Cidadãos da Califórnia dizem SIM para nova lei de Privacidade

Uma das características interessantes da votação nos Estados Unidos é que elas se destinam, não apenas, à eleição de políticos. Diversas consultas quanto a leis e regulamentos são realizadas. No estado da Califórnia, por exemplo, nestas eleições de 2020, os eleitores foram consultados quanto a 12 medidas que envolviam de financiamento de pesquisas a idade de eleitores. Dentre as consultas realizadas, uma é de particular interesse para o público do SegInfo: a aprovação de um adendo sobre Privacidade ao  California Consumer Privacy Act (CCPA). O adendo, denominado California Privacy Rights and Enforcement Act (CPRA), é uma abrangente lei de privacidade que cria novos requisitos para organizações que coletam e compartilham informação pessoal sensível. Ela também cria uma nova agência, a California Privacy Protection Agency, que será responsável pelas violações ao CPRA.

Especialistas em privacidade concordam que a CPRA foi criada tendo em mente a regulação europeia de privacidade – a General Data Protection Regulation (GDPR) – adicionando requisitos específicos previstos na CCPA. A maioria das provisões da lei terão efeito em 1o. de Janeiro de 2023, sendo que algumas provisões terão efeito retroativo a 2022.

O CPRA aproxima a lei de privacidade da Califórnia do marco regulatório de privacidade da União Europeia – o Regulamento Geral de Proteção de Dados (GDPR). Especificamente, o CPRA expande os direitos do consumidor, exige proteções específicas para informações pessoais sensíveis, impõe requisito políticas de retenção de dados, estabelece obrigação de segurança de dados e redefine a estrutura para compartilhar informações com prestadores de serviços, contratados e terceiros. O CPRA também cria uma nova agência de aplicação da lei de privacidade, altera o período de correção para empresas que não estão em conformidade com a lei e amplia o direito privado de ação em caso de violações.

Detalhamos, a seguir, as principais mudanças no CPRA:

Expansão do Direito do Consumidor. O CPRA irá expandir os direitos do consumidor dos residentes da Califórnia para incluir o direito de corrigir as informações que uma empresa tem sobre uma pessoa. A lei também expande o direito do indivíduo de optar por não ter suas informações “compartilhadas”.

Informações pessoais sensíveis. CPRA define a categoria de dados “Informações pessoais sensíveis” e cria novas obrigações relacionadas a esses dados. Especificamente, existem requisitos de notificação mais elevados para empresas que coletam essas informações. Os consumidores terão permissão para limitar o uso ou a divulgação dessas informações em determinadas circunstâncias. As Informações Pessoais Sensíveis são amplamente definidas para incluir: número de Seguro Social, carteira de motorista, carteira de identidade estadual ou número do passaporte; o login da conta do consumidor, contas bancárias , cartão de débito ou número de cartão de crédito em combinação com qualquer segurança ou código de acesso, senha ou credenciais que permitem o acesso a uma conta; a geolocalização precisa de um consumidor; origem racial ou étnica do consumidor, crenças religiosas ou filosóficas ou associação a sindicatos; o conteúdo do correio, e-mail e mensagens de texto de um consumidor, a menos que a empresa seja o destinatário pretendido da comunicação; dados genéticos de um consumidor; o processamento de informações biométricas com o objetivo de identificar um consumidor de forma única; informações pessoais coletadas e analisadas sobre a saúde de um consumidor; ou informações pessoais coletadas e analisadas sobre a vida sexual ou orientação sexual de um consumidor.

Minimização de dados / retenção de dados. De forma semelhante ao GDPR, o CPRA expande as obrigações básicas de uma empresa para incluir requisitos de que a coleta, uso, retenção e compartilhamento de informações pessoais sejam “razoavelmente necessários e proporcionais para atingir os fins para os quais o pessoal as informações foram coletadas ou processadas. ” Empresas terão que criar e divulgar publicamente uma política de retenção de dados. As empresas estão proibidas de “reter informações pessoais […] por mais tempo do que o razoavelmente necessário.”

Segurança de dados. A CPRA também inclui uma obrigação de segurança de dados que exige que uma empresa “implemente procedimentos e práticas de segurança razoáveis ​​adequados à natureza das informações pessoais para proteger as informações pessoais contra acesso não autorizado ou ilegal, destruição, uso, modificação ou divulgação. ”

Prestadores de serviços / empreiteiros / terceiros. Em outra referência à GPDR, o CPRA impõe várias obrigações adicionais às empresas que compartilham informações pessoais com prestadores de serviços, empreiteiros e terceiros. Entre outras coisas, a lei demanda que a empresa exija contratualmente os prestadores de serviços, empreiteiros e terceiros a processar informações pessoais com o nível de proteção exigido pela CPRA.

Nova Agência de Privacidade. A CPRA criaria uma nova agência estadual – a California Privacy Protection Agency (CPPA) – para implementar e fazer cumprir a CPRA.

Adaptado de https://www.jdsupra.com/legalnews/california-votes-yes-on-the-california-55911/ e https://www.csoonline.com/article/3596295/passage-of-california-privacy-act-could-spur-similar-new-regulations-in-other-states.html.