova categoria de dados sensíveis (números de Segurança Social, geolocalização precisa, origem racial ou étnica, dados de saúde) com direitos adicionais dos consumidores para limitar a sua utilização.
- Direito à retificação – Os consumidores passaram a ter o direito de solicitar correções a informações pessoais inexatas.
- Minimização de dados – As empresas devem limitar a recolha e retenção de dados ao que é “razoavelmente necessário e proporcional” para a finalidade declarada.
- California Privacy Protection Agency (CPPA) – A CPRA criou um organismo de aplicação dedicado, com poderes regulatórios, complementando os poderes de execução do Procurador-Geral da Califórnia.
- Requisitos contratuais alargados – Regras mais rigorosas para contratos com prestadores de serviços, contratantes e terceiros que tratam informações pessoais.
- Avaliações de risco – As empresas devem realizar auditorias de cibersegurança e avaliações de risco regulares para atividades de tratamento de alto risco.
CCPA vs GDPR: principais diferenças
A CCPA e o GDPR são ambas leis de privacidade abrangentes, mas adotam abordagens fundamentalmente diferentes. Compreender as diferenças é essencial para os editores que servem audiências tanto na Califórnia como na Europa.
| Aspeto | CCPA/CPRA | GDPR |
|---|---|---|
| Modelo de consentimento | Opt-out (os consumidores devem escolher ativamente parar a venda/partilha de dados) | Opt-in (as empresas devem obter consentimento antes de tratar dados) |
| Âmbito de aplicação | Empresas com fins lucrativos que cumpram os critérios de receita/dados | Todas as organizações que tratam dados pessoais de pessoas na UE/EEE |
| Quem é protegido | Residentes da Califórnia (“consumidores”) | Qualquer pessoa na UE/EEE (“titulares dos dados”) |
| Definição de dados pessoais | Inclui dados ao nível do agregado familiar | Limitado a pessoas singulares identificadas ou identificáveis |
| Base legal para o tratamento | Não obrigatória – as empresas podem tratar dados salvo se o consumidor recusar | Uma das seis bases legais é obrigatória (consentimento, contrato, interesse legítimo, etc.) |
| Dados sensíveis | Direito a limitar a utilização (CPRA) | Tratamento geralmente proibido sem consentimento explícito |
| Aplicação | Procurador-Geral da Califórnia + CPPA; direito de ação privada em caso de violação de dados | Autoridades nacionais de proteção de dados; coimas até 4% da receita global |
| Penalidades | Até 2.500 dólares por violação; 7.500 dólares por violação intencional | Até 20 milhões de euros ou 4% da receita anual global |
A diferença mais importante para os editores é o modelo de consentimento. Ao abrigo do GDPR, é necessário obter consentimento afirmativo antes de definir cookies publicitários ou partilhar dados com fornecedores de ad tech. Ao abrigo da CCPA, é possível tratar dados por defeito, mas deve disponibilizar uma forma de os consumidores recusarem a venda ou partilha das suas informações.
Na prática, os editores que servem ambas as audiências precisam de suportar os dois modelos – opt-in para os visitantes europeus e opt-out para os californians. Uma plataforma de gestão de consentimento (CMP) que suporte ambos os quadros simplifica consideravelmente esta tarefa.
Conformidade com a CCPA para editores
Cumprir os requisitos da CCPA envolve vários passos práticos. Eis o que os editores precisam de ter implementado.
1. Determinar se a CCPA se aplica a si
Analise os critérios de aplicabilidade: 25 milhões de dólares em receita anual, dados de 100.000 ou mais consumidores da Califórnia tratados, ou 50% ou mais das receitas provenientes da venda/partilha de informações pessoais. Se cumprir qualquer um destes critérios, deve cumprir a lei.
Mesmo que esteja abaixo dos critérios, tenha em conta que outras leis de privacidade estaduais dos EUA (como as da Virgínia, Colorado, Connecticut e outros estados) podem ainda assim aplicar-se, e muitas seguem um modelo de opt-out semelhante.
2. Disponibilizar as ligações de opt-out obrigatórias
Se vende ou partilha informações pessoais – e a publicidade programática geralmente qualifica-se como “partilha” ao abrigo da definição da CPRA – deve disponibilizar uma ligação “Do Not Sell or Share My Personal Information” no seu website. Esta ligação deve ser claramente visível e funcional.
Deve também respeitar o sinal do Global Privacy Control (GPC). O GPC é uma definição ao nível do navegador que comunica automaticamente a preferência de opt-out de um consumidor. Ao abrigo das regulamentações da CCPA, as empresas devem tratar um sinal GPC como um pedido de opt-out válido.
3. Atualizar a política de privacidade
A CCPA exige divulgações específicas na sua política de privacidade, incluindo:
- As categorias de informações pessoais recolhidas nos últimos 12 meses
- Os propósitos para os quais cada categoria é recolhida e utilizada
- As categorias de terceiros com quem as informações pessoais são partilhadas
- Se as informações pessoais são vendidas ou partilhadas, e as categorias envolvidas
- Os direitos dos consumidores ao abrigo da CCPA e como os exercer
- O período de retenção de cada categoria de informações pessoais (acrescentado pela CPRA)
A política de privacidade deve ser atualizada pelo menos uma vez a cada 12 meses.
4. Tratar os pedidos dos consumidores
Deve disponibilizar pelo menos dois métodos para os consumidores submeterem pedidos (por exemplo, um número de telefone gratuito e um formulário web). Os pedidos devem ser respondidos no prazo de 45 dias, com possibilidade de extensão por mais 45 dias em casos complexos.
É também necessário ter um processo para verificar a identidade dos consumidores que fazem pedidos, de forma a prevenir o acesso não autorizado a informações pessoais.
5. Implementar uma Plataforma de Gestão de Consentimento
Para os editores que utilizam publicidade programática, uma plataforma de gestão de consentimento é essencial para a conformidade com a CCPA. Um CMP trata do mecanismo de opt-out, processa os sinais GPC, gere a funcionalidade “Do Not Sell or Share” e assegura que os seus fornecedores de ad tech respeitam as escolhas dos consumidores.
O Clickio Consent suporta as leis de privacidade dos EUA através do National Privacy Framework do IAB Global Privacy Platform (GPP). Inclui suporte integrado para opt-outs de publicidade direcionada, reconhecimento de sinais GPC, opt-outs de tratamento de dados sensíveis e proteções de dados de menores. Pode configurá-lo para abranger apenas os estados que exigem legalmente mecanismos de opt-out, ou aplicá-lo a nível nacional para uma conformidade mais abrangente.
6. Rever os contratos com prestadores de serviços e contratantes
A CCPA/CPRA exige disposições contratuais específicas com quaisquer prestadores de serviços, contratantes ou terceiros que tratem informações pessoais em seu nome. Estes contratos devem restringir a forma como o destinatário pode utilizar os dados e exigir que cumpram as obrigações da CCPA.
Penalidades e aplicação da CCPA
A aplicação da CCPA é da competência de dois organismos: o Procurador-Geral da Califórnia e a California Privacy Protection Agency (CPPA).
As penalidades por incumprimento incluem:
- Até 2.500 dólares por violação não intencional
- Até 7.500 dólares por violação intencional
- Até 7.500 dólares por violação envolvendo dados de menores (ao abrigo da CPRA, sem período de correção para estas violações)
Estas penalidades são calculadas por violação, por consumidor – o que significa que uma falha sistemática que afete milhares de consumidores da Califórnia pode resultar em coimas substanciais. A CPRA também eliminou o período de correção de 30 dias que a CCPA original previa, embora a CPPA possa ainda concedê-lo ao seu critério.
Além disso, a CCPA inclui um direito de ação privada em caso de violações de dados. Se uma empresa não implementar medidas de segurança razoáveis e ocorrer uma violação de dados que exponha informações pessoais dos consumidores, os consumidores afetados podem intentar ações judiciais e reclamar danos estatutários de 100 a 750 dólares por consumidor por incidente, ou danos efetivos – o que for superior.
A CCPA e o panorama mais amplo da privacidade nos EUA
A CCPA foi a primeira lei estadual abrangente de privacidade nos EUA, mas já não é a única. Desde 2021, um número crescente de estados promulgou as suas próprias leis de privacidade do consumidor, muitas das quais seguem um modelo de opt-out semelhante.
Os estados com leis de privacidade abrangentes atualmente em vigor incluem a Virgínia (VCDPA), o Colorado (CPA), Connecticut (CTDPA), o Utah (UCPA), o Texas (TDPSA), o Oregon (OCPA), o Montana (MCDPA), entre outros. Embora os detalhes variem, a maioria partilha elementos comuns com a CCPA: direitos dos consumidores de acesso, eliminação e opt-out da venda de dados ou publicidade direcionada.
Para os editores, este mosaico de leis estaduais reforça a importância de dispor de uma solução de gestão de consentimento que suporte múltiplas jurisdições. Em vez de criar mecanismos de conformidade separados para cada estado, um CMP que abranja o conjunto completo de leis de privacidade estaduais dos EUA oferece uma abordagem prática e escalável.
Perguntas frequentes sobre a CCPA
A CCPA aplica-se a organizações sem fins lucrativos?
Não. A CCPA aplica-se apenas a empresas com fins lucrativos que cumpram os critérios de aplicabilidade. As organizações sem fins lucrativos e os organismos governamentais estão geralmente isentos, embora as subsidiárias com fins lucrativos de entidades sem fins lucrativos estejam abrangidas.
A publicidade programática conta como “venda” ou “partilha” de dados?
Ao abrigo da definição da CPRA, a transferência de informações pessoais para publicidade comportamental entre contextos qualifica-se como “partilha” – mesmo que não haja contrapartida financeira. Isto significa que a licitação em tempo real e a maioria das formas de publicidade programática envolvem “partilha” ao abrigo da CCPA/CPRA, acionando os requisitos de opt-out.
O que é o Global Privacy Control (GPC) e preciso de o suportar?
O Global Privacy Control é um sinal baseado no navegador que comunica a preferência de opt-out de um utilizador. Ao abrigo das regulamentações da CCPA, as empresas devem tratar um sinal GPC como um pedido de opt-out juridicamente vinculativo. O suporte ao GPC não é opcional para as empresas abrangidas pela CCPA.
Qual é a diferença entre a CCPA e a CPRA?
A CPRA não é uma lei separada – é uma alteração à CCPA que entrou em vigor a 1 de janeiro de 2023. A CPRA expandiu a CCPA ao acrescentar novos direitos dos consumidores (retificação, limitação da utilização de dados sensíveis), criar o organismo de aplicação CPPA, introduzir requisitos de minimização de dados e alargar a definição de atividades de dados reguladas para incluir a “partilha.” Quando as pessoas se referem à “CCPA,” geralmente têm em mente a lei tal como alterada pela CPRA.
Posso cumprir simultaneamente a CCPA e o GDPR?
Sim, mas é necessário aplicar mecanismos diferentes consoante a localização do visitante. Os visitantes europeus requerem consentimento por opt-in (GDPR), enquanto os visitantes da Califórnia necessitam de um mecanismo de opt-out (CCPA). Uma plataforma de gestão de consentimento que suporte tanto o quadro de consentimento do GDPR como as leis de privacidade estaduais dos EUA pode tratar disto automaticamente, apresentando a interface adequada com base na jurisdição do visitante.
Conclusão
A Lei de Privacidade do Consumidor da Califórnia – tal como reforçada pela CPRA – estabeleceu o referencial para a privacidade do consumidor nos Estados Unidos. Para os editores, os requisitos essenciais são claros: disponibilizar mecanismos de opt-out para a venda e partilha de dados pessoais, respeitar os sinais GPC, manter políticas de privacidade transparentes e tratar os pedidos dos consumidores prontamente.
Com mais estados a seguir o exemplo da Califórnia, investir agora numa configuração robusta de conformidade com a privacidade trará benefícios à medida que o panorama regulatório continua a expandir-se. Uma plataforma de gestão de consentimento que suporte tanto o GDPR como as leis de privacidade estaduais dos EUA permite-lhe gerir a conformidade em várias jurisdições a partir de uma única solução – poupando tempo e reduzindo o risco de infrações.
O Clickio Consent oferece suporte abrangente para as leis de privacidade dos EUA através do quadro IAB GPP, incluindo gestão de opt-outs CCPA, processamento de sinais GPC e cobertura de mais de 20 leis de privacidade estaduais – a par da conformidade total com o GDPR e o TCF v2.3 para a sua audiência europeia.