Pryvii
Todos os artigos
Case Studies
26 de fevereiro de 2026

Multa da CCPA contra Todd Snyder: Armadilhas do Opt-Out por Terceiros

A multa de $345 mil da Califórnia contra a Todd Snyder por atrasar opt-outs via ferramentas de terceiros não monitoradas alerta os sites a vetar fornecedores de privacidade e agilizar solicitações de direitos do consumidor sob a CCPA.

Compartilhar:

O Aviso de $345 mil: Como os Erros da Todd Snyder na CCPA Devem Mudar Sua Estratégia de Privacidade

Em maio de 2025, a Agência de Proteção à Privacidade da Califórnia (CPPA) emitiu uma multa de $345.178 contra a Todd Snyder, Inc., uma varejista nacional de roupas, por falhas sistemáticas no tratamento de solicitações de opt-out dos consumidores sob a Lei de Privacidade do Consumidor da Califórnia (CCPA).1 2 À primeira vista, isso parece ser mais uma ação de fiscalização de privacidade. Mas, ao examinar mais de perto, você encontrará uma história de advertência sobre gerenciamento de fornecedores, supervisão técnica e a responsabilidade não delegável de conformidade.

O caso revela uma vulnerabilidade crítica que afeta sites de comércio eletrônico em todo o país: a suposição de que terceirizar a infraestrutura de privacidade o absolve de responsabilidade. Não é assim. A decisão da CPPA envia uma mensagem inequívoca: a responsabilidade final é da empresa que usa a ferramenta de privacidade, não do fornecedor que a fornece.

O que Deu Errado: Falhas Técnicas e Procedimentais

As violações da Todd Snyder centraram-se em três problemas interconectados que impediram os consumidores de exercer seus direitos sob a CCPA.

O Banner de Consentimento que Desaparece

Primeiro, o banner de consentimento da empresa — a interface onde os consumidores podiam optar por não vender ou compartilhar seus dados pessoais — foi configurado incorretamente e desaparecia instantaneamente após aparecer.3 Por 40 dias, essa falha técnica tornou funcionalmente impossível para os usuários enviar solicitações de opt-out através do mecanismo primário do site.1 4 Os consumidores clicavam para acessar as preferências de privacidade, viam o banner piscar e, em seguida, o viam desaparecer antes que pudessem interagir com ele.

Requisitos Excessivos de Verificação de Identidade

Segundo, a Todd Snyder exigia que os consumidores que tentavam optar por não participar verificassem sua identidade fornecendo seu nome, e-mail, país de residência e uma fotografia de si mesmos segurando documentos de identificação governamentais oficiais, como uma carteira de motorista.3 Isso criou uma barreira em várias camadas que ia muito além do que a CCPA permite.

Sob a lei da Califórnia, as solicitações de opt-out não exigem verificação de identidade, a menos que seja absolutamente necessário para evitar fraude ou abuso.1 5 Em contraste, a Todd Snyder exigia menos informações de identificação quando os consumidores faziam uma compra — uma inconsistência clara que a CPPA sinalizou como particularmente problemática.3 O requisito de enviar fotos de ID governamental também introduziu preocupações desnecessárias de minimização de dados, pois os consumidores podem razoavelmente temer roubo de identidade ao carregar informações pessoais confidenciais.3

Gerenciamento Inadequado de Fornecedores Terceirizados

Terceiro, a Todd Snyder delegou o gerenciamento de seu site e infraestrutura de privacidade a um terceiro sem supervisão ou validação adequadas.3 1 A investigação da CPPA revelou que a empresa "deferiu às ferramentas de gerenciamento de privacidade de terceiros sem conhecer suas limitações ou validar sua operação".1 Em outras palavras, a Todd Snyder implementou uma plataforma de gerenciamento de consentimento, mas nunca verificou se ela realmente funcionava.

Michael Macko, chefe da Divisão de Fiscalização da CPPA, cristalizou essa lacuna de responsabilidade: "As empresas devem examinar suas soluções de gerenciamento de privacidade para garantir que elas estejam em conformidade com a lei e funcionem conforme pretendido, porque a responsabilidade final é das empresas que as utilizam."5 Usar uma ferramenta de terceiros não é um passe de conformidade; é uma responsabilidade de conformidade que requer gerenciamento ativo.

O Quadro Regulatório: O que a CCPA Realmente Exige

Para entender por que essas falhas são importantes, vale a pena revisar as obrigações relevantes da CCPA.

O Direito de Optar por Não Participar (Cal. Civ. Code § 1798.120)

Os consumidores da Califórnia têm o direito de direcionar uma empresa para não vender ou compartilhar suas informações pessoais. As empresas devem honrar esses pedidos e não podem discriminar os consumidores por exercerem esse direito. A lei declara explicitamente que as empresas não podem exigir que os consumidores criem uma conta, forneçam um ID governamental ou verifiquem sua identidade como condição para enviar uma solicitação de opt-out — a menos que a verificação seja necessária para evitar fraude.

Minimização de Dados e Padrões de Verificação (Cal. Code Regs. § 999.308)

As regulamentações de implementação da CPPA esclarecem que, quando uma empresa exige verificação, ela deve usar o método menos intrusivo razoavelmente disponível. As regulamentações também enfatizam que as empresas não podem exigir mais informações para processar uma solicitação de privacidade do que exigem para uma transação comercial.

Responsabilidade do Fornecedor

Embora a CCPA não mencione explicitamente "fornecedores terceirizados", o estatuto e as regulamentações tornam claro que as empresas são responsáveis por garantir que seus provedores de serviços estejam em conformidade com a lei. A CPPA emitiu avisos de fiscalização alertando contra a verificação excessiva e exigindo que as empresas monitorem ativamente sua infraestrutura de privacidade.

Principais Conclusões: O que Isso Significa para Sua Empresa

1. Audite Seu Fornecedor de Privacidade Antes da Implementação

Não presuma que sua plataforma de gerenciamento de consentimento (CMP) ou ferramenta de gerenciamento de privacidade funcione corretamente. Antes de implantá-la:

  • Solicite uma auditoria técnica ou avaliação de segurança do fornecedor
  • Teste o mecanismo de opt-out você mesmo em diferentes dispositivos e navegadores
  • Verifique se a ferramenta respeita os sinais de preferência de opt-out, incluindo o padrão Global Privacy Control (GPC)6
  • Confirme que as práticas de coleta de dados da ferramenta estão alinhadas com os requisitos da CCPA
  • Estabeleça um acordo de serviço que inclua obrigações de conformidade e cláusulas de indenização

2. Implemente Monitoramento e Testes Contínuos

A CPPA enfatizou que a Todd Snyder "teria sabido que os consumidores não poderiam exercer seus direitos sob a CCPA se a empresa tivesse monitorado seu site".1 Isso significa:

  • Realize testes trimestrais ou semestrais de seus mecanismos de opt-out
  • Monitore as submissões de usuários e os tempos de processamento para solicitações de privacidade
  • Configure alertas para submissões de opt-out com falha ou padrões incomuns
  • Documente seus procedimentos de teste e resultados para revisão regulatória

3. Simplifique Seu Processo de Verificação

Se você precisar verificar a identidade antes de processar solicitações de opt-out (o que deve ser raro), use o método menos intrusivo disponível:

  • A verificação por e-mail geralmente é suficiente
  • A verificação por telefone é aceitável, mas mais onerosa
  • Exigir fotos de ID governamental é excessivo e cria exposição desnecessária de dados
  • Nunca exija mais informações para optar por não participar do que você exige para concluir uma venda

4. Forneça Treinamento de Conformidade com a CCPA

O acordo exige que a Todd Snyder forneça treinamento de conformidade com a CCPA para seus funcionários.2 Isso não é apenas uma punição — é uma prática recomendada. Certifique-se de que suas equipes jurídica, de produto, de engenharia e de atendimento ao cliente entendam:

  • O que constitui uma "venda" ou "compartilhamento" de informações pessoais sob a CCPA
  • Como processar solicitações de opt-out corretamente
  • Padrões e limitações de verificação
  • As obrigações da empresa de monitorar fornecedores terceirizados

5. Documente Seu Programa de Conformidade

A CPPA e outros reguladores esperam que as empresas mantenham políticas e procedimentos escritos. Sua documentação deve cobrir:

  • Procedimentos de tratamento de solicitações de privacidade (recepção, verificação, processamento, confirmação)
  • Critérios de seleção e monitoramento de fornecedores
  • Protocolos de teste técnico
  • Registros de treinamento de funcionários
  • Procedimentos de retenção e exclusão de dados

O Contexto Mais Amplo: Tendências de Fiscalização da CPPA

A multa da Todd Snyder é a segunda ação de fiscalização da CPPA sob a CCPA e reflete as prioridades emergentes de fiscalização da agência.7 Anteriormente, em 2025, a CPPA também fez um acordo com a Honda por falhas semelhantes de opt-out e gerenciamento de fornecedores. Esses casos sugerem que a CPPA está se concentrando em:

  • Supervisão e responsabilidade do fornecedor — As empresas não podem se esconder atrás de ferramentas de terceiros
  • Excesso de verificação — Barreiras excessivas de verificação de identidade violam os princípios da CCPA
  • Minimização de dados — Coletar mais informações do que o necessário, mesmo para fins de conformidade, é problemático
  • Funcionalidade técnica — As ferramentas de privacidade devem funcionar; implementações quebradas são violações

Essa trajetória de fiscalização é importante porque sinaliza onde os reguladores concentrarão recursos em 2026 e além. Se sua empresa depende de infraestrutura de privacidade de terceiros, agora é o momento de auditar e fortalecer suas práticas de gerenciamento de fornecedores.

Conclusão: A Conformidade Não é Delegável

O caso da Todd Snyder oferece uma lição clara: terceirizar sua infraestrutura de privacidade não terceiriza sua responsabilidade de conformidade. Quer você use uma plataforma de gerenciamento de consentimento, um portal de solicitação de privacidade ou qualquer outra ferramenta de terceiros, você permanece responsável por garantir que ela esteja em conformidade com a CCPA e funcione conforme pretendido.

A empresa pagou $345.178 em multas, concordou em reformular suas práticas de privacidade e se comprometeu a monitorar a conformidade contínua.1 2 Mas o custo real vai além do acordo: danos à reputação, interrupção operacional e a necessidade de reconstruir a confiança do consumidor.

A boa notícia é que essas falhas eram evitáveis. Ao implementar critérios robustos de seleção de fornecedores, realizar testes técnicos regulares, simplificar os requisitos de verificação e treinar sua equipe sobre as obrigações da CCPA, você pode evitar a armadilha da Todd Snyder. A conformidade com a privacidade requer gerenciamento ativo — não apenas na implementação, mas continuamente em todas as operações da sua empresa.

A CPPA está observando, e a próxima ação de fiscalização pode ser contra seu concorrente — ou sua empresa. O momento de fortalecer suas práticas de privacidade é agora.

Sources

Footnotes

  1. natlawreview.com

  2. cppa.ca.gov

  3. callaborlaw.com

  4. governmentcontractslaw.com

  5. transcend.io

  6. truevault.com

  7. venable.com

Compartilhar:

Artigos relacionados

Case Studies

FTC Warning Letters to 13 Data Brokers: PADFA Compliance Now

On February 9, 2026, the FTC sent warning letters to 13 data brokers over PADFA violations, prohibiting sales of sensitive data like geolocation and health info to foreign adversaries such as China and Russia. Website owners learn how to audit third-party vendors and avoid $53,088 per-violation fines.

Fique em conformidade com o Pryvii

Escaneie seu site em busca de problemas de conformidade com privacidade de acordo com 17 regulamentações incluindo GDPR, CCPA e UK GDPR.