Em novembro, os eleitores da Califórnia aprovaram a Proposta 24, o California Privacy Rights Act (CPRA) de 2020. Esta iniciativa de votação baseia-se na Lei de Privacidade do Consumidor da Califórnia (CCPA) de 2018 e é às vezes referida como “CCPA 2.0”. O CPRA é mais um reinício do que uma sequência, no entanto, e aumenta substancialmente os direitos dos indivíduos e as obrigações das empresas que lidam com dados pessoais.
O CPRA ganhou imenso apoio popular; ganhou 56% dos votos, tornando-o a segunda iniciativa de votação mais popular da Califórnia em 2020. A popularidade da lei significa que as empresas precisam levá-la a sério ou correr o risco de incorrer em danos à reputação.
Aqui, estamos revendo algumas das mais significativas novidades do CPRA e oferecendo sugestões de como se preparar.
As seguintes informações não pretendem ser um conselho legal, e os leitores devem consultar seus advogados sobre questões de cumprimento.
CPRA Intensifica as Penalidades e Execução
O CCPA coloca a execução nas mãos do Procurador Geral da Califórnia, mas o CPRA dá mais poderes aos indivíduos e a uma nova agência estadual. Na verdade, a lei proposta foi originalmente chamada de California Privacy Rights and Enforcement Act (CPREA), que indica sua nova ênfase na responsabilidade.
Estabelecer uma nova agência reguladora
O CPRA cria a California Privacy Protection Agency (CPPA), que a Lexology chama de “a primeira agência governamental nos EUA focada exclusivamente na privacidade”. A CCPA é encarregada de fazer cumprir a lei, emitindo multas e exigindo que as empresas sejam submetidas a avaliações de risco e auditorias para suas políticas de tratamento de dados.
Além disso, a CCPA fornecerá mais regulamentos, regras e orientações quanto à interpretação da CPRA. De acordo com o site da Prop 24, esta nova agência terá um orçamento de US$ 10 milhões, o que “equivaleria a aproximadamente o mesmo número de funcionários da FTC que a FTC tem para policiar todo o país”.
Isso pode realmente acabar sendo uma boa notícia para as empresas, porque o CPPA poderá oferecer orientação e clareza sobre os requisitos do CPRA. A linguagem do CCPA foi uma fonte de confusão, e a National Law Review aponta que o CCPA tem sido impopular por causa de suas “definições excessivamente vagas, linguagem ambígua, e falta de clareza geral”. Esta agência poderia funcionar como o Escritório do Comissário de Informação do Reino Unido (ICO), que ajudou a criar clareza e orientar a aplicação do Regulamento Geral de Proteção de Dados (GDPR).
Expandindo o direito de ação privada
De acordo com o CCPA, os indivíduos tinham menos poder para responsabilizar as empresas pelo descumprimento. De acordo com o CCPA, os cidadãos privados só podem tomar medidas legais privadas contra uma empresa por certos tipos de violações e, muitas vezes, só depois de dar um aviso comercial e a oportunidade de “curar” o problema. Mas a nova lei estabelece que “A implementação e manutenção de procedimentos e práticas de segurança razoáveis… após uma violação não constitui uma cura”
Em outras palavras, se as vacas escapam do estábulo, as empresas têm que colocá-las de volta se quiserem evitar problemas legais. Colocar apenas uma fechadura na porta para que nada saia da próxima vez, não será suficiente.
CPRA Segue o GDPR’s Lead
O CPRA inclui muitos conceitos familiares a qualquer pessoa que tenha estudado o GDPR. Estas novas adições procuram dar aos indivíduos mais controlo sobre os seus dados pessoais e limitar as formas como as empresas podem utilizá-los.
Uma nova categoria de “informação pessoal sensível”
O CPRA introduz o conceito de “informação pessoal sensível” como uma classe particular de dados, que é mantida a padrões mais elevados do que outras informações pessoais. Este conceito já está presente no GDPR, embora a definição do CPRA seja mais ampla.
As informações pessoais sensíveis no CPRA podem ser divididas em duas categorias: identificadores diretos e dados altamente privados. A primeira categoria inclui identificadores emitidos pelo governo, informações financeiras e qualquer combinação de credenciais de conta que permitam o acesso a uma conta. A segunda categoria incluiria geolocalização precisa, etnia, religião, informações genéticas e biométricas, orientação sexual e o conteúdo de mensagens de e-mail e texto, a menos que essas mensagens fossem enviadas à empresa em questão.
O CPRA dá explicitamente aos indivíduos maior poder para limitar a forma como as empresas utilizam essas informações. Os usuários podem agora solicitar que uma empresa utilize essas informações somente quando necessário para fornecer o serviço ou bens “razoavelmente esperado por um consumidor médio” e somente para um número limitado de propósitos especificamente delineados pela lei.
Isso, por sua vez, cria um novo requisito de opt-out para empresas, que a JD Supra especula que pode implicar a inclusão de “um link disponível em sua página inicial do site intitulado Limite o Uso de Minhas Informações Pessoais Sensíveis”. Esta seria uma notificação separada de um link que diz, “Não Venda ou Compartilhe Minhas Informações Pessoais”
Introduzindo o “direito de correção”
O CPRA dá aos consumidores o direito de solicitar que as empresas corrijam informações pessoais imprecisas sobre esse consumidor. (A GDPR refere-se a isto como o “direito de rectificação”). As empresas são obrigadas a notificar os consumidores deste direito, e no caso de alguém solicitar uma alteração, devem fazer “esforços comercialmente razoáveis” para a corrigir.
Aumento das restrições de retenção/eliminação de dados
A CCPA concede aos consumidores um direito limitado de solicitar que as suas informações pessoais sejam eliminadas, embora com várias excepções que as tornam significativamente mais fracas do que o “direito de ser esquecido” da GDPR. O CPRA coloca o ônus nas empresas (e nas partes que tratam suas informações) de apagar os dados por conta própria. A lei exige que as empresas guardem informações pessoais apenas enquanto for necessário para atingir os fins divulgados ao consumidor.
Além disso, se um consumidor solicitar a eliminação, as empresas devem passar esse pedido aos prestadores de serviços e contratantes, que, por sua vez, devem notificar os seus próprios prestadores de serviços e contratantes para criar uma obrigação compartilhada de eliminação.
Extendendo o escopo para “compartilhar” dados
Em quase todas as instâncias onde o CCPA menciona “vender”, o CPRA o emendou para dizer “vender ou compartilhar”. Para ser claro, a definição de venda do CCPA já é bastante ampla. No entanto, o CPRA procura eliminar as lacunas que as empresas exploram com o propósito de “publicidade comportamental intercontextual”
Essa mudança pode tornar impossível para empresas como o Facebook e o Google contornar a exigência de opt-out, insistindo que elas não estão “vendendo” dados de usuários, mas simplesmente permitindo que os anunciantes usem esses dados para marketing direcionado. Como relatórios Datawallet, essa pequena mudança pode acabar “mudando completamente o status quo do ecossistema de publicidade digital existente”
Como as empresas devem se preparar para o CPRA
A boa notícia para as empresas é que a aplicação do CPRA não começará até julho de 2023. O CPRA também estende as isenções do CCPA sobre os dados dos funcionários até esse momento.
IAPP especula que esse período de carência pode ser destinado a dar tempo ao governo federal para introduzir a legislação nacional de privacidade. Independentemente do motivo, as empresas têm algum tempo para preparar e colocar em prática novas políticas de dados.
Passar para cima as políticas de exclusão de dados
Como discutido anteriormente, o CPRA exige que as empresas (e as partes externas que trabalham com elas) excluam os dados pessoais depois que eles tenham servido ao seu propósito. Além de cumprir com esse elemento da lei, a exclusão de dados é simplesmente uma boa prática, pois quanto mais dados pessoais você guardar, mais você tem a perder em uma violação. E dada a ênfase da nova lei na execução e seu direito ampliado de ação privada, cada registro comprometido em uma violação poderia levar a sérias penalidades.
Aprimorar as políticas de exclusão exige que todos os dados pessoais sejam contabilizados, não flutuando no éter. Como o IAPP o coloca: “Embora muitos responsáveis pela privacidade tenham implementado dias anuais de eliminação de dados como uma melhor prática, fazer com que todos os funcionários cumpram e eliminem trovas de dados desactualizados, que já não servem um propósito, continua a ser um desafio perpétuo”.
Uma solução para este desafio é ligar todos os dados pessoais sob perfis de utilizadores centralizados, acessíveis através do seu sistema de gestão de identidade e acesso (IAM). Ter um único repositório de dados de clientes simplifica a conformidade com muitos aspectos das leis de privacidade de dados da Califórnia, como excluir dados pessoais, fazer correções e dar relatórios aos consumidores mediante solicitação.
Implementar MFA para logins
O CPRA destaca as credenciais de login para atenção especial. Em primeira instância, inclui as credenciais em “informação pessoal sensível”. E enquanto o CCPA somente deu aos indivíduos o direito privado de ação legal se uma violação expusesse suas informações pessoais não criptografadas, o CPRA estende esse direito às violações que exponham o “endereço de e-mail de um usuário em combinação com uma senha ou pergunta e resposta de segurança que permita o acesso à conta”, desde que a violação tenha ocorrido como resultado da falha da empresa em manter práticas de segurança razoáveis.
Esta nova linguagem é uma clara tentativa de combater a epidemia de ataques de autenticação quebrados, como o enchimento de credenciais, em que as credenciais de login expostas se tornam o gateway para ladrões de identidade.
Uma maneira de melhorar a conformidade é criptografar senhas armazenadas. Mas a criptografia sozinha pode ser insuficiente porque os padrões de criptografia mudam, e há sempre a possibilidade de você ter um banco de dados antigo de senhas de texto simples escondidas em seus sistemas.
É por isso que é sábio implementar a autenticação multi-fator (MFA) e garantir que as credenciais sozinhas não permitam automaticamente o acesso à conta. O MFA solicitará uma forma adicional de credencial (como uma impressão digital ou um código único) no caso de um login incomum (como alguém tentando fazer login com um novo dispositivo).
Examine seu relacionamento com terceiros
O CPRA coloca grande ênfase na extensão das obrigações de privacidade de dados para contratados, provedores de serviços e terceiros. Ele define especificamente um contratante como alguém a quem uma empresa dá acesso a informações pessoais através de um contrato escrito. Este contrato proíbe o contratante de vender ou compartilhar dados com outras partes ou usá-los para quaisquer fins não listados no contrato.
O CPRA também exige que qualquer prestador de serviços, contratante ou terceiro que receba dados concorde contratualmente em aderir aos padrões do CPRA. O IAPP observa que esses requisitos “fazem lembrar a GDPR e vários mecanismos internacionais de transferência de dados projetados para estender as proteções da GDPR e permitir a conformidade transfronteiriça”.
Estas mudanças tornam essencial para as empresas se educar sobre os padrões de privacidade de dados e segurança cibernética de cada parte externa com a qual compartilham dados pessoais. O trabalho de elaboração de contratos caberá aos advogados, mas cabe aos profissionais de segurança garantir que terceiros cumpram as suas obrigações contratuais praticando uma boa segurança de dados.
CPRA Is Big (but not Necessarily Bad) News
Quando a notícia do “CCPA 2.0” caiu pela primeira vez, logo após a aprovação da lei original, alguns líderes empresariais ficaram consternados. Alguns pareciam sentir que Alastair Mactaggart, o líder do movimento, estava pessoalmente fora para pegá-los. Mas agora que a lei foi aprovada, é hora de todos os interessados abraçarem seus objetivos gerais.
As novas adições a esta lei de privacidade fazem parte de uma ampla evolução nos direitos do consumidor. E embora esta lei particular se aplique apenas aos californianos, há leis estaduais surgindo em todos os Estados Unidos com agendas semelhantes. Embora possa ser um desafio alcançar o cumprimento desta manta de retalhos nacional e global de leis, todas elas exigem a mesma mentalidade básica. Respeitar a privacidade, praticar a transparência e controlar o acesso aos dados pessoais.
Quer saber mais sobre os fundamentos da privacidade de dados, segurança de dados e conformidade legal? Comece aqui.
Sobre o Auth0
Auth0 fornece uma plataforma para autenticar, autorizar e proteger o acesso para aplicativos, dispositivos e usuários. As equipes de segurança e aplicações confiam na simplicidade, extensibilidade e experiência do Auth0 para fazer a identidade funcionar para todos. Salvaguardando bilhões de transações de login a cada mês, o Auth0 protege as identidades para que os inovadores possam inovar, e capacita as empresas globais a fornecer experiências digitais confiáveis e superiores aos seus clientes em todo o mundo.
Para mais informações, visite https://auth0.com ou siga @auth0 no Twitter.