Um guia prático de CCPA e proteção de dados
TL;DR — Resposta rápida
5 min de leituraAs amplas regras de compartilhamento de dados do CCPA impactam diretamente a análise e o marketing da web. O caso da Sephora provou que atividades analíticas de rotina podem desencadear violações e acordos milionários.
Este guia explica CCPA e proteção de dados na prática, com foco em decisões de analytics que respeitam a privacidade.
A Lei de Privacidade do Consumidor da Califórnia não é uma “lei de cookies” no sentido europeu. Não diz que todo cookie analítico precisa de consentimento de aceitação. Mas afeta absolutamente cookies, pixels, tags de publicidade e fornecedores de análises porque dá aos californianos direitos sobre a venda e compartilhamento de informações pessoais.
Para as equipes de marketing, a questão prática não é “usamos cookies?” É "estamos divulgando, vendendo, compartilhando ou permitindo publicidade comportamental em vários contextos com informações pessoais?"
Por que os dados analíticos podem ser informações pessoais
A Califórnia define informações pessoais de forma ampla. A lei abrange informações que identificam, se relacionam, descrevem, são razoavelmente capazes de serem associadas ou podem ser razoavelmente associadas a um consumidor ou agregado familiar. Os materiais CCPA do Procurador Geral da Califórnia incluem identificadores online e endereços IP dentro deste amplo enquadramento.
Isso é importante porque muitas ferramentas rotineiras da web coletam identificadores mesmo quando o proprietário do site nunca vê um nome. Uma plataforma analítica ou de anúncios de terceiros pode receber:
- biscoito IDs
- localização derivada de IP
- informações do dispositivo e do navegador
- página URLs
- dados de referência
- identificadores de clique no anúncio
- eventos de conversão
- e-mails com hash ou cliente IDs, em algumas configurações
Se esses dados forem usados para publicidade comportamental em vários contextos, medição entre clientes, construção de público ou enriquecimento de plataforma, poderão ser aplicadas obrigações CCPA.
Venda, compartilhamento e a lição da Sephora
A ação de fiscalização da Sephora é o caso que toda equipe de marketing deveria saber. Em 2022, o Procurador-Geral da Califórnia anunciou um acordo de 1,2 milhões de dólares com a Sephora alegando que a Sephora não divulgou que estava a vender informações pessoais, não conseguiu processar pedidos de exclusão enviados através do Global Privacy Control e não conseguiu sanar as alegadas violações.
O detalhe importante é que o caso envolveu práticas comuns de rastreamento online. A California AG descreveu empresas terceirizadas que recebem informações sobre os consumidores, inclusive por meio de análises e tecnologias de publicidade. Isso significa que uma empresa não precisa vender uma planilha a um corretor de dados para criar o risco CCPA. Permitir que rastreadores de terceiros coletem informações pessoais em seu site pode ser suficiente.
Desde as alterações do CPRA, o “compartilhamento” é especialmente importante. Abrange divulgações para publicidade comportamental em vários contextos, mesmo quando o dinheiro não muda de mãos.
O controle global de privacidade não é opcional
O Procurador Geral da Califórnia declara que as empresas cobertas pelo CCPA devem honrar um Controle de Privacidade Global habilitado pelo usuário como uma solicitação válida para cancelar a venda ou compartilhamento. A Agência de Proteção à Privacidade da Califórnia também descreve sinais de preferência de exclusão como configurações de navegador ou extensão que enviam automaticamente a opção de exclusão do usuário.
Na prática, isso significa que seu site precisa detectar e agir em relação ao GPC quando aplicável. Um banner de privacidade que ignora o sinal do navegador não é suficiente. Se um visitante tiver o GPC ativado, não carregue pixels de publicidade relacionados a vendas/compartilhamentos e não envie dados a fornecedores para publicidade comportamental em vários contextos, a menos que você tenha um motivo legalmente válido para fazê-lo.
O que isso significa para cookies
Em CCPA, os cookies caem em vários grupos:
| Tipo de cookie ou tag | Preocupação típica do CCPA |
|---|---|
| Cookies estritamente necessários | geralmente baixo, mas divulga na política de privacidade |
| Análise agregada própria | menor risco se não for compartilhado ou usado para anúncios |
| Análise de terceiros | revisar uso, contratos e divulgações do fornecedor |
| Redirecionando pixels | alto risco para venda/compartilhamento e opt-out |
| Tags de conversão de anúncios | depende dos dados enviados e do uso do fornecedor |
| Sala limpa de dados ou tags de conversão otimizada | alto risco se os dados do cliente forem carregados |
A arquitetura analítica mais segura é primária, mínima e com finalidade limitada. Se o seu provedor de análise não usar dados de visitantes de clientes, não criar perfis de anúncios, não definir cookies de rastreamento e não vender ou compartilhar informações pessoais, a conformidade se tornará mais simples.
Uma lista de verificação CCPA para análise de marketing
-
Mapeie todas as tags de terceiros. Inclua Google Analytics, Google Tag Manager, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, ferramentas de bate-papo, mapas de calor, scripts de afiliados e ferramentas de teste A/B.
-
Leia os termos do fornecedor. Determine se cada fornecedor atua como prestador de serviços/contratado ou usa dados para seus próprios fins. Os rótulos dos contratos importam menos do que o uso real dos dados.
Flowsery
Teste gratuito
Painel em tempo real
Rastreamento de metas
Rastreamento sem cookies
Classifique os fluxos de dados. Observe se a tag recebe identificadores, página URLs, nomes de eventos, hashes de e-mail, endereços IP ou detalhes de transação.
Avisos de atualização. Sua política de privacidade deve explicar categorias de informações pessoais coletadas, finalidades, categorias de destinatários, retenção e direitos de exclusão.
Implemente controles de exclusão. Forneça um mecanismo "Não venda ou compartilhe minhas informações pessoais" quando necessário e respeite GPC.
Gate tags de alto risco. Tags de retargeting e publicidade em contexto cruzado não devem ser acionadas para usuários que optam por não participar.
Minimize cargas úteis de eventos. Não envie nomes, e-mails, contas IDs, dados de saúde, detalhes financeiros ou campos de formulário de formato livre para análises.
Mantenha evidências. Documente a configuração, as decisões do fornecedor, o comportamento de consentimento/exclusão e os resultados dos testes.
CCPA vs GDPR: não misture as regras
GDPR e a Diretiva de Privacidade Eletrônica geralmente exigem consentimento prévio para cookies não essenciais e tecnologias semelhantes na Europa. CCPA geralmente se concentra em direitos de notificação, acesso, exclusão, correção e cancelamento, especialmente em relação à venda/compartilhamento. Uma configuração pode ser aceitável sob um regime e não em outro.
Para um site focado em US, o maior risco de CCPA geralmente são tags de marketing de terceiros não controladas. Para um site voltado para EU, as mesmas tags também podem exigir consentimento de aceitação antes de serem carregadas.
O caminho da privacidade em primeiro lugar
Uma pilha de análise prática que prioriza a privacidade para conformidade com CCPA deve:
- evite identificadores de publicidade de terceiros por padrão
- evite usar dados analíticos para publicidade comportamental em vários contextos
- coletar apenas métricas agregadas necessárias para melhoria do site
- honrar GPC quando necessário
- mantenha a atribuição da campanha nos parâmetros UTM, não nos perfis dos usuários
- análises separadas do enriquecimento da plataforma de anúncios
A conformidade com o CCPA é mais fácil quando a análise não faz parte de um pipeline de vigilância publicitária. Avalie o que ajuda você a melhorar o site. Não colete dados simplesmente porque um gerenciador de tags facilita isso.
Controles de tags de marketing
Recolha separada da venda e partilha. Um banner de cookie pode gerenciar algumas opções de coleta, mas uma opção de exclusão do CCPA também deve abordar se as informações pessoais são vendidas ou compartilhadas para publicidade comportamental em vários contextos. Não permita que tags de retargeting, conversão do lado do servidor APIs ou sincronizações de público sejam acionadas após uma desativação aplicável ou um sinal GPC válido.
Mantenha um registro de tags com proprietário, finalidade, campos de dados, função do fornecedor, categoria de consentimento, comportamento GPC, regra de disparo e caminho de exclusão. Revise-o sempre que o marketing adicionar uma plataforma ou alterar a medição da campanha.
Este artigo foi útil?
Diga-nos o que pensa!
Antes de ir...
Flowsery
Analytics orientado para receitas para o seu site
Rastreie cada visitante, fonte e conversão em tempo real. Simples, poderoso e totalmente conforme com o RGPD.
Painel em tempo real
Rastreamento de metas
Rastreamento sem cookies
Artigos relacionados
Um guia prático de Conformidade CCPA e análise da web
Aprenda como Conformidade CCPA e análise da web afeta analytics com foco em privacidade, qualidade de medição e decisões práticas para o site.
Um guia prático de CCPA vs GDPR
CCPA vs GDPR não é apenas uma comparação regional. Este guia detalha as regras de escopo, consentimento, dados confidenciais, aplicação e transferência transfronteiriça para que você possa ver onde as duas leis diferem.
Um guia prático de Como os requisitos de consentimento GDPR se
Como os requisitos de consentimento GDPR se aplicam ao Web Analytics explica por que os cookies analíticos precisam de consentimento prévio e como deve ser o consentimento válido na prática.