A nova lei de privacidade da Califórnia, a CPRA, foi aprovada: E agora?

No dia 3 de novembro de 2020, os eleitores da Califórnia aprovaram a Proposta 24, o California Privacy Rights Act (CPRA), em aproximadamente 56-44%. Esta lei irá alterar e substituir a ainda recente Lei de Privacidade do Consumidor da Califórnia (CCPA), uma vez que entra em vigor em 1 de janeiro de 2023.

A lei se baseia na estrutura existente da CCPA, expande os direitos de privacidade do consumidor para se alinhar mais de perto com o GDPR da UE, impõe obrigações adicionais às empresas e estabelece a primeira agência do país dedicada à regulamentação e aplicação da privacidade, a Agência de Proteção de Privacidade da Califórnia (CCPA). A seguir, delineamos os pontos-chave que você precisa saber para começar a se preparar para o CPRA.

Como é freqüentemente o caso da privacidade, quanto mais cedo a preparação, mais fácil o cumprimento.

O QUE VOCÊ PRECISA SABER

Datas-chave e mudanças imediatas

Datas operativas e de aplicação: O CPRA como um todo não entrará em vigor até 1 de janeiro de 2023 e só será aplicável às informações coletadas a partir de 1 de janeiro de 2022. A aplicação não começará até 1 de julho de 2023. Até lá, o CCPA continuará a ser o regime de privacidade aplicável.

Alterações imediatas: A aprovação da lei terá alguns impactos imediatos, incluindo:

1. Extensão da Isenção de Empregados: As isenções para dados de funcionários e business-to-business são prorrogadas até 1 de janeiro de 2023.
2. Criação da Agência de Proteção de Privacidade da Califórnia (CPPA): A Agência de Proteção de Privacidade da Califórnia (CPPA) entra em vigor imediatamente. O conselho de cinco membros da CPPA deve ser nomeado dentro de 90 dias após a promulgação da lei, o que ocorre 5 dias após o Secretário de Estado certificar a votação final.

DISPOSIÇÕES-CHAVE

Alterações definitivas: Existem várias alterações importantes nas definições do CPRA, incluindo:

Nova subcategoria de informação pessoal “sensível”: O CPRA mantém as onze categorias de informação pessoal (PI) do CCPA, mas acrescenta a nova subcategoria de informação pessoal “sensível” (PI sensível). Os consumidores terão agora direitos acrescidos quando a PI sensível estiver envolvida, incluindo um novo direito de limitar o uso e a divulgação de tais dados. A PI sensível inclui (1) segurança social, carteira de motorista, identificação estadual ou número de passaporte; (2) informações de login de conta com senha; (3) localização geográfica precisa do consumidor; (4) origem racial ou étnica, crença religiosa ou filiação a sindicatos; (5) conteúdo do correio, e-mail ou texto de um consumidor, a menos que o negócio seja o destinatário pretendido; (6) informação genética do consumidor; (7) processamento de informação biométrica para identificar o consumidor; (8) IP analisada sobre a saúde de uma pessoa; e (9) IP analisada sobre a vida sexual ou orientação sexual de um consumidor.

Nova definição de “terceiros”: O CPRA acrescenta uma nova definição de “terceiro”, que é definida no negativo para excluir prestadores de serviços, empreiteiros e qualquer negócio com quem o consumidor interage intencionalmente e que coleta informações do consumidor como parte da interação do consumidor com o negócio. Essas exceções são particularmente importantes dado o direito recentemente expandido do consumidor de optar por não compartilhar suas informações com terceiros (discutido abaixo)..

Nova definição de (e limitação parcial de) “perfilagem”: O CPRA acrescenta uma definição de “criação de perfil” que significa “qualquer forma de processamento automático” de PI usado “para analisar ou prever aspectos das preferências de uma pessoa, situação econômica, desempenho no trabalho, saúde, interesses, comportamento, localização, confiabilidade ou movimentos” O perfil pode agora ser parcialmente limitado pelos consumidores através do direito de limitar o uso e a divulgação de PI sensíveis a “propósitos comerciais” específicos (discutidos abaixo), que excluem a criação de perfil, a menos que o consumidor espere razoavelmente que a criação de perfil seja necessária para executar os serviços ou fornecer os bens solicitados. Isto pode ter implicações significativas na forma como a Inteligência Artificial pode ser usada e explicada.

Alterações às obrigações comerciais

Limita a retenção de dados e exige a divulgação de períodos de retenção: O CPRA exige que as empresas informem os consumidores sobre o período de tempo que a empresa pretende reter cada categoria de PI, incluindo a PI sensível. Se por algum motivo não for possível especificar o período de tempo, a empresa deve, no mínimo, informar os consumidores sobre os critérios utilizados para determinar o período de retenção. Em nenhum caso a empresa pode reter a PI ou PI Sensível do consumidor por mais tempo do que é razoavelmente necessário para a finalidade divulgada para a qual foi recolhida.

Adiciona um direito de limitar o uso e a divulgação da PI Sensível: Como foi observado acima, com a adição da subcategoria PI Sensível vem um novo direito do consumidor de limitar o uso e a divulgação desta categoria de informação. Este direito de limitar o uso e a divulgação é acionado onde a PI sensível é coletada ou processada com a finalidade de inferir características sobre o consumidor. O consumidor pode limitar o uso ou a divulgação da sua PI sensível: (1) o que é necessário para executar serviços ou fornecer bens, e (2) certos “serviços comerciais” limitados. A PI sensível que não for recolhida ou processada com a finalidade de “inferir” características sobre o consumidor será tratada como PI e não estará sujeita a esta limitação. A PI sensível deve ser divulgada separadamente no aviso de privacidade e os consumidores devem ser avisados e ter a capacidade de exercer o seu direito de optar por limitar o uso e a divulgação da sua PI sensível.

Adiciona o direito de corrigir a PI imprecisa: O CPRA adiciona um novo direito do consumidor a corrigir PI imprecisa. As empresas serão agora obrigadas a adicionar um aviso deste direito às suas divulgações de política de privacidade e a implementar políticas e procedimentos para responder a estas solicitações.

Extende os direitos de opt-out do consumidor para o compartilhamento de PI para publicidade cruzada: Segundo o CCPA, os consumidores têm o direito de dirigir as empresas para não venderem a sua PI (conhecido como o Direito de Opt-Out-Out of Sale). Ao abrigo do CPRA, este direito é alargado para permitir aos consumidores evitar que as empresas “partilhem” as suas informações também com terceiros. “Compartilhar” neste contexto significa compartilhar, revelar ou alugar uma PI de um consumidor a um terceiro para publicidade comportamental intercontextual, seja por dinheiro ou outra consideração valiosa, inclusive quando não há troca de dinheiro. “Publicidade contextual cruzada” significa direccionar a publicidade para um consumidor com base na PI obtida a partir da actividade do consumidor através de negócios, websites, aplicações ou serviços diferentes daquele com o qual o consumidor interage intencionalmente. Semelhante ao direito de opt-out de venda no CCPA, o direito de opt-out de compartilhamento não se estende ao compartilhamento de PI com prestadores de serviços e contratantes.

Extende a disposição de não discriminação para incluir a não retaliação: O CPRA altera o direito do consumidor à não-discriminação para incluir a proibição de retaliação contra um empregado, candidato a emprego, ou contratado independente pelo exercício de qualquer um de seus direitos sob o ato.

Adiciona requisitos contratuais para todas as pessoas que recebem PI: O CPRA adiciona novos requisitos contratuais para todas as pessoas que recebem PI, incluindo venda e compartilhamento, assim como prestadores de serviços e empreiteiros. O contrato deve agora:

1. Especificar que a informação é fornecida para fins limitados e especificados;
2. Obrigar a pessoa que recebe a informação a cumprir com o CPRA e “fornecer o mesmo nível de proteção de privacidade que é exigido pelo” CPRA;
3. Garantir à empresa o direito de assegurar que a informação está sendo transferida “de uma maneira consistente com as obrigações da empresa sob este título”;
4. Exigir à pessoa que recebe a PI que notifique a empresa se ela não puder mais cumprir suas obrigações da CPRA;
5. Garantir à empresa o direito de tomar medidas para parar e remediar o uso não autorizado da PI.

>

Direitos não autorizados das crianças

Aumento das multas administrativas para a PI das crianças: O CPRA aumenta as multas administrativas por qualquer violação do ato envolvendo a PI de crianças menores de 16 anos de idade até um potencial de $7.500 por violação. De acordo com o CCPA, esta pena era reservada apenas para violações intencionais. A multa máxima de $2.500 para todos os outros actos não intencionais envolvendo pessoas com 16 anos de idade ou mais permanece a mesma.

Requer o consentimento para a partilha de PI de menores de 16 anos: Tal como a CPRA alarga o direito dos consumidores a optarem por não vender PI para incluir o direito de optarem por não partilhar PI com terceiros, a exigência da CCPA de que uma empresa obtenha o consentimento afirmativo de opt-in para vender PI de menores de 16 anos também se alarga agora à partilha de PI de crianças. O CPRA também pede que o estabelecimento de regras “estabeleça especificações técnicas para um sinal de preferência de opt-out que permita ao consumidor, ou ao pai ou tutor do consumidor, especificar que o consumidor tem menos de 13 anos de idade ou pelo menos 13 anos de idade e menos de 16 anos de idade”

Nova agência de privacidade de cão de guarda, novo estabelecimento de regras e direito de acção privado alargado

Estabelece a nova Agência de Protecção de Privacidade da Califórnia (CPPA): Como já mencionado, a CPRA estabelece uma nova agência, a CPPA, “para implementar e fazer cumprir” a CCPA e a CPRA (quando esta se tornar operativa). A CPPA será a primeira agência de privacidade nos Estados Unidos dedicada exclusivamente à privacidade de dados dos consumidores e terá um mandato amplo para investigar possíveis violações da CPRA, fazer cumprir a CPRA através de ação administrativa, e promulgar regras.

Requer uma nova criação de regras sobre seguros: O CPRA exige que o CPPA “reveja o Código de Seguros existente na Califórnia” no que diz respeito à privacidade do consumidor, excepto as disposições relativas às taxas e preços dos seguros. O CPPA deve determinar se o Código de Seguros oferece maiores proteções de privacidade do que o CPRA e, caso contrário, o CPPA “deverá” adotar um regulamento que aplique as maiores proteções do CPRA às companhias de seguros. O Comissário de Seguros, entretanto, deve manter jurisdição sobre as taxas e preços de seguros.

Requer uma nova regulamentação sobre cibersegurança e privacidade: O CPPA deve emitir regulamentos que exijam às empresas “cujo processamento de informações pessoais dos consumidores apresente risco significativo para a privacidade ou segurança dos consumidores” a (1) realizar uma auditoria de ciber-segurança anualmente e (2) submeter uma avaliação de risco ao CPPA com respeito ao seu processamento de PI.

Extende o escopo do direito de ação privada: O CPRA amplia o escopo do direito de ação privada ao adicionar uma causa de ação para o acesso não autorizado e a exfiltração, roubo ou divulgação de um endereço de e-mail em combinação com uma senha ou pergunta e resposta de segurança que poderia permitir o acesso ao conteúdo. Anteriormente a CCPA só reconhecia uma causa de acção relacionada com PI não encriptada ou não retroactivada. O CPRA também esclarece que a implementação e manutenção de procedimentos e práticas de segurança razoáveis após a violação não constitui uma cura.

Conclusão

O CPRA é mais um exemplo da rápida evolução do cenário da privacidade. Mas subjacente à volatilidade está uma clara tendência para o aumento das obrigações de privacidade das empresas, que quase certamente continuará em ritmo acelerado, tanto nos Estados Unidos como em todo o mundo. Neste ambiente, aqueles que se preparam cedo, e aqueles que têm um controle firme sobre a lei e sobre quais dados eles têm, de onde vieram, para onde vão e por quanto tempo os retêm, serão aqueles que estão melhor posicionados para cumprir.