GDPR vs CPRA: como a mais recente lei da Califórnia se compara
O CPRA (California Privacy Rights Act) alterou e expandiu o CCPA com efeitos a partir de janeiro de 2023. Embora tenha aproximado a legislação de privacidade da Califórnia das normas do GDPR ao adicionar princípios de minimização de dados e limitação de finalidade, mantém ainda o modelo de consentimento opt-out. O CPRA também criou a California Privacy Protection Agency (CPPA) como entidade de fiscalização dedicada.
| Característica | GDPR | CPRA |
|---|---|---|
| Âmbito geográfico | União Europeia e estados-membros do EEE | Califórnia, Estados Unidos (em vigor desde janeiro de 2023) |
| A quem se aplica | Qualquer organização que trate dados de residentes da UE | Empresas com fins lucrativos que cumpram os limiares do CCPA, agora incluindo partilha além da venda |
| Requisitos de consentimento | Opt-in: consentimento afirmativo obrigatório antes do tratamento | Opt-out: consumidores podem recusar a venda e partilha de informações pessoais |
| Regras de cookies e rastreamento | Cookies não essenciais requerem consentimento explícito prévio | Sem regras específicas de cookies, mas a publicidade comportamental cross-context ativa direitos de opt-out |
| Direitos individuais | Acesso, retificação, apagamento, portabilidade, limitação, oposição | Conhecimento, eliminação, correção, recusa de venda/partilha, limitação do uso de IP sensíveis, portabilidade |
| Penalizações máximas | Até EUR 20 milhões ou 4% do volume de negócios anual global | Até $7.500 por violação intencional, aplicado pela CPPA e Procurador-Geral |
| Entidade de fiscalização | Autoridades nacionais de proteção de dados em cada estado-membro da UE | California Privacy Protection Agency (CPPA) e Procurador-Geral da Califórnia |
Principais diferenças
O CPRA introduziu vários conceitos semelhantes ao GDPR na legislação da Califórnia. Adicionou requisitos de minimização de dados, significando que as empresas devem recolher apenas informações pessoais razoavelmente necessárias para a finalidade divulgada. Introduziu também a limitação de finalidade, exigindo que as empresas informem os consumidores sobre quanto tempo reterão os dados e não os utilizem além da finalidade originalmente declarada.
Uma alteração importante foi a criação da categoria de informações pessoais sensíveis ao abrigo do CPRA. Isto inclui números de segurança social, dados de contas financeiras, geolocalização precisa, origem racial ou étnica e dados biométricos. Os consumidores podem limitar o uso e a divulgação de informações sensíveis. O GDPR tem um conceito semelhante com as suas categorias especiais de dados, embora as categorias específicas difiram ligeiramente.
O CPRA também estabeleceu a California Privacy Protection Agency (CPPA), um organismo regulador dedicado com poderes de regulamentação e fiscalização. Anteriormente, a aplicação do CCPA cabia exclusivamente ao Procurador-Geral da Califórnia. A fiscalização do GDPR é realizada por Autoridades de Proteção de Dados em cada estado-membro, muitas das quais existem há décadas.
Como o Pryvii ajuda
O Pryvii deteta se o seu website cumpre os requisitos mais recentes do CPRA, incluindo a verificação de divulgações de informações pessoais sensíveis, políticas de retenção de dados e a presença de links de opt-out tanto para a venda como para a partilha de informações pessoais. Compara o seu site com as normas do GDPR e do CPRA numa única análise.
Perguntas frequentes
Em que difere o CPRA do CCPA?
O CPRA expandiu o CCPA ao adicionar requisitos de minimização de dados e limitação de finalidade, criar uma categoria de informações pessoais sensíveis, estabelecer a agência de fiscalização CPPA, adicionar direitos de correção e alargar os direitos de opt-out à partilha de dados para publicidade comportamental cross-context.
A conformidade com o CPRA significa que também estou em conformidade com o GDPR?
Não necessariamente. Embora o CPRA se tenha aproximado do GDPR, ainda utiliza um modelo opt-out em vez de opt-in. O GDPR exige consentimento explícito antes do tratamento de dados, tem direitos mais amplos dos titulares dos dados e aplica bases jurídicas diferentes para o tratamento. É necessário abordar cada regulamento separadamente.
O que conta como informações pessoais sensíveis ao abrigo do CPRA?
O CPRA define informações pessoais sensíveis como números de segurança social, números de carta de condução, informações de contas financeiras, geolocalização precisa, origem racial ou étnica, crenças religiosas, filiação sindical, conteúdo de correio/email/mensagens de texto, dados genéticos, dados biométricos, informações de saúde e dados sobre orientação sexual.
Comparações relacionadas
Verifique a sua conformidade
Analise o seu website face a múltiplos regulamentos em minutos.