Um guia prático de Seus direitos de privacidade sob CCPA

Este guia explica Seus direitos de privacidade sob CCPA na prática, com foco em decisões de analytics que respeitam a privacidade.

A Lei de Privacidade do Consumidor da Califórnia, ampliada pela Lei de Direitos de Privacidade da Califórnia, concede aos residentes da Califórnia direitos práticos sobre informações pessoais mantidas por empresas cobertas. Não é idêntica à GDPR, mas se tornou uma das leis de privacidade mais importantes para sites, aplicativos e equipes de marketing da US.

Este guia é para consumidores e equipes que precisam entender o que os usuários têm direito a solicitar.

Quem o CCPA protege

O CCPA protege os residentes da Califórnia. Uma empresa pode ser coberta mesmo que não esteja fisicamente localizada na Califórnia, desde que faça negócios na Califórnia e atenda aos limites legais.

A Agência de Proteção à Privacidade da Califórnia explica em suas FAQ que as informações pessoais são amplas. Pode incluir identificadores, atividade de navegação, informações comerciais, geolocalização precisa, dados biométricos, inferências e informações pessoais confidenciais, como identificadores governamentais, informações de saúde, origem racial ou étnica, crenças religiosas, filiação sindical e o conteúdo de determinadas comunicações.

Seus principais direitos CCPA

Direito de saber

Você pode perguntar a uma empresa coberta quais categorias de informações pessoais ela coletou, de onde vieram, por que foram coletadas, quais categorias de terceiros as receberam e se foram vendidas ou compartilhadas.

Você também pode solicitar informações pessoais específicas, embora as empresas possam reter determinados valores confidenciais por motivos de segurança.

Direito de excluir

Você pode pedir a uma empresa que exclua as informações pessoais coletadas de você. Este direito tem exceções. Uma empresa pode manter as informações necessárias para concluir uma transação, detectar incidentes de segurança, cumprir obrigações legais, exercer a liberdade de expressão ou utilizar as informações internamente de forma compatível com o contexto original.

Direito de corrigir

Você pode pedir a uma empresa que corrija informações pessoais imprecisas. Isto é especialmente importante para dados de perfil, dados de conta, registros de cobrança e decisões de elegibilidade.

Direito de cancelar a venda ou compartilhamento

O CCPA cobre mais do que vendas literais de dinheiro por dados. O compartilhamento de informações pessoais para publicidade comportamental em vários contextos pode desencadear direitos de exclusão. Os sites que vendem ou compartilham informações pessoais geralmente precisam de um mecanismo claro “Não venda ou compartilhe minhas informações pessoais”.

A Califórnia também exige que as empresas honrem sinais válidos de preferência de exclusão em muitos contextos. O Global Privacy Control é o sinal de navegador mais conhecido. A CPPA publicou materiais sobre as próximas atualizações regulatórias do CCPA que continuam a enfatizar os sinais de preferência de exclusão e a escolha do consumidor.

Direito de limitar informações pessoais confidenciais

Você pode limitar determinados usos e divulgações de informações pessoais confidenciais. Por exemplo, geolocalização precisa, informações de saúde e identificadores governamentais não devem ser usados ​​para perfis não relacionados se o consumidor tiver limitado esse uso.

Direito à não discriminação

Uma empresa não pode retaliar você por exercer direitos CCPA. Ela não pode negar bens ou serviços, cobrar um preço diferente ou fornecer um nível diferente de serviço porque você fez uma solicitação de privacidade, a menos que um programa de incentivo financeiro permitido se aplique e seja devidamente divulgado.

Como exercer seus direitos

Procure um link para a política de privacidade no rodapé do site. Uma empresa coberta deve explicar os métodos de solicitação, as etapas de verificação, os métodos de exclusão e as categorias de dados coletados.

Para solicitações de acesso, exclusão ou correção, talvez seja necessário verificar sua identidade. As empresas não devem exigir mais informações do que as necessárias para verificação. Para solicitações de cancelamento, geralmente não devem obrigar você a criar uma conta.

Uma solicitação prática pode ser curta:

Sou residente da Califórnia e exerço meus direitos CCPA. Forneça as categorias e informações pessoais específicas que você coletou sobre mim, as categorias de fontes, finalidades, categorias de terceiros e se minhas informações pessoais foram vendidas ou compartilhadas. Exclua também informações pessoais que não estejam sujeitas a exceção.

Guarde uma cópia da solicitação e da data. Se você usa um navegador compatível com o Global Privacy Control, habilite-o como um sinal adicional.

O que as empresas devem aprender com o CCPA

Para equipes de análise e marketing, o CCPA cria um trabalho operacional real:

• Saiba se o seu fornecedor de análise recebe informações pessoais.
• Decida se as integrações publicitárias contam como venda ou compartilhamento.
• Honrar os sinais de preferência de cancelamento.
• Não envie informações pessoais confidenciais em eventos analíticos.
• Mantenha um mapa de dados que conecte cookies, pixels, formulários, registros CRM e plataformas de anúncios.
• Torne possível a exclusão e a correção entre fornecedores, não apenas no seu banco de dados principal.

A análise que prioriza a privacidade reduz a carga porque a medição agregada e sem cookies evita muitos fluxos de dados de alto risco. Se a sua ferramenta de análise não identifica visitantes, não define cookies de rastreamento e não compartilha dados para publicidade, as operações da CCPA se tornam mais simples.

CCPA vs GDPR

O GDPR parte de um modelo de base legal: as organizações precisam de uma base legal válida antes de processar dados pessoais. O CCPA é mais orientado para o controle do consumidor: as empresas podem processar muitas categorias de informações, mas devem fornecer avisos, direitos de acesso, direitos de exclusão e cancelamento de venda, compartilhamento e uso de dados confidenciais.

A diferença prática é o fardo. GDPR atribui mais responsabilidade às organizações antes do início do processamento. CCPA oferece aos consumidores ferramentas sólidas, mas muitas vezes os consumidores precisam perceber o problema, encontrar o controle e agir. É por isso que a privacidade desde a concepção é importante. Uma empresa que recolhe menos dados cria menos dores de cabeça relacionadas com os direitos do consumidor e menos problemas de confiança.

Quando uma empresa não responde

Se uma empresa ignorar uma solicitação, der uma resposta incompleta ou dificultar desnecessariamente a exclusão, guarde capturas de tela e cópias da solicitação. Os residentes da Califórnia podem registrar reclamações junto à Agência de Proteção à Privacidade da Califórnia ou ao Procurador Geral da Califórnia. Para os utilizadores comuns, o primeiro passo mais eficaz é normalmente um pedido claro por escrito, seguido de um lembrete que indica o direito que está a ser exercido.

Para as empresas, a lição é tornar operacionais as solicitações de privacidade antes que se transformem em reclamações. Um link de rodapé não é suficiente se o backend não conseguir encontrar, excluir, corrigir ou suprimir os dados relevantes.

Lista de verificação de ação CCPA

Os consumidores devem conhecer o direito que estão exercendo: acesso, exclusão, correção, exclusão da venda, exclusão do compartilhamento de publicidade comportamental em vários contextos, limitação de informações pessoais sensíveis ou não discriminação. Mantenha a solicitação curta, guarde a data e preserve as capturas de tela se a empresa dificultar o processo.

As empresas devem traduzir esses direitos em controlos operacionais. Mapeie cookies, pixels, formulários, registros CRM, fornecedores de enriquecimento e plataformas de anúncios; distinguir venda de compartilhamento; honrar sinais válidos de Controle de Privacidade Global quando necessário; e evite enviar dados analíticos para fornecedores de publicidade quando a medição agregada for suficiente.