Segurança de dados da CCPA: o que você precisa saber

A Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPAA Lei de Privacidade da Califórnia (California Privacy Security Act - RPDA) garante aos consumidores e funcionários residentes na Califórnia direitos legais sobre como seus dados são coletados, armazenados, vendidos e compartilhados. A menos que você impeça ativamente que residentes da Califórnia acessem seu site ou façam negócios com você, é necessário respeitar esses direitos para manter a conformidade com a lei.
A CCPA entrou em vigor em 1º de janeiro de 2020 e, desde então, foi alterada pela Lei de Direitos de Privacidade da Califórnia (CPRA). A alteração da CPRA, promulgada em janeiro de 2023, adicionou novas disposições, uma agência de fiscalização dedicada e uma nova categoria de dados: "informações pessoais sensíveis".
Qualquer organização com fins lucrativos nos EUA ou globalmente pode estar sujeita (ser obrigada a cumprir) a CCPA se:
- Possui funcionários localizados na Califórnia.
- Fornecer bens ou serviços a pessoas localizadas na Califórnia ou residentes na Califórnia.
- Interagir com terceiros que fornecem dados sobre residentes da Califórnia
A CCPA não se aplica apenas a empresas da Califórnia. Cumprir a CCPA é um desafio global. Se você faz negócios com residentes da Califórnia (que somam pelo menos 39 milhões), você deve cumprir a CCPA, independentemente de onde suas operações estejam localizadas.
Para estar abrangida pela CCPA, uma empresa precisará:
(a) Ter faturado mais de 25 milhões de dólares em receita bruta no último ano civil ou
(b) Obter 50% ou mais da receita anual com a venda de informações pessoais dos consumidores ou
(c) Compartilhar, vender ou comprar as informações pessoais de 100.000 domicílios, consumidores ou dispositivos para fins comerciais.
Assim como no Regulamento Geral de Proteção de Dados Europeu (RGPDA violação da CCPA expõe sua empresa a penalidades financeiras. De acordo com a CPRA, a Agência de Proteção à Privacidade da Califórnia (anteriormente o procurador-geral da Califórnia sob a CCPA) pode multar qualquer empresa que viole a CCPA em US$ 2.500 por incidente, ou seja, por cada dado pessoal afetado. Esse valor aumenta para US$ 7.500 por incidente de segurança de dados envolvendo dados de menores ou violações intencionais.
O descumprimento da CCPA também acarreta riscos legais. De acordo com a CCPA, os consumidores têm o direito de entrar com uma ação judicial privada quando há divulgação ou roubo de informações pessoais não criptografadas ou não anonimizadas. Embora relativamente limitado, isso ainda significa que os indivíduos podem processar uma empresa que permite que seus dados sejam expostos durante uma transação. violação de dados.
O que as empresas precisam fazer para estar em conformidade com a CCPA
Estar sujeito à CCPA significa que, para permanecer em conformidade, as empresas devem ser capazes de:
Atender às solicitações de dados do consumidor
A CCPA concede aos consumidores e funcionários o direito de controlar o que acontece com seus dados e de esperar que eles sejam protegidos.
Os consumidores têm direito a:
- Saiba quando e por que suas informações pessoais estão sendo coletadas.
- Excluir suas informações pessoais após fazer uma solicitação
- Corrigir PI impreciso
- Opte por não permitir que seus dados sejam vendidos ou compartilhados.
- Limitar o que acontece com seus PIs
- Receba uma cópia de todas as informações pessoais coletadas sobre você em um formato que possa ser enviado para outro lugar.
- Especificamente, limite o uso de informações pessoais sensíveis (IPS).
- Evite a coleta de dados, a menos que seja para uma finalidade específica, ou seja, dados que não sejam "razoavelmente necessários e proporcionais".
Proteger dados
As empresas também precisam implementar medidas de segurança para proteger os dados contra violações. A CCPA define essa obrigação como a implementação de "procedimentos e práticas de segurança razoáveis e adequados à natureza das informações pessoais para protegê-las contra acesso, destruição, uso, modificação ou divulgação não autorizados ou ilegais".
Para empresas que não sabem por onde começar, o Centro para Segurança da Internet (CIS)A lista de 18 controles de segurança importantes para uma melhor postura de cibersegurança, apresentada no CIS, pode oferecer algumas orientações. O CIS descreve a “proteção de dados” como “processos e controles técnicos para identificar, classificar, manusear, reter e descartar dados com segurança”.
Realizar avaliações regulares de risco à privacidade.
As empresas precisam avaliar regularmente se a forma como processam os dados dos clientes coloca em risco a privacidade destes e submeter os resultados ao órgão regulador. Quaisquer atividades de processamento de dados que apresentem risco deverão ser destacadas. Este conceito é semelhante ao processo de Avaliação de Impacto sobre a Proteção de Dados (AIPD) do RGPD.
Definições de dados da CCPA que você precisa conhecer
Para estar em conformidade com a CCPA, você precisa saber quais dados são abrangidos. A CCPA contém mais de 30 definições; você pode ler o documento completo aqui. Lista completa aquiAlgumas definições essenciais de dados abrangidos que os líderes de segurança de dados precisam conhecer incluem as seguintes:
- Informações Pessoais (IP). A CCPA define isso como uma ampla gama de dados, incluindo nome completo e endereço, histórico de compras, histórico de navegação, histórico educacional e profissional, gravações de voz ou vídeo, endereços de e-mail e outras informações de contato, número do Seguro Social, número da carteira de motorista, dados biométricos, histórico de navegação na internet, dados de geolocalização e muito mais.
- Informações Pessoais Sensíveis (IPS). Uma categoria específica de informações pessoais criada pela CPRA, os dados pessoais sensíveis referem-se ao número do Seguro Social, carteira de motorista, documento de identidade estadual ou número do passaporte de alguém, bem como dados que expõem as credenciais de conta de alguém, como logins, detalhes de contas financeiras e números de cartão de débito ou crédito, juntamente com seus códigos de segurança ou acesso associados e geolocalização exata.
- Informações agregadas do consumidor. Informações relativas a um grupo ou categoria de consumidores que não podem ser facilmente rastreadas até um indivíduo.
- Informação anonimizada. Dados que não podem ser facilmente vinculados ou usados para coletar informações sobre um consumidor específico. Para que os dados sejam considerados anonimizados, uma empresa deve tomar medidas, incluindo a obrigação contratual de todos com quem os dados são compartilhados, para garantir que os dados não possam ser vinculados a nenhum indivíduo ou domicílio.
- Processamento. Isso se refere a qualquer ação, como usar dados para direcionar anúncios ou uma série de ações realizadas com informações pessoais. O processamento pode ser automatizado ou totalmente manual.
- Terceiro. Qualquer empresa ou pessoa que seja diferente da empresa com a qual o consumidor escolheu interagir. Isso não inclui contratados afiliados à empresa original.
- Identificador único ou Identificador Pessoal Único. Qualquer etiqueta ou marcador que possa ser usado para reconhecer uma pessoa, sua família ou um dispositivo ao longo do tempo em diferentes serviços. Isso pode incluir cookies, endereços IP, números de telefone ou números de clientes. Em termos simples, é uma forma de identificar alguém ou seu dispositivo de forma consistente.
Dados não abrangidos pela CCPA
Embora a CCPA se aplique a muitos tipos diferentes de informações pessoais, ela não abrange informações pessoais de saúde (PHI) coletados ou processados por qualquer empresa já abrangida pela Lei de Portabilidade e Responsabilidade do Seguro Saúde (Health Insurance Portability and Accountability Act - HIPAA)HIPAAOs dados de ensaios clínicos também não estão incluídos.
A CCPA não abrange informações publicamente disponíveis, ou seja, dados que podem ser encontrados em registros governamentais federais, estaduais ou locais. Também não inclui informações de consumidores anonimizadas ou agregadas.
Como a Cyera ajuda as empresas a cumprirem a CCPA
Se a sua empresa estiver sujeita à CCPA, os consumidores têm o direito de esperar que você:
- Saiba onde estão os dados deles.
- Estão tratando-o com segurança, de acordo com o que ele é.
- Não vamos deixar que isso acabe à venda na dark web por meio de uma violação de dados.
A Cyera permite que você responda a essas perguntas para todos os seus dados de forma automática e em grande escala. A Cyera ajuda empresas a atender aos requisitos da CCPA. por:
- Inventariar todas as suas informações pessoais de acordo com as definições da CCPA.
- Descobrir e classificar informações pessoais sensíveis de forma eficiente.
- Identificação e resolução instantâneas de potenciais riscos de não conformidade com a CCPA.
- Realizar avaliações regulares de risco à privacidade de dados.
Veja como a Cyera pode ajudar a atender aos requisitos de conformidade da CCPA. agendar uma demonstração hoje.


