Um guia prático de Quando o CCPA se aplica

Este guia explica Quando o CCPA se aplica na prática, com foco em decisões de analytics que respeitam a privacidade.

Quando o CCPA se aplica? A resposta curta é: quando uma empresa com fins lucrativos coberta faz negócios na Califórnia, coleta informações pessoais dos residentes da Califórnia e atende a pelo menos um limite legal.

A resposta mais longa é importante porque análises de rotina e práticas publicitárias podem contribuir para a análise. Uma empresa não precisa estar sediada na Califórnia para ter obrigações de privacidade na Califórnia.

O teste de aplicabilidade principal

As perguntas frequentes da Agência de Proteção à Privacidade da Califórnia listam os principais limites para uma empresa coberta. A partir das perguntas frequentes públicas atuais do CPPA, a lei se aplica a empresas com fins lucrativos que fazem negócios na Califórnia que coletam informações pessoais de residentes da Califórnia e atendem a pelo menos uma destas condições:

• Receita bruta anual de US$ 26,625 milhões ou mais no ano civil anterior, a partir de 1º de janeiro de 2025.
• Compre, venda ou compartilhe informações pessoais de 100.000 ou mais residentes ou famílias da Califórnia.
• Obtenha 50% ou mais da receita anual com a venda ou compartilhamento de informações pessoais de residentes da Califórnia.

Como o número da receita é ajustado pela inflação, verifique o valor atual com o CPPA em vez de copiar a antiga linguagem de “US$ 25 milhões”. A agência publica limites monetários atualizados e perguntas frequentes (atualização de limite CPPA, FAQ CPPA).

“Fazer negócios na Califórnia” é mais amplo do que ter um escritório

Uma empresa fora da Califórnia ainda pode se enquadrar no escopo se fizer negócios no estado, coletar informações pessoais de residentes da Califórnia e atingir um limite. Para empresas da web, os usuários da Califórnia podem chegar por meio de pesquisa, anúncios pagos, mídia social, inscrições SaaS, pedidos de comércio eletrônico, boletins informativos ou contas de aplicativos.

Os indicadores práticos incluem:

• Venda de produtos ou assinaturas para residentes da Califórnia.
• Direcionamento de anúncios para Califórnia.
• Ter clientes ou usuários na Califórnia.
• Envio de mercadorias para a Califórnia.
• Oferecer serviços disponíveis para residentes da Califórnia.
• Coleta de dados analíticos do California visitors em escala.

Se você estiver perto de um limite, procure aconselhamento jurídico. As decisões de escopo podem afetar avisos de privacidade, links de exclusão, contratos e fluxos de trabalho de direitos de dados.

O que conta como informação pessoal?

A definição CCPA é ampla. As informações pessoais podem incluir identificadores, identificadores online, endereços IP, histórico de navegação, histórico de pesquisa, dados de geolocalização, informações comerciais e inferências. A página CCPA do Procurador Geral da Califórnia resume os direitos do consumidor e links para a estrutura legal (California OAG).

Para equipes de análise, isso significa que as informações pessoais podem incluir:

• Identificadores de cookies.
• Identificadores de dispositivos.
• Localização derivada de IP.
• Históricos de visualizações de páginas.
• Parâmetros de campanha.
• Eventos de produtos vinculados à conta.
• Dados de publicidade em vários contextos.

Mesmo que o painel seja agregado, o pipeline de dados subjacente poderá processar informações pessoais.

Como a análise pode afetar os limites

O limite de 100.000 consumidores ou famílias é aquele que muitas equipes digitais ignoram. Sites de alto tráfego podem atingir esse número por meio de visitas normais. Se análises, pixels ou gerenciadores de tags coletarem informações pessoais de residentes da Califórnia, esses visitors poderão contar para a análise do volume de dados.

O limite de venda/compartilhamento também é importante. O “compartilhamento” sob o CPRA está vinculado à publicidade comportamental em vários contextos. Se você divulgar informações pessoais a plataformas de anúncios para retargeting ou construção de público, poderá ter obrigações de exclusão, mesmo que nenhum dinheiro mude de mãos.

Isenções e limites comuns

O CCPA não se aplica a todas as organizações ou a todos os tipos de dados. As agências governamentais e muitas organizações sem fins lucrativos estão geralmente fora da definição de negócio principal. Algumas informações regulamentadas por leis específicas do setor podem ser isentas ou tratadas de forma diferente. Os contextos de emprego e de contato comercial mudaram sob o CPRA e devem ser revisados ​​cuidadosamente, em vez de serem considerados isentos.

Não confie numa lista genérica de isenções sem verificar a legislação atual e o fluxo de dados específico.

Uma lista de verificação do escopo do proprietário do site

Use esta avaliação:1. Somos uma entidade com fins lucrativos? 2. Fazemos negócios na Califórnia? 3. Coletamos informações pessoais de residentes da Califórnia? 4. Estamos acima do atual limite de receitas? 5. Compramos, vendemos ou compartilhamos informações pessoais de 100.000 ou mais residentes ou famílias da Califórnia? 6. Obtemos 50% ou mais de receita com a venda ou compartilhamento de informações pessoais? 7. Nossas ferramentas analíticas ou de publicidade divulgam dados a terceiros? 8. Usamos publicidade comportamental em vários contextos? 9. Respeitamos os sinais de preferência de exclusão quando necessário? 10. Nossa política de privacidade e contratos estão atualizados?

Por que a análise que prioriza a privacidade ajuda

Se sua configuração de análise evitar cookies, identificadores persistentes, armazenamento IP completo, criação de perfil entre sites e compartilhamento de dados publicitários, a análise CCPA se tornará mais simples. Você ainda pode ser uma empresa coberta por causa de outras operações, mas o próprio sistema de análise cria menos obrigações e menos casos extremos de direitos do usuário.

Para empresas em crescimento, esse é o ponto estratégico. Projete análises para que elas respondam às questões de negócios sem aproximá-lo de limites de privacidade evitáveis ​​ou da complexidade de "venda/compartilhamento".

Como estimar os limites de visitantes

Não espere até ao final do ano para estimar se o limite de 100.000 consumidores ou agregados familiares pode ser importante. Use uma revisão mensal conservadora para o tráfego da Califórnia. Combine análises da web, logs de servidor, inscrições de contas, registros newsletter e públicos de plataforma de anúncios quando relevante. Desduplicar somente quando você tiver um método defensável; a desduplicação excessivamente confiante pode ocultar riscos.

Também separe a coleta do compartilhamento. Um site de alto tráfego que usa análises agregadas primárias pode ter um perfil de obrigação diferente de um site de baixo tráfego que envia identificadores a redes de anúncios para publicidade comportamental em vários contextos. Mantenha uma nota simples ao lado de cada rastreador principal: coleta informações pessoais, compartilha para publicidade, honra a exclusão e oferece suporte à exclusão. Isso torna a análise de escopo muito mais fácil quando o negócio cresce.

Lista de verificação de revisão de escopo da CCPA

Revise a pergunta de escopo trimestralmente se o tráfego, os gastos com publicidade, a receita ou o tamanho do público na Califórnia estão crescendo. Verifique a página atual do limite CPPA, faça uma estimativa conservadora dos consumidores ou famílias da Califórnia e separe a coleta comum da venda ou compartilhamento para publicidade comportamental em vários contextos.

Para análises, revise pixels de publicidade, destinos do gerenciador de tags, conversão do lado do servidor APIs, fornecedores de enriquecimento, propriedades de eventos, links de cancelamento, tratamento de controle de privacidade global, limites de dados confidenciais, contratos de fornecedores e retenção. Se a análise agregada responder à questão comercial, use-a em vez do compartilhamento no nível do visitante.