Pryvii
Todos os artigos
Regulatory Updates
18 de fevereiro de 2026

Lei DROP da Califórnia começa em 1º de agosto: Automação de solicitações de exclusão

A nova lei californiana de exclusão de corretores de dados exige o processamento automatizado de solicitações de exclusão de consumidores a cada 45 dias a partir de agosto de 2026, com multas de US$200 por dia por solicitação não atendida. Proprietários de sites que recebem tráfego da Califórnia precisam entender agora os requisitos de propagação para fornecedores.

Compartilhar:

Lei DROP da Califórnia começa em 1º de agosto: Automação de solicitações de exclusão

Imagine um residente da Califórnia frustrado com seus dados pessoais circulando incessantemente entre corretores de dados — perfis construídos a partir de hábitos de compras online, histórico de navegação e interesses inferidos. Com um único pedido através da nova Plataforma de Solicitação de Exclusão e Opt‑Out (DROP) do estado, ele pode exigir a exclusão em centenas de corretores de uma só vez. A partir de 1º de agosto de 2026, os corretores de dados devem automatizar esse processo a cada 45 dias ou enfrentar multas pesadas, redefinindo a forma como as empresas tratam os dados dos consumidores.1 2

Isso não é apenas um problema da Califórnia. Se o seu site atende usuários californianos e envolve coleta, compartilhamento ou venda de dados — mesmo que indiretamente — você pode ser afetado. O Delete Act (SB 362), assinado em outubro de 2023, estabelece esse sistema centralizado para capacitar os consumidores, ao mesmo tempo em que impõe requisitos operacionais rigorosos aos corretores de dados.3 2 Com a DROP em funcionamento para solicitações de consumidores desde 1º de janeiro de 2026, e as obrigações de processamento entrando em vigor em breve, este é o momento de avaliar a conformidade.4 5

O que é o Delete Act e a DROP?

O Delete Act amplia o registro de corretores de dados da Califórnia de 2019 ao introduzir a DROP, uma plataforma pioneira administrada pela California Privacy Protection Agency (CalPrivacy). Ela permite que os consumidores enviem um único pedido verificável para excluir suas informações pessoais de todos os corretores registrados, além de optar por não ter seus dados vendidos ou compartilhados no futuro.1 6 7

Principais marcos temporais:

  • Janeiro de 2024 em diante: Registro anual de corretores de dados na CalPrivacy, incluindo taxas para financiar o registro e a DROP.6 3
  • 1º de janeiro de 2026: A DROP abre para submissões de consumidores; os corretores criam contas e completam o registro até 31 de janeiro.4 5 2
  • Primavera de 2026: Integração de API disponível para acesso automatizado.4
  • 1º de agosto de 2026: Corretores devem recuperar e processar solicitações a cada 45 dias.1 4 5
  • Janeiro de 2028: Início das auditorias independentes trienais.3

A DROP usa identificadores padronizados e um algoritmo de hash especificado para combinar solicitações com registros, garantindo exclusões precisas.1 4 As regulamentações finalizadas em 2026 exigem que os corretores de dados instruam prestadores de serviços, contratados e afiliados a excluir os dados também.1

Isso ecoa tendências mais amplas de privacidade, como o direito à exclusão do CCPA (Civil Code § 1798.105), mas amplia o alcance por meio da automação para corretores de dados.1

Quem é considerado um corretor de dados?

A Califórnia define corretor de dados de forma ampla: qualquer entidade que “coleta conscientemente e vende a terceiros as informações pessoais de um consumidor com quem a empresa não tem relação direta”.4 5 Isso inclui agregadores, enriquecedores e revendedores de dados obtidos fora de interações diretas com o consumidor, como de fontes públicas ou compras de terceiros.4 7

  • Sites ou aplicativos que vendem ou compartilham dados de usuários para criação de perfis, publicidade ou enriquecimento — mesmo que não seja o negócio principal — podem se enquadrar.4 5
  • Isenções aplicam‑se a dados governamentais públicos, relatórios de crédito cobertos pela FCRA, dados de saúde sob HIPAA e empresas já em conformidade com essas leis.7
  • Se você compartilha dados a jusante (por exemplo, com fornecedores de analytics), verifique se isso gera o status de corretor.4

Proprietários de sites: tráfego de usuários da Califórnia não faz de você um corretor automaticamente, mas se você manipula informações pessoais (e‑mails, IPs, dados de comportamento) e as vende ou compartilha, registre‑se agora. Empresas fora da Califórnia estão no escopo se direcionarem ou processarem dados de residentes californianos.4 5

Principais requisitos de conformidade a partir de 1º de agosto de 2026

A partir de 1º de agosto, os corretores devem consultar a DROP pelo menos a cada 45 dias via site da CalPrivacy ou API.1 4 5 Veja o passo a passo:

  1. Configuração da conta: Registre uma conta DROP segura, selecione as listas de exclusão de consumidores relevantes (evitando duplicatas) e mantenha controles de acesso. Notifique a CalPrivacy imediatamente sobre violações.1
  2. Recuperar solicitações: Baixe listas que correspondam aos seus identificadores de dados (por exemplo, e‑mails hash, nomes).1 4
  3. Correspondência e exclusão: Use o hash padronizado para confirmar correspondências. Exclua todos os dados pessoais associados, incluindo inferências, dos seus sistemas, prestadores de serviço e contratados. Instrua‑os a cumprir a obrigação.1 4 5
  4. Prazo: Conclua dentro de 90 dias após a recuperação. Não entre em contato com o consumidor para verificação — isso é proibido pela Seção 7616.1 5
  5. Registro: Documente as determinações, mantenha listas de supressão e retenha registros. Reporte o status de volta via DROP.4 5
  6. Continuidade: Atualize detalhes da conta, exclua dados fornecidos pela DROP se deixar de ser corretor (dentro de 30 dias pós‑registro/auditoria) e desative a conta.1

A automação é essencial: verificações manuais correm risco de perder o ciclo de 45 dias. A integração de API, disponível desde a primavera de 2026, permite extrações programáticas, correspondência e propagação.4

As multas são severas: US$200 por solicitação não atendida por dia. Uma única solicitação ignorada pode se transformar rapidamente em um custo significativo.1

Propagação para fornecedores: o desafio oculto para sites

Corretores de dados frequentemente dependem de fornecedores para armazenamento, analytics ou marketing. A DROP exige a propagação das exclusões para todos os prestadores de serviço e contratados que possuam os dados.1 4 Isso reflete as obrigações de processadores do GDPR (Artigo 28) e as regras de prestadores de serviço do CCPA (Civil Code § 1798.140(v)).1

Dicas práticas para conformidade:

  • Mapeie seu ecossistema: Inventarie todos os fornecedores que manipulam dados pessoais de residentes da Califórnia. Classifique‑os como prestadores de serviço (uso limitado) versus aqueles que permitem vendas/compartilhamento.4
  • Atualize contratos: Modifique acordos para exigir conformidade com a DROP, APIs de exclusão automatizadas e direitos de auditoria. Inclua indenização por multas.1
  • Implementação técnica:
    • Integre a API da DROP para ingestão de solicitações.
    • Construa fluxos internos de exclusão: hash → varredura de dados → propagação via APIs de fornecedores.
    • Use listas de supressão para impedir nova aquisição.
  • Testes: Utilize o sandbox da CalPrivacy para testes de API antes de 1º de agosto.5
  • Exceções: Não exclua dados que sejam informações públicas do governo ou estejam isentos por outras leis (por exemplo, registros financeiros).7

Para sites: se você não for corretor, mas utiliza corretores (por exemplo, para segmentação de anúncios), assegure‑se de que seus contratos exijam conformidade com a DROP para evitar responsabilidade indireta.

Passos acionáveis para proprietários de sites e empresas

Com seis meses até a aplicação (a partir de fevereiro de 2026), priorize o seguinte:

  • Auto‑avaliação (agora): Revise fluxos de dados à luz das definições do Delete Act. Use o registro da CalPrivacy para verificar pares.5 2
  • Registre‑se se necessário (janeiro de 2026): Processo anual com taxa; inclua divulgações aprimoradas conforme as emendas do SB 361.6 2
  • Construa automação:
EtapaAçãoPrazo
1. Criação de contaVia site da CalPrivacy1‑31 jan 20264
2. Configuração de APIIntegração no sandboxPrimavera 20264 5
3. Pipeline de exclusãoHash, varredura, propagaçãoTestar até julho 2026
4. Primeira verificaçãoRecuperar/processar1º ago 20261
  • Preparação para auditoria: Planeje auditorias de 2028; documente tudo.3
  • Treine equipes: Eduque jurídico, engenharia e operações sobre as proibições (ex.: nenhum contato com o consumidor).1
  • Monitore atualizações: As regulamentações evoluíram desde as propostas de 2024; acompanhe a CalPrivacy para esclarecimentos.3 2

Comparação com outras leis

LeiMecanismo de exclusãoFrequência/Automação
CCPA § 1798.105Solicitações individuais45‑90 dias, manual1
GDPR Art. 17Direito ao esquecimentoImediato, propagação do processador
DROP (Delete Act)Centralizado, automatizadoA cada 45 dias1 4

Essa automação reduz o atrito para o consumidor, mas exige stacks tecnológicos robustos.

Desafios potenciais e riscos

  • Escala: Corretores de grande volume enfrentam milhares de solicitações; processos manuais não escalam.4
  • Precisão de correspondência: Erros de hash podem gerar exclusões excessivas ou insuficientes, gerando multas ou processos.1
  • Resistência de fornecedores: Parceiros não conformes expõem você à responsabilidade.1
  • Fiscalização: As recentes ações da CPPA sinalizam supervisão agressiva; auditorias iniciam em 2028.6 3

Empresas que deixarem de ser corretores devem notificar dentro de 45 dias e eliminar os dados.1

Principais conclusões

  • 1º de agosto de 2026 é a data de início: Automatize verificações da DROP a cada 45 dias ou arrisque multas de US$200/dia por solicitação.1 5
  • Escopo amplo: Qualquer vendedor/compartilhador de dados da Califórnia pode ser considerado corretor — avalie agora.4 5
  • Automação é essencial: Integração de API e propagação para fornecedores são indispensáveis para eficiência.4
  • Planeje com antecedência: Auto‑audite, atualize contratos, teste pipelines e documente para auditorias.5
  • Poder do consumidor: A DROP simplifica as exclusões, alinhando‑se ao CCPA/GDPR, mas de forma centralizada e única.7 2

Conformidade não é opcional — é uma vantagem competitiva em uma Califórnia cada vez mais focada na privacidade. Mantenha‑se vigilante enquanto a CalPrivacy refina a implementação.1 2

Sources

Footnotes

  1. troutmanprivacy.com

  2. privacy.ca.gov

  3. en.wikipedia.org

  4. onetrust.com

  5. clarkhill.com

  6. bairdholm.com

  7. bytebacklaw.com

Compartilhar:

Artigos relacionados

Regulatory Updates

Prazo da Parte 2 da HIPAA Perdido: O que Acontece com seus Registros de Transtorno por Uso de Substâncias Agora

O prazo de 16 de fevereiro de 2026 para a conformidade com a Parte 2 da HIPAA acabou de passar. Este artigo aborda o que os sites de saúde e entidades cobertas devem fazer imediatamente se não atualizaram seu Aviso de Práticas de Privacidade para registros de transtorno por uso de substâncias, incluindo etapas de remediação e riscos de penalidades.

Regulatory Updates

Connecticut Reduz Limite da Lei de Privacidade para 35.000: Seu Site Agora é Afetado

A partir de meados de 2026, a lei de privacidade de Connecticut expande drasticamente seu alcance de 100.000 para 35.000 clientes, além de novas restrições à venda de dados de menores. Sites menores que pensavam estar isentos agora podem precisar cumprir.

Regulatory Updates

Estrutura de Transferência de Dados EU-EUA: Como será a Conformidade em 2026

Com o mais recente acordo de transferência de dados entre a UE e os EUA enfrentando escrutínio e potencial invalidação, explique como os proprietários de sites podem se preparar para a incerteza e garantir fluxos de dados transfronteiriços legais.

Fique em conformidade com o Pryvii

Escaneie seu site em busca de problemas de conformidade com privacidade de acordo com 17 regulamentações incluindo GDPR, CCPA e UK GDPR.

Lei DROP da Califórnia começa em 1º de agosto: Automação de solicitações de exclusão — Pryvii Blog | Pryvii