CCPA vs CPRA: o que mudou na lei de privacidade da Califórnia
O CPRA (California Privacy Rights Act) foi aprovado pelos eleitores da Califórnia em 2020 e entrou em vigor a 1 de janeiro de 2023. Alterou e expandiu significativamente o CCPA original ao introduzir informações pessoais sensíveis como categoria, adicionar requisitos de minimização de dados e limitação de finalidade, criar a agência de fiscalização CPPA e expandir os direitos dos consumidores, incluindo correção e recusa de decisões automatizadas.
| Característica | CCPA | CPRA |
|---|---|---|
| Âmbito geográfico | Califórnia, Estados Unidos (em vigor desde janeiro de 2020) | Califórnia, Estados Unidos (em vigor desde janeiro de 2023, alterando o CCPA) |
| A quem se aplica | Empresas com fins lucrativos que cumpram limiares de receita, volume de dados ou venda de dados | Mesmos limiares que o CCPA, mas abrange também a partilha de informações pessoais |
| Requisitos de consentimento | Opt-out da venda de informações pessoais | Opt-out da venda e partilha; direito de limitar o uso de informações pessoais sensíveis |
| Regras de cookies e rastreamento | Sem regras específicas de cookies; direito de opt-out ativado pela venda de dados via rastreamento | Direitos de opt-out alargados à publicidade comportamental cross-context via cookies |
| Direitos individuais | Conhecimento, eliminação, recusa de venda, não discriminação | Conhecimento, eliminação, correção, recusa de venda/partilha, limitação do uso de IP sensíveis, portabilidade |
| Penalizações máximas | $7.500 por violação intencional, $2.500 por violação não intencional | $7.500 por violação intencional, $2.500 por não intencional; fiscalização adicional da CPPA |
| Entidade de fiscalização | Procurador-Geral da Califórnia | California Privacy Protection Agency (CPPA) e Procurador-Geral da Califórnia |
Principais diferenças
O CPRA introduziu o conceito de informações pessoais sensíveis, uma nova categoria de dados que inclui números de segurança social, geolocalização precisa, origem racial ou étnica, dados biométricos, informações de saúde e conteúdo de correspondência ou mensagens de texto. Os consumidores ganharam o direito de limitar o uso e a divulgação destas informações sensíveis. O CCPA original não distinguia entre informações pessoais sensíveis e não sensíveis.
A minimização de dados e a limitação de finalidade são novos requisitos ao abrigo do CPRA. As empresas devem agora recolher apenas informações pessoais razoavelmente necessárias e proporcionais para as finalidades divulgadas, e não devem retê-las mais tempo do que o necessário. O CCPA não tinha tais requisitos, permitindo práticas de recolha de dados mais amplas.
O CPRA criou também a California Privacy Protection Agency (CPPA), a primeira agência dedicada à fiscalização da privacidade nos Estados Unidos. Ao abrigo do CCPA, a fiscalização era realizada exclusivamente pelo Procurador-Geral da Califórnia. A CPPA tem poderes de regulamentação e pode investigar e iniciar ações de fiscalização de forma independente. O CPRA expandiu também o direito de recusa para incluir a partilha de dados para publicidade comportamental cross-context, e não apenas a venda de dados.
Como o Pryvii ajuda
O Pryvii verifica o seu website quanto aos requisitos originais do CCPA e às obrigações expandidas do CPRA. Verifica se os links de opt-out cobrem tanto a venda como a partilha, verifica divulgações de informações pessoais sensíveis e assegura que a sua política de privacidade reflete os direitos e requisitos atualizados ao abrigo do CPRA.
Perguntas frequentes
Preciso de atualizar o meu website para o CPRA se já estava em conformidade com o CCPA?
Sim. O CPRA introduziu novos requisitos que vão além do CCPA original. É necessário atualizar a sua política de privacidade para refletir novos direitos (correção, portabilidade), adicionar mecanismos de opt-out para a partilha de dados, incluir divulgações de informações pessoais sensíveis e implementar calendários de retenção de dados.
Qual é a diferença entre vender e partilhar ao abrigo do CPRA?
Ao abrigo do CCPA, o direito de opt-out aplicava-se apenas à venda de informações pessoais por contrapartida monetária. O CPRA expandiu isto para incluir a 'partilha', definida como disponibilizar informações pessoais para publicidade comportamental cross-context, mesmo sem troca monetária. Isto abrange muitas práticas de ad-tech e analytics.
Quando entrou o CPRA em vigor?
O CPRA entrou em vigor a 1 de janeiro de 2023, com um período retroativo até 1 de janeiro de 2022. A CPPA iniciou a fiscalização formal a 1 de julho de 2023. As empresas deviam ter atualizado as suas práticas antes destas datas, mas as ações de fiscalização podem referir-se a práticas de dados do período retroativo.
Comparações relacionadas
Verifique a sua conformidade
Analise o seu website face a múltiplos regulamentos em minutos.