O California Consumer Privacy Act (CCPA), em vigor desde 1º de janeiro de 2020 e significativamente expandido pelo California Privacy Rights Act (CPRA) em 2023, é uma das leis estaduais de privacidade mais abrangentes dos Estados Unidos. Enquanto o RGPD foca nos residentes europeus, o CCPA/CPRA capacita os consumidores da Califórnia, concedendo-lhes direitos extensivos sobre suas informações pessoais e impondo obrigações rigorosas às empresas que as coletam e processam.

O que é o CCPA/CPRA?

O CCPA (e seu sucessor, o CPRA) é uma lei pioneira de privacidade que concede aos residentes da Califórnia (consumidores) novos direitos com relação às suas informações pessoais. Ao contrário do RGPD, que se concentra na base legal para o processamento, o CCPA/CPRA trata mais do controle do consumidor e da transparência com relação a como as empresas lidam com seus dados.

Geralmente se aplica a empresas com fins lucrativos que coletam informações pessoais de residentes da Califórnia e cumprem um ou mais dos seguintes limites:

• Tem receita bruta anual superior a $25 milhões.
• Compra, recebe ou vende informações pessoais de 100.000 ou mais consumidores ou domicílios da Califórnia.
• Deriva 50% ou mais de sua receita anual da venda ou compartilhamento de informações pessoais de consumidores da Califórnia.

“Informações pessoais” sob o CCPA/CPRA são amplamente definidas para incluir qualquer coisa que identifique, se relacione com, descreva, seja razoavelmente capaz de ser associada a, ou possa ser razoavelmente ligada, direta ou indiretamente, a um consumidor ou domicílio em particular.

Principais Direitos do Consumidor sob o CCPA/CPRA

O CCPA/CPRA concede aos consumidores da Califórnia vários direitos poderosos:

1. Direito de Saber: Os consumidores têm o direito de solicitar que uma empresa divulgue as categorias e as peças específicas de informações pessoais que coletou, as categorias de fontes das quais as informações pessoais são coletadas, os propósitos para coletar ou vender informações pessoais e as categorias de terceiros com quem a empresa compartilha informações pessoais.
2. Direito de Exclusão: Os consumidores têm o direito de solicitar a exclusão de informações pessoais coletadas pela empresa.
3. Direito de Optar por não Vender/Compartilhar (Opt-Out): Este é um pilar do CCPA/CPRA. Os consumidores têm o direito de instruir uma empresa que vende ou “compartilha” (para publicidade comportamental entre contextos) informações pessoais com terceiros a não vender ou compartilhar suas informações pessoais. As empresas devem fornecer um link claro “Não vender nem compartilhar minhas informações pessoais” em sua página inicial.
4. Direito de Correção: Os consumidores podem solicitar que as empresas corrijam informações pessoais imprecisas.
5. Direito de Limitar o Uso e Divulgação de Informações Pessoais Sensíveis: Os consumidores podem instruir as empresas a limitar o uso e a divulgação de suas “informações pessoais sensíveis” (por exemplo, geolocalização precisa, origem racial ou étnica, dados de saúde) apenas ao que for necessário para executar os serviços ou fornecer os bens solicitados.
6. Direito à Não Retaliação: As empresas não podem discriminar um consumidor por exercer seus direitos CCPA/CPRA.

Implicações para Empresas

A conformidade com o CCPA/CPRA exige uma mudança significativa nas práticas de tratamento de dados para muitas empresas. Os requisitos principais incluem:

• Fornecer avisos de privacidade claros e proeminentes detalhando a coleta e o tratamento de dados.
• Implementar mecanismos para que os consumidores enviem solicitações de acesso do titular dos dados (DSARs) para seus direitos.
• Reconhecer e honrar os sinais de controle global de privacidade, como o sinal de navegador Global Privacy Control (GPC).
• Garantir que os prestadores de serviços e contratados terceirizados também cumpram as regras do CCPA/CPRA ao lidar com dados do consumidor em nome da empresa.

O não cumprimento pode levar a penalidades significativas, incluindo danos estatutários de $100 a $750 por consumidor por incidente por violações intencionais ou por não corrigir as violações após notificação, bem como danos reais para os consumidores. A fiscalização é realizada pela California Privacy Protection Agency (CPPA) e pelo Procurador-Geral da Califórnia.

---

O Papel Crítico das Ferramentas de Consentimento e Opt-Out na Conformidade Moderna com CCPA/CPRA

Navegar pela conformidade com o CCPA/CPRA, especialmente enquanto se mantém um marketing digital e uma análise eficazes, requer a integração perfeita de ferramentas especializadas: uma robusta Plataforma de Gestão de Consentimento (CMP) e a conformidade com os sinais das principais plataformas de publicidade.

1. A Plataforma de Gestão de Consentimento (CMP) – ex. FitConsent

Uma CMP como a FitConsent é essencial para implementar os direitos do consumidor exigidos pelo CCPA/CPRA. Suas funções primárias incluem:

• Facilitar os Opt-Outs: Uma CMP ajuda as empresas a exibir o link obrigatório “Não vender nem compartilhar minhas informações pessoais” e gerencia os mecanismos subjacentes para honrar essas solicitações, garantindo que os dados não sejam vendidos ou compartilhados após um opt-out.
• Gerenciamento de Preferências do Usuário: Além dos simples opt-outs, uma CMP permite um controle mais granular, especialmente para limitar o uso de informações pessoais sensíveis, alinhando-se com os requisitos expandidos do CPRA.
• Resposta às DSARs (Solicitações de Acesso do Titular dos Dados): Embora não execute diretamente a exclusão, uma CMP pode otimizar o processo de recebimento e gerenciamento das Solicitações de Acesso do Titular dos Dados (DSARs), fornecendo os rastros de auditoria necessários e ajudando as empresas a localizar dados relevantes para solicitações de exclusão ou acesso.
• Honrar Sinais GPC: CMPs modernas são projetadas para detectar e honrar automaticamente os sinais de Global Privacy Control (GPC) enviados pelos navegadores dos usuários, que o CCPA/CPRA manda como uma solicitação de opt-out válida.

2. Google Consent Mode V2

Embora o CCPA/CPRA seja principalmente um regime de “opt-out” em vez de “opt-in” para muitos usos de dados (ao contrário da forte ênfase do RGPD no consentimento), o Google Consent Mode V2 ainda desempenha um papel crucial para empresas que operam globalmente ou aquelas com necessidades de conformidade mistas:

• Estrutura de Conformidade Global: Para empresas que atendem tanto a residentes da Califórnia quanto da UE, uma CMP integrada com o Google Consent Mode V2 oferece uma abordagem unificada. Mesmo em um contexto de opt-out, ele pode ajudar a gerenciar sinais para os serviços do Google, garantindo que as tags de análise e publicidade se comportem apropriadamente com base nas preferências do usuário (seja “opt-in” para o RGPD ou “opt-out” para o CCPA).
• Adaptação do Comportamento das Tags: O Google Consent Mode V2 ainda pode modificar o comportamento das tags do Google com base nas escolhas explícitas ou nos sinais implícitos de opt-out recebidos, limitando a coleta de dados para publicidade, se necessário, apoiando assim os objetivos do CCPA/CPRA onde aplicável.

3. Microsoft UET Consent Mode

Da mesma forma, para empresas que usam o Microsoft Advertising (Bing Ads) e atendem a residentes da Califórnia:

• Respeitar Opt-Outs: O Microsoft UET Consent Mode permite que a tag Universal Event Tracking (UET) adapte suas práticas de coleta de dados com base nas preferências do usuário ou nos sinais de opt-out. Isso garante que as informações pessoais não sejam “vendidas” ou “compartilhadas” através da tag UET de uma forma que viole o CCPA/CPRA se um consumidor tiver optado por sair.
• Manutenção de Funcionalidade Limitada: Ao ajustar o comportamento das tags, o UET Consent Mode permite que o rastreamento básico de conversões e a medição do desempenho de anúncios continuem de maneira que preserve a privacidade, mesmo quando o rastreamento completo não é permitido devido às escolhas do consumidor.

Conclusão sobre Ferramentas:

Para empresas que operam sob a sombra do CCPA/CPRA, a integração de uma CMP especializada como a FitConsent com a sinalização flexível fornecida pelo Google Consent Mode V2 e Microsoft UET Consent Mode é vital. Essas ferramentas garantem não apenas a conformidade legal com os direitos do consumidor, mas também permitem a continuação de atividades essenciais de marketing e análise de maneira a respeitar a privacidade e ser informada por dados.