Um guia prático de Conformidade CCPA e análise da web

Este guia explica Conformidade CCPA e análise da web na prática, com foco em decisões de analytics que respeitam a privacidade.

A conformidade do CCPA e a análise da web se encontram em um ponto prático: a maioria das ferramentas de análise coleta identificadores online, dados de dispositivos, atividade de navegação, informações de referência e históricos de eventos. De acordo com a lei de privacidade da Califórnia, esses sinais podem ser qualificados como informações pessoais quando identificam, se relacionam, descrevem ou podem ser razoavelmente vinculados a um consumidor ou domicílio.

Este não é um aconselhamento jurídico, mas é uma forma útil para os proprietários de sites estruturarem a revisão antes de escolher ou configurar análises.

O que o CCPA cobre

A Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela CPRA, concede aos residentes da Califórnia direitos sobre informações pessoais. O Procurador-Geral da Califórnia descreve direitos que incluem saber quais informações pessoais são coletadas, excluí-las, corrigir informações imprecisas, optar por não vender ou compartilhar, limitar o uso de informações pessoais confidenciais e não discriminação no exercício de direitos (California OAG).

A Agência de Proteção à Privacidade da Califórnia também explica os atuais limites de aplicabilidade e recursos de aplicação (CPPA FAQ).

Para as equipes de análise, o ponto mais importante é que as “informações pessoais” são mais amplas do que nomes e e-mails. Pode incluir identificadores online, endereço IP, histórico de navegação, histórico de pesquisa, interações com um site, geolocalização e inferências.

O Web Analytics conta como informação pessoal?

Muitas vezes, sim. Uma configuração típica de análise pode coletar:

• endereço IP ou localização derivada de IP truncada.
• Cookie IDs ou dispositivo IDs.
• Informações do navegador e do dispositivo.
• Caminhos de página e referenciadores.
• parâmetros da campanha UTM.
• Eventos como início de formulário, downloads e compras.
• Localização aproximada.
• Usuário IDs se a análise estiver conectada a contas.

Mesmo quando um relatório é agregado, a recolha subjacente ainda pode envolver informações pessoais. A questão de conformidade não é apenas o que aparece no painel. É quais dados são coletados, armazenados, vinculados, compartilhados e retidos.

Venda, compartilhamento e publicidade direcionada

A lei da Califórnia distingue a “venda” de informações pessoais do “compartilhamento” delas para publicidade comportamental em vários contextos. Se os dados analíticos forem divulgados para uma plataforma de anúncios ou usados ​​para direcionar publicidade em vários contextos, poderão ser aplicadas obrigações de exclusão.

É aqui que os proprietários de sites precisam ter cuidado com os gerenciadores de tags. Um site pode começar com análises e depois adicionar pixels de remarketing, conversão APIs, sincronizações de público ou integrações de plataforma de anúncios. Esses acréscimos podem alterar a análise jurídica.

Perguntar:

• O fornecedor de análise atua como prestador de serviços/contratado ou como terceiro independente?
• Os dados são usados ​​apenas para fornecer análises?
• É utilizado para produtos publicitários do fornecedor?
• É combinado entre clientes?
• É compartilhado com redes de anúncios ou corretores de dados?
• O site oferece um link "Não vender ou compartilhar minhas informações pessoais", se necessário?
• Processa sinais de Controle de Privacidade Global quando necessário?

Considerações sobre o Google Analytics

O Google Analytics pode ser configurado de diferentes maneiras, mas ainda é um serviço analítico de terceiros conectado ao ecossistema mais amplo do Google. O Google afirma que o Analytics usa cookies como _ga para distinguir os visitantes (Privacidade e Termos do Google). GA4 também interage com o Modo de consentimento e recursos de modelagem quando o consentimento é negado (Ajuda do Gerenciador de tags do Google).

Usar GA4 em CCPA pode exigir:

• Divulgação da política de privacidade.
• Um acordo assinado de processamento de dados ou provedor de serviços, quando aplicável.
• Revisão das configurações de compartilhamento de dados do Google.
• Controles para recursos e sinais de publicidade.
• Tratamento de cancelamento de venda/compartilhamento, quando aplicável.
• Consentimento ou controles de cookies em jurisdições que os exijam.
• Documentação interna de quais dados fluem para o Google.

Não presuma que a "anonimização IP" ou os relatórios agregados por si só resolvem o problema. A revisão precisa abranger identificadores, cookies, compartilhamento, recursos de publicidade, retenção e direitos do usuário.

Abordagem analítica que prioriza a privacidade

A análise que prioriza a privacidade pode reduzir a exposição do CCPA, evitando, em primeiro lugar, informações pessoais desnecessárias. Procurar:

• Sem cookies analíticos.
• Sem identificadores persistentes entre sites.
• Sem armazenamento IP completo.
• Nenhuma venda ou compartilhamento para publicidade.
• Relatórios agregados.
• Curta retenção para logs brutos.
• termos DPA/provedor de serviços.
• Limpar processos de exportação e exclusão de dados.

Se uma ferramenta analítica realmente não coletar informações pessoais, muitas obrigações CCPA vinculadas a essa ferramenta se tornarão mais simples. Mas verifique a afirmação. Verifique a documentação técnica, o contrato, os subprocessadores do fornecedor e se URLs, sequências de consulta ou eventos personalizados ainda podem incluir informações pessoais.

Lista de verificação prática de conformidade

1. Determine se sua empresa está coberta pela CCPA/CPRA.
2. Faça um inventário de todas as análises, gerenciador de tags, pixel, mapa de calor, repetição, teste A/B e ferramenta de conversão.
3. Identifique quais informações pessoais cada ferramenta coleta.
4. Classifique o relacionamento de cada fornecedor.
5. Revise se algum dado é vendido ou compartilhado para publicidade comportamental em vários contextos.
6. Atualize as divulgações de privacidade.
7. Implementar links de exclusão e controle de privacidade global quando necessário.
8. Minimize as propriedades do evento e remova os parâmetros URL sensíveis.
9. Estabeleça limites de retenção.
10. Verifique novamente a configuração sempre que o marketing adicionar uma nova tag.

A conformidade do CCPA é mais fácil quando o sistema analítico é pequeno, primário e com finalidade limitada. Quanto menos informações pessoais você coletar e compartilhar, menos fluxos de trabalho de direitos, riscos de fornecedores e casos extremos de exclusão você precisará gerenciar.

Lista de verificação do Analytics CCPA

Confirme se o negócio está coberto, incluindo o limite atualizado de receita bruta da CPPA de US$ 26.625.000 a partir de 1º de janeiro de 2025. Em seguida, análises de inventário, gerenciadores de tags, pixels, ferramentas de repetição, testes A/B, conversão APIs e fornecedores de enriquecimento.

Para cada ferramenta, classifique as informações pessoais coletadas, função do fornecedor, retenção, venda, compartilhamento para publicidade comportamental em vários contextos, risco de dados confidenciais, caminho de exclusão e tratamento do Controle de Privacidade Global. Se a análise agregada responder à pergunta, evite enviar dados do visitante para sistemas de publicidade.