CCPA vs LGPD: leis de privacidade da Califórnia e do Brasil comparadas
O CCPA e a LGPD representam abordagens fundamentalmente diferentes à regulamentação da privacidade. O CCPA é uma lei opt-out que permite a recolha de dados por defeito e confere aos consumidores o direito de recusar. A LGPD segue um modelo de consentimento prévio mais semelhante ao GDPR, exigindo uma base jurídica antes do tratamento de dados pessoais. Diferem também em âmbito, penalizações e nos direitos concedidos aos indivíduos.
| Característica | CCPA | LGPD |
|---|---|---|
| Âmbito geográfico | Califórnia, Estados Unidos | Brasil (aplica-se ao tratamento de dados de indivíduos no Brasil) |
| A quem se aplica | Empresas com fins lucrativos que cumpram limiares de receita, volume de dados ou venda de dados | Qualquer organização que trate dados pessoais de indivíduos no Brasil, sem limiares mínimos |
| Requisitos de consentimento | Opt-out: recolha de dados por defeito com direito de recusar a venda | Consentimento prévio: uma das 10 bases jurídicas obrigatória, consentimento é a mais comum |
| Regras de cookies e rastreamento | Sem lei específica de cookies; venda via rastreamento ativa direitos de opt-out | Sem lei específica de cookies; princípios de consentimento aplicam-se a cookies e rastreamento |
| Direitos individuais | Conhecimento, eliminação, recusa de venda, não discriminação | Acesso, correção, anonimização, eliminação, portabilidade, informação sobre partilha, revisão de decisões automatizadas |
| Penalizações máximas | $7.500 por violação intencional, $2.500 por violação não intencional | Até 2% da receita no Brasil, com máximo de BRL 50 milhões por infração |
| Entidade de fiscalização | Procurador-Geral da Califórnia e CPPA | ANPD (Autoridade Nacional de Proteção de Dados) |
Principais diferenças
O modelo de consentimento é a diferença mais fundamental. O CCPA permite que as empresas recolham e utilizem informações pessoais por defeito, conferindo aos consumidores o direito de recusar a venda dessas informações. A LGPD exige uma das 10 bases jurídicas antes de tratar dados pessoais, sendo o consentimento a mais comum. Isto significa que a LGPD exige permissão afirmativa em muitos casos em que o CCPA não o exigiria.
As estruturas de penalizações diferem significativamente. As multas do CCPA são por violação ($7.500 para intencional, $2.500 para não intencional), que podem acumular-se mas tendem a ser previsíveis. As penalizações da LGPD são baseadas em percentagem, até 2% da receita da empresa no Brasil, com máximo de BRL 50 milhões por infração. Para empresas com grandes operações no Brasil, as multas da LGPD podem ser substanciais.
O âmbito também difere. O CCPA aplica-se apenas a empresas com fins lucrativos que cumpram limiares específicos e protege apenas residentes da Califórnia. A LGPD aplica-se a qualquer organização que trate dados pessoais de indivíduos localizados no Brasil, independentemente de onde a organização está sediada e sem limiares de receita ou volume de dados. Este alcance extraterritorial é semelhante ao do GDPR.
Como o Pryvii ajuda
O Pryvii analisa o seu website face aos requisitos do CCPA e da LGPD numa única passagem. Verifica mecanismos de opt-out necessários ao abrigo do CCPA, mecanismos de consentimento exigidos pela LGPD e assegura que a sua política de privacidade aborda ambos os quadros. O relatório multi-regulamento destaca claramente onde o seu site não cumpre cada lei.
Perguntas frequentes
Se cumprir o CCPA, estou também em conformidade com a LGPD?
Não. O modelo opt-out do CCPA é fundamentalmente diferente da abordagem de consentimento prévio da LGPD. A conformidade com o CCPA por si só não satisfaz os requisitos da LGPD. Seria necessário implementar mecanismos de consentimento, estabelecer uma base jurídica para o tratamento e potencialmente nomear um DPO (encarregado) para cumprir a LGPD.
A LGPD aplica-se à minha empresa se estou sediado nos Estados Unidos?
Sim, se tratar dados pessoais de indivíduos localizados no Brasil. A LGPD tem alcance extraterritorial semelhante ao do GDPR, aplicando-se independentemente de onde a organização que efetua o tratamento está sediada. Se o seu website recolhe dados de visitantes brasileiros, a LGPD pode aplicar-se.
Qual lei confere mais direitos aos consumidores?
A LGPD prevê um conjunto mais amplo de direitos individuais, incluindo acesso, correção, anonimização, eliminação, portabilidade, informação sobre partilha com terceiros e o direito de revisão de decisões automatizadas. O CCPA prevê os direitos de conhecimento, eliminação, recusa de venda e não discriminação. O quadro de direitos da LGPD é mais abrangente.
Comparações relacionadas
Verifique a sua conformidade
Analise o seu website face a múltiplos regulamentos em minutos.