Um guia prático de CCPA vs CPRA

Este guia explica CCPA vs CPRA na prática, com foco em decisões de analytics que respeitam a privacidade.

CCPA vs CPRA é uma frase um pouco enganosa porque o CPRA não substituiu o CCPA por uma lei de privacidade separada. Ele o alterou e expandiu. Os reguladores da Califórnia agora comumente se referem à lei como CCPA "conforme alterada" pela CPRA, como explica o [Procurador-Geral da Califórnia] (https://www.oag.ca.gov/privacy/ccpa).

Para as empresas, a questão prática não é qual sigla usar. É se seus avisos, fluxos de cancelamento, ferramentas de análise, pixels de publicidade, regras de retenção de dados e contratos de fornecedores refletem os requisitos mais fortes pós-CPRA que começaram a ser aplicados em 2023.

O que o CCPA original criou

O CCPA concedeu aos consumidores da Califórnia direitos sobre as informações pessoais coletadas pelas empresas cobertas. Os direitos essenciais incluem:

• Saber quais informações pessoais uma empresa coleta, usa, compartilha ou vende.
• Exclusão de informações pessoais, sujeitas a exceções.
• Optar pela venda de informações pessoais.
• Não discriminação no exercício dos direitos de privacidade.

A lei original já era ampla porque “informações pessoais” incluem identificadores, atividade na Internet, geolocalização, inferências e informações vinculadas ou razoavelmente vinculáveis ​​a uma residência ou consumidor.

Para as equipes de análise e publicidade, a questão mais importante do CCPA era o conceito de “venda”. Muitas empresas presumiram que a venda significava a troca de dados por dinheiro. A definição da Califórnia era mais ampla e capturou algum compartilhamento para consideração valiosa.

O que o CPRA mudou

O CPRA expandiu a lei de várias maneiras que são importantes para análise e marketing da web.

• *O compartilhamento tornou-se sua própria atividade regulamentada.** O CPRA adicionou o direito de optar por não "compartilhar" informações pessoais para publicidade comportamental em vários contextos. Isto é importante mesmo que nenhum dinheiro mude de mãos. Se um site enviar identificadores ou dados de eventos para uma rede de anunciantes para que os anúncios possam ser direcionados a vários sites, isso poderá acionar obrigações de exclusão.

• *Informações pessoais confidenciais tornaram-se uma categoria especial.** Os consumidores ganharam o direito de limitar o uso e a divulgação de informações pessoais confidenciais. As informações confidenciais incluem categorias como geolocalização precisa, origem racial ou étnica, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, informações biométricas, informações de saúde, vida sexual ou orientação sexual e determinadas credenciais de conta.

• *Direitos de correção foram adicionados.** Os consumidores podem pedir às empresas que corrijam informações pessoais imprecisas.

• *A minimização de dados tornou-se mais explícita.** A Agência de Proteção à Privacidade da Califórnia enfatizou que a minimização de dados é um princípio fundamental do CCPA, inclusive em seu aconselhamento de aplicação de 2024. As empresas devem coletar, usar, reter e compartilhar informações pessoais apenas conforme razoavelmente necessário e proporcional aos fins divulgados.

• *Uma agência dedicada foi criada.** A CPRA estabeleceu a Agência de Proteção à Privacidade da Califórnia (CPPA), com autoridade para regulamentação e aplicação (página de regulamentos da CPPA).

Por que as equipes de análise devem se preocupar

Uma configuração de análise padrão pode envolver informações pessoais de acordo com as leis da Califórnia. endereço IP, identificadores de dispositivo, cookie IDs, publicidade móvel IDs, comportamento de navegação, página URLs, dados de referência e interesses inferidos podem ser relevantes.

O maior risco não é a simples medição primária. É o envio de eventos analíticos a terceiros que usam os dados para sua própria publicidade, criação de perfil, melhoria de produtos ou enriquecimento de dados. No CPRA, isso pode ser "compartilhamento" mesmo quando o fornecedor chama a análise de integração.

Revise essas ferramentas com atenção:

• Google Analytics com recursos de publicidade.
• Meta Pixel e conversões API.
• TikTok, LinkedIn, Pinterest e X pixels.
• Ferramentas de mapa de calor e reprodução de sessão.
• Salas limpas de dados e plataformas de dados de clientes.
• SDKs de atribuição móvel.
• Fornecedores de enriquecimento e resolução de identidade.

Implicações de aviso e cancelamento

Um aviso de privacidade compatível deve descrever categorias de informações pessoais, finalidades, períodos ou critérios de retenção, categorias de terceiros e direitos. Se você vende ou compartilha informações pessoais, precisa de um mecanismo "Não venda ou compartilhe minhas informações pessoais". As empresas também devem lidar com sinais de preferência de exclusão quando necessário, incluindo o Controle Global de Privacidade em muitos contextos.

Não enterre isso em um banner de cookies. O consentimento de cookies, as desativações de CCPA e o consentimento de GDPR estão relacionados, mas não são idênticos. A opção de não compartilhamento por parte de um consumidor da Califórnia deve impedir divulgações de publicidade comportamental em vários contextos, e não apenas ocultar um banner.

CCPA vs CPRA para análises que priorizam a privacidade

A análise que prioriza a privacidade reduz a exposição do CPRA, evitando identificadores de contexto cruzado e compartilhamento de tecnologia de anúncios. Uma configuração mais segura é assim:

• Sem cookies de publicidade de terceiros.
• Não há compartilhamento de dados de eventos com redes de anúncios.
• Não há perfis de visitantes persistentes para segmentação entre sites.
• Relatórios agregados para visualizações de página, referenciadores, campanhas e conversões.
• Propriedades de eventos que evitam e-mails, nomes, conta IDs e localização precisa.
• Um cronograma de retenção claro.
• Contratos de fornecedores que restringem o uso secundário.

Isso não significa que a análise que prioriza a privacidade esteja isenta do CCPA. Isso significa que a superfície de conformidade é menor e mais fácil de explicar.

Lista de verificação de revisão prática

Faça estas perguntas durante uma revisão CPRA:

1. Algum fornecedor de análise ou marketing recebe informações pessoais?
2. Qualquer fornecedor pode usar esses dados para seus próprios fins?
3. Você está compartilhando dados para publicidade comportamental em vários contextos?
4. Os avisos descrevem análises e publicidade separadamente?
5. As opções de exclusão realmente suprimem pixels, chamadas SDK e eventos do lado do servidor?
6. Os campos de dados confidenciais são excluídos dos eventos analíticos?
7. Os períodos de retenção são documentados e aplicados?
8. Você pode atender às solicitações de exclusão e correção dos fornecedores?

A lição do CPRA é simples: a conformidade com a privacidade agora chega à pilha de medições. Se os dados analíticos puderem acompanhar as pessoas em todos os contextos, não serão mais apenas relatórios. É uma infraestrutura de publicidade regulamentada.

Lista de verificação de revisão do CPRA

Revise a análise e o marketing como fluxos de dados separados. Venda e compartilhamento não são a mesma coisa: a venda pode envolver troca de valor, enquanto o compartilhamento abrange especificamente divulgações para publicidade comportamental em vários contextos. Ambos podem exigir tratamento de exclusão, e sinais válidos de preferência de exclusão, como o Controle Global de Privacidade, devem ser respeitados quando necessário.

Para cada fornecedor, documente se os dados são usados ​​apenas para fornecer seu serviço, se alimentam publicidade ou conjuntos de dados entre clientes, se dados confidenciais podem aparecer em URLs ou eventos e se as desativações suprimem pixels do navegador e eventos do lado do servidor.