A Califórnia salta na frente (novamente) na privacidade de dados – veja como PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.

Califórnia salta na frente (novamente) em privacidade de dados – veja como

Carimbo de data / hora: 9 de novembro de 2022, 2h59

Nota do editor: WRAL TechWire lançou recentemente uma série de 5 partes sobre lei de privacidade de dados para trazer alguma clareza a uma das áreas mais complexas e de crescimento mais rápido da lei de tecnologia. Esta é a parte 3. As postagens anteriores estão inseridas nesta história.

Steve Britt é Conselheiro para Cibernética, Privacidade de Dados e Tecnologia (CIPP/E, CIPM), Parker Poe e Sarah Hutchins é Sócia para Cibernética, Privacidade de Dados e Tecnologia (CIPP/US), Parker Poe.

+ + +

Assim como a Califórnia foi o primeiro estado a promulgar uma lei de notificação de violação de dados em 2002 (Alabama foi o 50ºth estado em 2018), foi o primeiro estado a promulgar uma lei abrangente de privacidade de dados em 2020, conhecida como Lei de Privacidade do Consumidor da Califórnia (CCPA). Usando o GDPR como guia, mas colocando sua própria marca no resultado final, a Califórnia compartilhou muitos elementos em comum com o GDPR, incluindo:

  • Uma definição ampla de Informações Pessoais, para incluir qualquer informação relacionada ou que possa ser usada para identificar uma pessoa física, incluindo endereços IP (protocolo de internet), dados de dispositivos e outros identificadores online,
  • Adoção da maioria (mas não de todos) dos direitos dos titulares de dados do GDPR, sujeito a explicações claras e transparentes sobre como esses direitos podem ser exercidos,
  • A exigência de avisos de privacidade detalhados sobre quais dados são coletados, os propósitos de tal coleta e se são compartilhados com terceiros,
  • A exigência de contratos restritivos para determinados tipos de terceiros com os quais os dados são compartilhados,
  • Imposição de padrões de segurança de dados baseados em risco,
  • A exigência de treinamento abrangente de funcionários para todo o pessoal que lida com informações pessoais,
  • Uma causa de ação privada limitada para uma violação de dados resultante da falha em fornecer segurança de dados razoável com danos legais de US$ 100 a US$ 750 por consumidor por incidente em tais ações e, finalmente,
  • Aplicação da CCPA por uma agência governamental, neste caso, o Procurador-Geral da Califórnia.

Privacidade de dados e você: o que você realmente precisa saber do ponto de vista legal

Na época de sua promulgação, o CCPA era referido como GDPR-Lite, mas isso era realmente verdade apenas em um sentido conceitual, pois o CCPA diferia do GDPR de algumas maneiras significativas. Por exemplo, CCPA:

  • Não se aplica a organizações sem fins lucrativos ou governamentais e funcionários isentos e contatos business-to-business (B2B) por 3 anos,
  • Aplicado apenas a empresas com fins lucrativos que fazem negócios na Califórnia que, juntamente com afiliadas de marcas comuns, tiveram receita anual global de US$ 25,000,000 ou mais, processaram dados de pelo menos 50,000 consumidores (incluindo seus dispositivos) ou receberam 50% de sua receita com a venda de informações pessoais,
  • Concedida uma causa de ação privada por danos de uma violação de dados que resultou da falha em fornecer segurança de dados adequada (14 estados agora permitem uma causa de ação privada em suas leis de notificação de violação de dados),
  • Entidades excluídas reguladas por Gramm-Leach-Bliley, Fair Credit Reporting Act, Driver's Privacy Protection Act e informações reguladas pela Health Insurance Portability and Accountability Act (HIPAA),
  • Necessário um botão da web na página inicial de uma empresa rotulado como “Não venda minhas informações pessoais” para transferir informações pessoais a terceiros que não se qualifiquem como “provedor de serviços”,
  • Definido como uma “venda” de dados qualquer transferência por “contraprestação não monetária” que capturou tecnologia de publicidade e provedores de tecnologia de marketing, e
  • Não exigiu pop-ups de cookies nem consentimento afirmativo para comunicações de marketing.

Opinião do convidado: Regulamento Geral de Proteção de Dados, ou GDPR – Onde tudo começou

No entanto, por mais abrangente que a CCPA fosse, antes que a tinta pudesse secar, em novembro de 2020, a Califórnia promulgou a Lei de Direitos de Privacidade da Califórnia (CPRA) por iniciativa de votação, em vigor em 1º de janeiro de 2023. A CPRA alterou a CCPA e a expandiu em várias maneiras significativas. Por exemplo, CPRA:

  • Elevou o gatilho jurisdicional da CCPA para a coleta de dados de 100,000 consumidores (em vez de 50,000) e reduziu a cobertura dos “dispositivos” de um consumidor
  • Excluídas as afiliadas de marca comum na definição de empresas cobertas, a menos que a empresa da Califórnia realmente tenha compartilhado as informações pessoais dos californianos com sua afiliada,
  • Incluiu uma nova categoria de informações pessoais chamada “informações confidenciais” e ampliou o Direito de Opt-Out para cobrir tais dados,
  • Criou uma categoria de divulgação de dados por terceiros chamada “compartilhamento” e expandiu o botão “Não vender” para “Não venda ou compartilhe minhas informações pessoais”
  • Expandiu seus direitos de dados para cobrir os funcionários de uma empresa e contatos business-to-business (B2B) e
  • Criou o primeiro regulador estadual dedicado à privacidade de dados do país (chamado de California Privacy Protection Agency) com amplos poderes regulatórios, incluindo 22 novas áreas para novas regulamentações em potencial.

Os poderes expansivos da Agência de Proteção à Privacidade da Califórnia (CPPA) não devem ser negligenciados, especialmente porque a CCPA já foi objeto de quatro rodadas de regulamentações da Procuradoria Geral, em alguns casos impondo regras além do que estava previsto no estatuto. Além disso, a causa de ação privada da Califórnia e, em algumas outras jurisdições, a possibilidade de litígio sob as leis de violação de dados aumentaram exponencialmente os riscos relacionados ao gerenciamento de dados.

A complexidade do CCPA, conforme alterado pelo CPRA, já rivaliza com o GDPR, mas tanto a Califórnia quanto a União Europeia expressaram o objetivo de trabalhar juntos em restrições de transferências internacionais e uma série de outras iniciativas da UE. Enquanto isso, como veremos em nosso próximo artigo, outros estados norte-americanos estão seguindo as dicas da Califórnia.

Steve Britt, CIPP/E, CIPM, é advogado cibernético, de privacidade de dados e tecnologia do escritório de advocacia Parker Poe. Ele foca sua prática em leis e regulamentos de segurança cibernética e privacidade de dados. Britt aconselha seus clientes sobre toda a gama de leis de proteção de dados. Ele pode ser alcançado em stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/US, é advogado cibernético, de privacidade de dados e tecnologia do escritório de advocacia Parker Poe. Ela ajuda os clientes a lidar com litígios comerciais, investigações governamentais e privacidade de dados e segurança cibernética. Hutchins pode ser alcançado em sarahhutchins@parkerpoe.com.

Carimbo de hora:

Mais de WRAL Techwire