A Lei de Privacidade do Consumidor da Califórnia está entre as leis de privacidade mais influentes dos Estados Unidos. Dado que muitas grandes empresas de tecnologia estão sediadas na Califórnia, a CCPA tem um impacto desproporcional na economia digital.

O Que a CCPA Cobre

A CCPA concede aos residentes da Califórnia direitos específicos de privacidade e se aplica a grandes empresas ou àquelas que controlam quantidades substanciais de informações pessoais, incluindo organizações fora da Califórnia e até fora dos EUA. Órgãos governamentais e organizações sem fins lucrativos são geralmente isentos.

Informações pessoais sob a CCPA são definidas de forma ampla: qualquer informação que possa ser razoavelmente vinculada a um consumidor ou domicílio específico, incluindo identificadores únicos encontrados em cookies.

Impacto em Cookies e Web Analytics

Embora a CCPA não tenha regras específicas sobre cookies, suas disposições sobre compartilhamento de dados com terceiros afetam diretamente o web analytics. Compartilhar informações pessoais com provedores de analytics ou publicidade pode constituir uma "venda" sob a Lei, acionando o direito de opt-out. As empresas devem fornecer pop-ups informativos e opções conspícuas de opt-out. Consentimento opt-in é necessário antes de vender dados pessoais de menores de 16 anos. As empresas também devem honrar sinais do Global Privacy Control (GPC) dos navegadores.

O caso de fiscalização da Sephora ilustra essas obrigações. A varejista de cosméticos fez um acordo de US$ 1,2 milhão após não divulgar o compartilhamento de dados com um provedor de analytics, não honrar solicitações de opt-out e não corrigir as violações dentro do prazo permitido. Notavelmente, a empresa não estava vendendo dados para corretores -- atividades rotineiras de marketing e analytics desencadearam a violação.

Implicações para o Marketing Direto

Embora a CCPA não regule especificamente o marketing direto, suas regras de compartilhamento de dados restringem a disponibilidade de dados de terceiros para fins de marketing. Legislação adicional como o Delete Act limitará ainda mais a disponibilidade de dados para empresas que dependem de enriquecimento de dados de terceiros.

Proteções de Informações Sensíveis

Os consumidores podem limitar o uso e a divulgação de informações sensíveis -- incluindo geolocalização precisa, dados genéticos, orientação sexual e identificadores financeiros -- ao estritamente necessário para fornecer os serviços solicitados.

O Cenário Mais Amplo de Privacidade nos EUA

A CCPA existe dentro de um ambiente regulatório fragmentado. Sem legislação federal abrangente de privacidade, os estados promulgaram suas próprias leis, criando complexidade de conformidade para empresas que operam nacionalmente. Se a legislação federal proposta como a ADPPA irá substituir ou complementar as leis estaduais permanece uma questão em aberto.