Um guia prático de CCPA vs GDPR

Este guia explica CCPA vs GDPR na prática, com foco em decisões de analytics que respeitam a privacidade.

CCPA vs GDPR não é uma disputa sobre qual lei é “mais rígida” em todas as situações. A melhor questão é como cada lei muda a maneira como você coleta, usa, compartilha e explica dados pessoais.

Para as equipes de análise, a diferença é importante. Uma configuração que parece administrável sob o modelo de opt-out da Califórnia ainda pode falhar na Europa se definir cookies não essenciais antes do consentimento, transferir dados sem salvaguardas ou criar perfis de visitantes sem uma base legal válida.

A diferença central

O GDPR é construído em torno do processamento legal. Antes de processar dados pessoais, uma organização precisa de uma base jurídica, como consentimento, contrato, obrigação legal, interesses vitais, tarefa pública ou interesses legítimos. Também deve seguir princípios como limitação de finalidade, minimização de dados, precisão, limitação de armazenamento, integridade, confidencialidade e responsabilidade (GDPR Artigo 5 e Artigo 6).

A Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela CPRA, concede aos residentes da Califórnia direitos sobre as informações pessoais coletadas pelas empresas cobertas. O Procurador-Geral da Califórnia resume os direitos, incluindo acesso, exclusão, correção, cancelamento de venda ou compartilhamento e limitação do uso e divulgação de informações pessoais confidenciais (página CCPA da California AG).

Resumindo: GDPR pergunta "o que permite esse processamento?" CCPA frequentemente pergunta "quais direitos e avisos os consumidores devem receber e eles podem optar por não vender ou compartilhar?"

Escopo e aplicabilidade

O GDPR pode ser aplicado a organizações fora do EU se elas oferecerem bens ou serviços a pessoas no EU ou monitorarem seu comportamento no EU. Não se limita às grandes empresas. Uma pequena empresa SaaS pode cair na categoria GDPR se atender intencionalmente aos usuários EU.

O CCPA se aplica a empresas com fins lucrativos que fazem negócios na Califórnia e que atendem aos limites legais. Para 2025, o CPPA lista um limiar de receita bruta anual ajustado pela inflação de US$ 26.625.000. Outros limites incluem a compra, venda ou partilha de informações pessoais de 100.000 ou mais residentes ou famílias da Califórnia, ou a obtenção de 50% ou mais da receita anual da venda de informações pessoais de residentes da Califórnia. Organizações sem fins lucrativos e agências governamentais geralmente estão fora do seu escopo.

Essa diferença é importante para as pequenas empresas. Uma startup com clientes EU pode precisar de conformidade com GDPR mesmo que esteja muito abaixo dos limites CCPA.

Dados pessoais versus informações pessoais

Ambas as leis definem os dados cobertos de forma ampla. Nos termos da GDPR, dados pessoais significam informações relativas a uma pessoa identificada ou identificável. Identificadores online podem ser qualificados, incluindo o cookie IDs e identificadores de dispositivos.

O CCPA usa “informações pessoais” e inclui informações que identificam, se relacionam, descrevem ou podem ser razoavelmente vinculadas a um consumidor ou família. A California AG lista exemplos como histórico de navegação na Internet, dados de geolocalização, impressões digitais e inferências que criam um perfil.

Para análises, isso significa que “não coletamos nomes” não é suficiente. Cliente IDs, cookie IDs, publicidade IDs, localização derivada de IP, históricos de eventos e inferências em nível doméstico podem ser importantes.

Consentimento, cancelamento e cookies

O GDPR nem sempre exige consentimento para todas as atividades de processamento, mas o consentimento é fundamental para muitas práticas analíticas e publicitárias. Na Europa, as regras sobre cookies provêm da estrutura ePrivacy implementada pelos estados membros. Cookies não essenciais e tecnologias de rastreamento semelhantes geralmente exigem consentimento prévio.

O consentimento válido do GDPR deve ser dado livremente, específico, informado e inequívoco, e as pessoas devem poder retirá-lo. O CEPD explica que o consentimento requer uma escolha livre genuína, informação suficiente e uma ação afirmativa clara, sem caixas pré-marcadas (orientação sobre consentimento do CEPD).

O CCPA está mais focado nos direitos de exclusão para venda e compartilhamento, incluindo publicidade comportamental em vários contextos. As empresas devem fornecer avisos claros e respeitar os sinais de exclusão, como o Controle Global de Privacidade, quando aplicável. O consentimento torna-se especialmente importante para menores e alguns usos sensíveis, mas a estrutura padrão não é idêntica ao consentimento do cookie GDPR.

Dados confidenciais

A GDPR proíbe geralmente o processamento de categorias especiais de dados pessoais, a menos que se aplique uma exceção do Artigo 9. As categorias especiais incluem dados que revelam a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos utilizados para identificação, dados de saúde e dados relativos à vida sexual ou orientação sexual.

O CCPA dá aos consumidores o direito de limitar o uso e a divulgação de informações pessoais confidenciais. A California AG lista exemplos que incluem identificadores governamentais, credenciais de login de conta, geolocalização precisa, conteúdo de comunicações, dados genéticos, informações biométricas, informações de saúde, vida sexual ou orientação sexual e certas informações raciais, religiosas, filosóficas ou sindicais.

As equipes de análise devem ter cuidado com o contexto da página. Um URL, termo de pesquisa ou nome de evento pode revelar informações confidenciais mesmo quando nenhum formulário é enviado.

Execução e penalidades

As penalidades da GDPR podem atingir até 20 milhões de euros ou 4% do volume de negócios anual mundial, o que for maior, para as infrações mais graves. As autoridades de supervisão também podem ordenar alterações no processamento, suspender transferências e exigir medidas de conformidade.

O CCPA é aplicado pelas autoridades da Califórnia, incluindo a Agência de Proteção à Privacidade da Califórnia e o Procurador-Geral. Também inclui um direito privado limitado de ação para determinadas violações de dados. O risco operacional não é apenas de multas; inclui ordens de execução, ruptura de contrato e perda de confiança.

Transferências Internacionais de Dados

O GDPR detalhou restrições à transferência de dados pessoais para fora do EEA. As transferências podem basear-se em decisões de adequação, cláusulas contratuais-tipo, regras empresariais vinculativas ou derrogações específicas. A Comissão Europeia explica que uma decisão de adequação permite que os dados fluam sem salvaguardas adicionais, enquanto outras transferências podem exigir mecanismos adicionais (Orientações para transferências da Comissão Europeia).

A CCPA não dispõe de regime de transferências transfronteiriças equivalente. É por isso que os fornecedores de análises baseadas em US podem ser um problema muito maior para a conformidade com EU do que para a conformidade na Califórnia.

Lista de verificação analítica para ambas as leis

Use o padrão prático mais rigoroso quando uma configuração atende ambas as regiões: evite cookies e identificadores persistentes, a menos que seja realmente necessário, não envie dados pessoais em URLs ou propriedades personalizadas, forneça avisos claros, respeite as opções de cancelamento e consentimento antes de carregar tags de marketing, separe análises agregadas de sistemas de publicidade, revise contratos de fornecedores e mantenha os períodos de retenção proporcionais.

A arquitetura analítica mais segura é minimizada por dados por padrão. Se você puder responder a perguntas de negócios com medição agregada, sem cookies e própria, você reduzirá o atrito GDPR e CCPA em vez de construir duas máquinas de conformidade separadas.

Lista de verificação de análise de regime duplo

Para a Califórnia, verifique se CCPA se aplica, incluindo o limiar de receita bruta anual de US$ 26.625.000 em vigor em 1º de janeiro de 2025 atualizado do CPPA e analise a venda, o compartilhamento, os dados confidenciais, os avisos, os links de exclusão e o tratamento do Controle de Privacidade Global.

Para a Europa, analise a base legal, o consentimento ou isenção de privacidade eletrônica, as transferências internacionais, os termos do processador e a retenção. Uma configuração de análise compartilhada deve seguir o padrão prático mais rígido: minimizar os dados do evento, evitar identificadores de publicidade, manter os dados pessoais fora do URLs, honrar as escolhas antes que as tags sejam disparadas e reconciliar apenas os resultados de negócios que você realmente precisa.