CCPA Segurança de Dados: O Que Você Precisa Saber

A Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) é uma lei de privacidade que concede aos consumidores e funcionários residentes na Califórnia direitos legais sobre como seus dados são coletados, armazenados, vendidos e compartilhados. A menos que você bloqueie ativamente residentes da Califórnia de visitar seu site ou fazer negócios com você, é necessário respeitar esses direitos para manter a conformidade.

A CCPA entrou em vigor em 1º de janeiro de 2020 e, desde então, foi alterada pela Lei de Direitos de Privacidade da Califórnia (CPRA). A emenda da CPRA, promulgada em janeiro de 2023, adicionou novas disposições, uma agência de fiscalização dedicada e uma nova categoria de dados de "informações pessoais sensíveis".

Qualquer organização com fins lucrativos nos EUA ou globalmente pode ser abrangida (obrigada a cumprir) pela CCPA se:

• Ter trabalhadores localizados na Califórnia
• Fornecer bens ou serviços a pessoas localizadas na Califórnia ou residentes na Califórnia
• Interagir com terceiros que fornecem dados sobre residentes da Califórnia
  

A CCPA não é apenas para empresas da Califórnia. Cumprir a CCPA é um desafio global. Se você faz negócios com residentes da Califórnia (dos quais há pelo menos 39 milhões), você deve cumprir a CCPA, independentemente de onde suas operações estejam baseadas.

Para ser coberto pela CCPA, uma empresa precisará:

(a) Tenha obtido mais de US$ 25 milhões em receita bruta no último ano civil ou

(b) Obtenha 50% ou mais da receita anual com a venda de informações pessoais de consumidores ou

(c) Compartilhar, vender ou comprar as informações pessoais de 100.000 domicílios, consumidores ou dispositivos para fins comerciais.

Assim como acontece com o Regulamento Geral de Proteção de Dados Europeu (GDPR), violar a CCPA expõe sua empresa a penalidades financeiras. Sob a CPRA, a Agência de Proteção da Privacidade da Califórnia (anteriormente o procurador-geral da Califórnia sob a CCPA) pode multar qualquer empresa que viole a CCPA em $2.500 por cada incidente, ou seja, para cada dado pessoal impactado. Esse valor aumenta para $7.500 para cada incidente de segurança de dados envolvendo dados pertencentes a menores ou violações intencionais.

O não cumprimento da CCPA também cria riscos legais. Sob a CCPA, os consumidores têm um direito privado de ação quando há divulgação ou roubo de informações pessoais não criptografadas ou não redigidas. Embora relativamente limitado, isso ainda significa que indivíduos podem processar uma empresa que permite que seus dados sejam expostos durante uma violação de dados.

O Que as Empresas Precisam Fazer para Estar em Conformidade com a CCPA

Estar coberto pela CCPA significa que, para permanecer em conformidade, as empresas devem ser capazes de:

Cumprir com as solicitações de dados do consumidor

A CCPA concede aos consumidores e funcionários o direito de controlar o que acontece com seus dados e esperar que sejam protegidos.

Os consumidores têm o direito de:

• Saber quando suas informações pessoais (IP) estão sendo coletadas e por quê
• Excluir suas informações pessoais após fazer uma solicitação
• Corrigir PI impreciso
• Cancelar a venda ou o compartilhamento de seus dados
• Limitar o que acontece com suas IP
• Receber uma cópia de todas as informações pessoais coletadas sobre eles em um formato que possa ser enviado para outro lugar
• Especificamente, limite o uso de informações pessoais sensíveis (IPS)
• Evite a coleta de dados, a menos que seja para uma finalidade específica, ou seja, dados que não sejam "razoavelmente necessários e proporcionais".

Proteger dados

As empresas também precisam implementar salvaguardas para proteger os dados e resguardá-los de violações de dados. A CCPA define essa obrigação como a implementação de "procedimentos e práticas de segurança razoáveis apropriados à natureza das informações pessoais para proteger as informações pessoais de acesso não autorizado ou ilegal, destruição, uso, modificação ou divulgação."

Para empresas que não têm certeza de por onde começar, o Center for Internet Security (CIS), que lista 18 controles de segurança importantes para uma melhor postura de cibersegurança, pode oferecer alguma orientação. O CIS descreve "proteção de dados" como "processos e controles técnicos para identificar, classificar, manusear com segurança, reter e descartar dados."

Realize avaliações regulares de risco de privacidade

As empresas precisam avaliar regularmente se a forma como processam os dados dos clientes coloca em risco a privacidade dos clientes e enviar os resultados ao órgão regulador. Quaisquer atividades de processamento de dados que apresentem riscos precisarão ser destacadas. Este conceito é semelhante ao processo de Avaliação de Impacto sobre a Proteção de Dados (DPIA) do GDPR.

Definições de Dados da CCPA que Você Precisa Conhecer

Para estar em conformidade com a CCPA, você precisa saber quais dados são cobertos. A CCPA contém mais de 30 definições; você pode ler a lista completa aqui. Algumas definições essenciais de dados cobertos que os líderes de segurança de dados precisam conhecer incluem o seguinte:

• Informações Pessoais (IP). A CCPA define isso como uma ampla gama de dados, incluindo nome completo e endereço de alguém, histórico de compras, histórico de navegação, históricos educacionais e de emprego, registros de voz ou visuais, endereços de e-mail e outras informações de contato, número do Seguro Social, número da carteira de motorista, dados biométricos, histórico de navegação na internet, dados de geolocalização e muito mais.
• Informações Pessoais Sensíveis (IPS). Uma categoria particular de informações pessoais criada pela CPRA, dados pessoais sensíveis referem-se ao número de Seguro Social de alguém, carteira de motorista, documento de identidade estadual ou números de passaporte, bem como dados que expõem as credenciais de conta de alguém, como logins, detalhes de contas financeiras e números de cartões de débito ou crédito juntamente com seus códigos de segurança ou acesso associados, e geolocalização exata.
• Informações Agregadas do Consumidor. Informações relacionadas a um grupo ou categoria de consumidores que não podem ser facilmente rastreadas até um indivíduo.
• Informações Desidentificadas. Dados que não podem ser facilmente vinculados ou usados para coletar informações sobre um consumidor específico. Para qualificar dados como desidentificados, uma empresa deve tomar medidas, incluindo obrigar contratualmente qualquer pessoa com quem os dados sejam compartilhados a garantir que os dados não possam ser conectados a nenhum indivíduo ou domicílio.
• Processamento. Refere-se a qualquer ação, como usar dados para segmentar anúncios ou uma série de ações realizadas com informações pessoais. O processamento pode ser automatizado ou totalmente manual.
• Terceiros. Qualquer empresa ou pessoa que seja diferente da empresa com a qual um consumidor escolheu interagir. Isso não inclui contratados que sejam afiliados à empresa original.
• Identificador Único ou Identificador Pessoal Único. Qualquer etiqueta ou marcador que possa ser usado para reconhecer uma pessoa, sua família ou um dispositivo ao longo do tempo em diferentes serviços. Pode incluir cookies, endereços IP, números de telefone ou números de cliente. Em termos simples, é uma forma de identificar alguém ou seu dispositivo de forma consistente.

Dados Não Cobertos pela CCPA

Embora a CCPA se aplique a muitos tipos diferentes de informações pessoais, ela não cobre informações pessoais de saúde (PHI) coletadas ou processadas por qualquer empresa já coberta pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA). Dados de ensaios clínicos também não são cobertos.

A CCPA não cobre informações disponíveis publicamente, ou seja, dados que podem ser encontrados em registros governamentais federais, estaduais ou locais. Também não inclui informações de consumidores desidentificadas ou agregadas.

Como a Cyera Ajuda Empresas a Cumprir a CCPA

Se você é uma empresa coberta pela CCPA, os consumidores têm o direito de esperar que você:

1. Saiba onde seus dados estão.
2. Estão tratando-o de forma segura com base no que ele é.
3. Não vão deixar que acabe à venda na dark web por meio de uma violação de dados.

A Cyera permite que você responda a essas perguntas para todos os seus dados automaticamente e em escala. A Cyera ajuda empresas a atender aos requisitos da CCPA ao:

• Inventariar todas as suas informações pessoais de acordo com as definições da CCPA.
• Descobrindo e classificando com eficiência informações pessoais confidenciais.
• Sinalizando e abordando instantaneamente potenciais riscos de conformidade com a CCPA.
• Realizando avaliações regulares de risco de privacidade de dados.

Veja como a Cyera pode ajudar a atender à conformidade com a CCPA agendando uma demonstração hoje.