8 Fatores que a nova Lei CPRA da Califórnia tem em comum com a GDPR

GDPR, General Data Protection Regulation (Regulamento Geral de Proteção de Dados), trata-se do conjunto de regulações a respeito de proteção de dados da União Europeia. A GDPR entrou em vigor em 2016 e sua equivalente no Brasil é a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no país em agosto de 2020.

Quando a União Europeia adotou o Regulamento Geral de Proteção de Dados (GDPR) em abril de 2016, estabeleceu o padrão ouro para a privacidade de dados e leis de segurança. Desde sua introdução, muitos outros países, incluindo Canadá, Japão, Brasil e Coreia do Sul, usaram o GDPR como modelo para suas leis.

Embora os Estados Unidos ainda não tenham adotado uma lei federal abrangente de privacidade e segurança de dados, a Califórnia assumiu a liderança ao implementar a Lei de Privacidade do Consumidor da California (California Consumer Privacy Act) (CCPA) em junho de 2018. A CCPA adotou muitas disposições importantes do GDPR, mas ainda deixou uma lacuna significativa com a Lei Europeia.

Em novembro de 2020, a Califórnia elevou o nível novamente quando os eleitores aprovaram a Proposta 24, a Lei de Direitos de Privacidade da California (California Privacy Rights Act) (CPRA), que entrará em vigor em 1º de janeiro de 2023. A CPRA faz grandes avanços para selar a lacuna com o GDPR. Embora existam disposições no GDPR que não existem no CPRA – e vice-versa – as leis da Califórnia e da Europa agora possuem muitas coisas em comum.

8 coisas que a CPRA e o GDPR têm em comum

Nesta seção, apresentamos as oito maneiras mais significativas pelas quais o CPRA alinhou as leis de privacidade e segurança de dados da Califórnia com o GDPR (não cobriremos áreas que já estavam alinhadas ao CCPA).

  1. Agência de fiscalização dedicada

• Ambas as leis concedem autoridade para a aplicação e imposição de multas por não conformidade a organizações governamentais independentes e dedicadas.

• A CPRA dá à nova Agência de Proteção a Privacidade da California total poder administrativo, autoridade e jurisdição para implementar e fazer cumprir o CPRA. Esta é uma mudança da CCPA, que atribui um papel mais fraco de “supervisão”ao procurador-geral do estado.

• O GDPR exige que cada estado membro da União Europeia designe uma Autoridade de Proteção de Dados (APD) com autoridade supervisora para fazer cumprir o GDPR em sua jurisdição.

2. DPIA / Avaliação de Risco necessária

• Ambas as leis exigem uma Avaliação de Impacto do Processamento de Dados (AIPD) ou avaliação de risco para identificar os riscos associados ao manuseio de informações pessoais.

• A CPRA exige que as empresas que processam as informações pessoais dos consumidores que representam um risco significativo para a privacidade ou segurança do consumidor realizem avaliações de risco regularmente.

• O GDPR exige que as empresas que realizam processamento com probabilidade de arriscar os direitos de um titular dos dados realizem AIPDs para identificar riscos regularmente.

3. Informações Pessoais Sensíveis

• Ambas as leis definem uma subcategoria de informações pessoais chamadas Informações Pessoais Sensíveis (IPS). Esta subcategoria é reservada para informações confidenciais de alto risco sobre uma pessoa que poderiam causar danos significativos à pessoa se fossem tornadas públicas ou caíssem em mãos erradas.

• Exemplos de IPS incluem número do seguro social, carteira de motorista, informações de contas financeiras, dados de geolocalização, crenças religiosas, dados genéticos e informações de saúde.

• O IPS está sujeito a requisitos mais rigorosos de divulgação e limitação de propósito.

4. Minimização de Dados

• Ambas as leis incluem disposições de minimização de dados que exigem que as organizações limitem a coleta de informações pessoais ao que é necessário para atingir a finalidade divulgada para a qual as informações estão sendo coletadas.

• Por exemplo, um varejista on-line de alimentos para animais de estimação não teria permissão para coletar números de seguridade social de clientes, a menos que essas informações pessoais fossem de alguma forma necessárias para a venda de alimentos para animais de estimação.

5. Limitação de Propósito

• Ambas as leis limitam o uso de informações pessoais para a finalidade divulgada para a qual os dados foram coletados.

• Por exemplo, um varejista on-line de alimentos para animais de estimação que coleta informações de endereço do cliente para fins de envio não teria permissão para vender essas informações a terceiros que pretendam usá-las para fins de marketing.

6. Limitação de Armazenamento

• Ambas as leis limitam a retenção de informações pessoais apenas pelo tempo necessário para o propósito divulgado para o qual os dados foram coletados.

• Por exemplo, um varejista de alimentos para animais de estimação online pode não ter permissão para reter as informações de e-mail de um cliente além do prazo de devolução divulgado.

7. Direito à Correção

• Ambas as leis dão aos consumidores o direito de instruir uma empresa a corrigir qualquer uma de suas informações pessoais mantidas pela empresa se as informações estiverem incompletas ou incorretas de alguma forma.

8. Direito à Portabilidade de dados

• Ambas as leis concedem aos consumidores o direito de instruir uma empresa a transmitir suas informações pessoais a outra entidade.

• A CPRA permite que os consumidores solicitem que suas informações pessoais sejam transferidas para outra entidade. Este direito se aplica na medida em que é possível para a empresa fornecer as informações em um formato estruturado, comumente usado e legível por máquina.

• O GDPR permite que os consumidores solicitem que suas informações pessoais sejam transferidas de um controlador para outro, quando tecnicamente viável.

Como você deve se preparar para a CPRA / GDPR?

Para garantir que sua empresa esteja pronta para CPRA e / ou GDPR, é útil ver o desafio por meio de duas lentes:

• Que mudanças precisamos fazer em nossos processos, políticas, procedimentos e sistemas internos?

• O que precisamos fazer para notificar nossos clientes e parceiros sobre as mudanças futuras?

Aqui estão as etapas que recomendamos que você execute para deixar sua organização em conformidade com a CPRA e / ou GDPR.

  1. Conduza um exercício de mapeamento de dados completo para entender os tipos de dados que sua organização usa, como são protegidos e para que fins são usados. Identifique as informações pessoais que você considera “confidenciais” (IPS). Se você já mapeou seus dados, certifique-se de atualizar periodicamente esse mapeamento para garantir que ele permaneça atualizado. Considere a eliminação de quaisquer informações pessoais que você esteja usando que não sejam necessárias ou criem mais riscos do que o valor que agregam à sua organização.
  1. Atualize seus processos, políticas, procedimentos e sistemas para cumprir os requisitos da CPRA / GDPR.
  1. Atualize seu aviso de privacidade para se alinhar aos requisitos de divulgação da CPRA / GDPR.
  1. Atualize seus contratos com prestadores de serviços, empreiteiros e terceiros para garantir que incluam as cláusulas CPRA / GDPR exigidas.
  1. Faça uma avaliação do impacto da privacidade.
  1. Para a CPRA, conduza uma avaliação de risco completa que incorpore os riscos relacionados ao não cumprimento dos requisitos de CPRA. Para o GDPR, conduza uma Avaliação de Impacto do Processamento de Dados (AIPD), que é semelhante a uma avaliação de risco, mas tem algumas diferenças.
  1. Contrate um terceiro para conduzir uma auditoria de segurança cibernética se você sentir que o uso de informações pessoais do consumidor pode representar um risco significativo para a privacidade ou segurança dos consumidores.
  1. Adote os princípios da Privacidade pelo Design ao desenvolver novos produtos e serviços.

Informações obtidas/adaptadas de: https://www.tevora.com/8-things-californias-new-cpra-law-has-in-common-with-gdpr/ e https://www.natlawreview.com/article/cpra-will-bring-new-rights-responsibilities-and-regulators-to-california-data