Índice
Visão geral
Link do título do texto

Por Que a Segurança de Dados É Essencial para a Conformidade com a CCPA

Sep 25, 2024
Por Que a Segurança de Dados É Essencial para a Conformidade com a CCPA

A Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) é uma lei de privacidade que concede aos consumidores e funcionários na Califórnia direitos legais sobre como seus dados são coletados, armazenados, vendidos e compartilhados. Esta lei é um marco significativo nos cenários de privacidade de dados e proteção ao consumidor do país, afetando diretamente os consumidores residentes na Califórnia.

A CCPA exige que as organizações respeitem os direitos legais dos residentes da Califórnia de gerenciar seus dados—concedendo-lhes maior controle sobre suas informações pessoais.

De acordo com a CCPA, os consumidores têm o direito de saber sobre os dados pessoais coletados sobre eles, a finalidade para a qual são usados e com quem são compartilhados.

Os californianos também têm o direito de solicitar a exclusão de seus dados, de optar por não participar da venda de suas informações pessoais e de receber serviço e preço iguais das empresas—mesmo que exerçam seus direitos de privacidade.

A CCPA foi promulgada em 1º de janeiro de 2020 e, desde então, foi atualizada pela Lei de Direitos de Privacidade da Califórnia (CPRA). A emenda e expansão da CPRA, promulgada em janeiro de 2023, adicionou novas disposições, uma agência de fiscalização dedicada e uma nova categoria de dados de "informações pessoais sensíveis".

Não conformidade com a CCPA

Quando as organizações são consideradas não conformes com a CCPA, elas podem enfrentar multas pesadas, penalidades e danos à reputação.

Sob a CPRA, a Agência de Proteção à Privacidade da Califórnia (anteriormente o procurador-geral da Califórnia sob a CCPA) pode multar qualquer empresa que violar a CCPA em $2.500 por violação, ou seja, para cada dado pessoal impactado. Esse valor aumenta para $7.500 para cada incidente de segurança de dados envolvendo informações pessoais (IP) de menores ou violações intencionais.

O não cumprimento da CCPA também cria riscos legais.

Sob a CCPA, os consumidores têm um direito privado de ação quando há divulgação ou roubo de informações pessoais não criptografadas ou não editadas. Embora relativamente limitado, isso ainda significa que indivíduos podem processar uma empresa que permite que seus dados sejam expostos durante uma violação de dados. Deve-se observar que o direito privado de ação se aplica especificamente a violações de certos tipos de informações pessoais não criptografadas e não editadas devido à falha de uma empresa em manter medidas de segurança razoáveis.

O Que Constitui Informações Pessoais

Informações pessoais são definidas pela CCPA como "informações que identificam, se relacionam, descrevem, são razoavelmente capazes de serem associadas ou poderiam razoavelmente ser vinculadas, direta ou indiretamente, a um consumidor ou domicílio específico."

As categorias de informações pessoais incluem:

  • Identificadores como nome, identificador pessoal único, identificador online, endereço IP, número de seguridade social, número da carteira de motorista, número do passaporte, etc.
  • Registros de clientes com informações como endereço, número de telefone, número da apólice de seguro, histórico de emprego e número da conta bancária
  • Características de classificações protegidas sob a lei da Califórnia ou federal
  • Informações comerciais
  • Informações biométricas como cor do cabelo, impressões digitais, escaneamentos de retina
  • Informações de atividade na Internet ou em outras redes eletrônicas, como histórico de navegação e histórico de pesquisa
  • Dados de geolocalização
  • Informações de áudio, eletrônicas, visuais, térmicas, olfativas ou similares
  • Informações profissionais ou relacionadas ao emprego
  • Informações educacionais
  • Inferências

Dada a definição ampla da lei sobre informações pessoais e os extensos direitos que ela concede aos consumidores, as empresas devem adotar uma abordagem abrangente para a gestão de dados.

Eles devem garantir que possuam os processos e sistemas para responder às solicitações dos consumidores, proteger informações pessoais e manter registros detalhados das atividades de processamento de dados.

Determinando suas Obrigações de Conformidade com a CCPA

A conformidade com a CCPA é crucial para organizações em qualquer lugar do mundo que atendam ao seguinte—não apenas aquelas sediadas na Califórnia ou nos Estados Unidos:

  • Ter trabalhadores localizados na Califórnia
  • Fornecer bens ou serviços a pessoas localizadas na Califórnia ou residentes na Califórnia
  • Interagir com terceiros que fornecem dados sobre residentes da Califórnia
  • Qualquer entidade com fins lucrativos que tenha:
  • Faturou mais de US$ 25 milhões em receita bruta anual no último ano calendáriosome text
    • Recebeu 50% ou mais da receita anual da venda de informações pessoais de consumidores
    • Compartilhou, vendeu ou comprou as informações pessoais de 100.000 domicílios, consumidores ou dispositivos para fins comerciais

De acordo com o Estado da Califórnia, "a CCPA geralmente não se aplica a organizações sem fins lucrativos ou agências governamentais."

A conformidade com a CCPA é um desafio global porque a lei se aplica a empresas com fins lucrativos independentemente da localização, desde que vendam suas ofertas para californianos.

Navegando pelos Requisitos da CCPA: O Que Você Precisa Saber

Vamos detalhar os principais requisitos da CCPA, em termos de disposições sobre direitos do consumidor, medidas de proteção de dados e obrigações de notificação.

Disposições sobre Direitos do Consumidor

De acordo com a CCPA, os residentes da Califórnia têm diversos direitos fundamentais em relação às suas informações pessoais (IP), que as empresas devem respeitar:

  1. Direito de saber: As empresas devem divulgar as informações pessoais que coletam, as finalidades para as quais as informações pessoais são usadas e se são usadas para a venda de informações pessoais ou estão sendo compartilhadas, mediante solicitação do consumidor. Eles também têm o direito de receber uma cópia de todas as informações pessoais coletadas sobre eles em um formato que possa ser enviado para outro lugar.
  2. Direito de exclusão: Os consumidores podem enviar solicitações às empresas para que suas informações pessoais sejam excluídas.
  3. Direito de recusar: Os consumidores têm o direito de recusar a venda ou o compartilhamento de suas informações pessoais por empresas. Para menores de 16 anos, é necessário consentimento afirmativo para vender suas informações pessoais. Eles também têm o direito de evitar a coleta de dados, a menos que seja para uma finalidade específica, ou seja, dados que não sejam "razoavelmente necessários e proporcionais".
  4. Direito à não discriminação: As empresas não podem discriminar consumidores que exercem seus direitos da CCPA negando bens ou serviços ou cobrando preços diferentes.

A partir de 1º de janeiro de 2023, os consumidores têm novos direitos além dos mencionados acima, tais como:

  1. O direito de corrigir informações pessoais imprecisas que uma empresa possui sobre eles; e
  2. O direito de limitar o uso e a divulgação de informações pessoais sensíveis coletadas sobre eles.

Medidas de Proteção de Dados

As empresas precisam implementar salvaguardas para proteger e resguardar dados contra violações de dados. A CCPA define essa obrigação como a implementação de "procedimentos e práticas de segurança razoáveis apropriados à natureza das informações pessoais para proteger as informações pessoais contra acesso não autorizado ou ilegal, destruição, uso, modificação ou divulgação."

Para empresas que não sabem por onde começar, o NIST Cybersecurity Framework "oferece uma taxonomia de resultados de cibersegurança de alto nível que pode ser usada por qualquer organização — independentemente de seu tamanho, setor ou maturidade — para melhor compreender, avaliar, priorizar e comunicar seus esforços de cibersegurança."

Obrigações de Notificação

As empresas sujeitas à CCPA têm várias obrigações de notificação ou avisos de privacidade, incluindo:

  • Aviso no momento da coleta: No momento ou antes da coleta de informações pessoais, as empresas devem fornecer aos consumidores um aviso que explique as categorias de informações pessoais a serem coletadas e as finalidades para as quais serão utilizadas.
Ilustração representando a abordagem da Cyera para segurança de dados em conformidade com a CCPA
  • Atualizações da política de privacidade: As empresas devem atualizar suas políticas de privacidade pelo menos uma vez a cada 12 meses, detalhando as informações exigidas pela CCPA, como uma descrição dos direitos dos consumidores e as categorias de informações pessoais coletadas.
  • Avisos de exclusão: As empresas que vendem informações pessoais devem fornecer aviso claro e visível informando os consumidores sobre seu direito de optar por não participar da venda de suas informações pessoais.

Superando Desafios Comuns de Conformidade com a CCPA

Vamos explorar alguns desafios típicos que as organizações enfrentam para alcançar a conformidade com a CCPA, especialmente em relação ao gerenciamento de inventário de dados, compartilhamento de dados com terceiros e manutenção de padrões de segurança de dados.

Gerenciamento de Inventário de Dados

Muitas organizações têm um ecossistema de dados complexo e de grande escala. Como tal, elas enfrentam dificuldades para desenvolver um inventário abrangente de todos os dados em seu sistema—sem mencionar que eles podem estar dispersos em diferentes departamentos, sistemas e soluções de armazenamento.

As organizações podem implementar ferramentas e práticas de mapeamento de dados que identifiquem e classifiquem informações pessoais para superar esse desafio, juntamente com listas de verificação de conformidade, auditorias regulares e atualizações do inventário de dados.

Compartilhamento de Dados com Terceiros

A CCPA exige que as organizações gerenciem cuidadosamente as informações pessoais que compartilham com terceiros, garantindo que esses terceiros cumpram as disposições da CCPA. No entanto, quando uma organização lida com vários terceiros, cada um com suas práticas exclusivas de tratamento e segurança de dados, isso se torna um desafio ainda maior.

As organizações devem realizar a devida diligência sobre seus terceiros para garantir que eles tenham medidas adequadas de privacidade e segurança. Contratos e acordos com terceiros devem delinear explicitamente os requisitos de conformidade com a CCPA.

Auditorias ou avaliações regulares também devem monitorar a conformidade de terceiros, juntamente com a identificação das categorias de terceiros para determinar os dados compartilhados de uma perspectiva de divulgação.

Mantendo os Padrões de Segurança de Dados

A CCPA determina que as empresas implementem medidas de segurança razoáveis para proteger as informações pessoais que coletam. No entanto, as ameaças cibernéticas e a forma como evoluem constantemente tornam a conformidade com a CCPA um desafio contínuo.

As organizações podem enfrentar esse desafio implementando um programa abrangente de cibersegurança que inclui avaliações regulares de risco, programas de treinamento de funcionários, planos de resposta a incidentes e implantação de tecnologias de segurança avançadas.

Abordagens Estratégicas para Conformidade com a CCPA

Para atender aos requisitos da CCPA (Lei de Privacidade do Consumidor da Califórnia) de forma eficaz, as organizações devem adotar abordagens estratégicas que se concentrem em práticas de descoberta, classificação e governança de dados.

Descoberta Abrangente de Dados

Entenda as informações pessoais que você coleta, armazena e processa por meio de um processo completo de descoberta de dados.

Aproveitar plataformas de segurança de dados como a Cyera pode simplificar e acelerar significativamente o processo de descoberta de dados para informar onde seus dados (estruturados e não estruturados) estão armazenados e quem tem acesso a eles. Essas ferramentas descobrem dados ocultos dos quais você talvez ainda não tenha conhecimento, ao mesmo tempo em que identificam riscos em tempo real.

Classificação de Dados

Classifique os dados com base em seu nível de sensibilidade e relevância para os regulamentos da CCPA. A classificação de dados revoluciona o gerenciamento de dados ao ajudar as organizações a entender o valor e o risco associados aos seus dados. Plataformas específicas como a Cyera possuem classificação alimentada por IA que classifica seus dados com precisão sem ajustes manuais.

Implementando Estruturas Robustas de Governança de Dados

As estruturas de governança de dados desempenham um papel crítico na conformidade com a CCPA, pois ajudam a organizar, proteger e padronizar dados em toda a organização. Elas estabelecem políticas e procedimentos claros para o gerenciamento de dados, incluindo como os dados são coletados, armazenados, usados e compartilhados.

A governança de dados eficaz garante que todas as práticas de manuseio de dados estejam alinhadas com os regulamentos da CCPA e outras leis relevantes, mitigando assim o risco de não conformidade.

Aproveitando Plataformas de Segurança de Dados para Conformidade com a CCPA

Para se tornarem conformes com a CCPA, as organizações podem aproveitar plataformas de segurança de dados que oferecem soluções abrangentes para descoberta automatizada de dados, avaliação de riscos e proteção de dados.

Inventário de Informações Pessoais

Compreender o escopo e a natureza das informações pessoais (PI) que uma organização coleta, processa e armazena é um dos fundamentos centrais da CCPA.

As plataformas de segurança de dados facilitam isso ao automatizar o processo de descoberta de dados. Elas verificam os repositórios de dados da organização em vários ambientes – IaaS/PaaS/SaaS e on-prem – para identificar e categorizar informações pessoais e informações pessoais sensíveis relevantes para a CCPA. Essa automação economiza tempo e recursos significativos, aumenta a visibilidade dos dados e minimiza o risco de erro humano ou negligência.

Avaliação de Risco

As plataformas de segurança de dados oferecem recursos automatizados de avaliação de riscos que avaliam as vulnerabilidades e ameaças potenciais à confidencialidade, integridade e disponibilidade das informações pessoais. Essas avaliações são cruciais para identificar e priorizar áreas de alto risco que exigem atenção imediata e recomendar medidas de segurança para mitigar os riscos identificados.

Proteção de Dados

Plataformas de segurança de dados fornecem uma variedade de recursos de proteção de dados projetados para proteger informações pessoais contra acesso não autorizado e ameaças cibernéticas, fornecendo insights sobre medidas de segurança críticas, como criptografia, controles de acesso, mascaramento de dados, hashing de dados e muitas outras funcionalidades essenciais que ajudam a proteger dados sensíveis.

Cyera: Simplificando a Conformidade com a CCPA para Organizações

Se você é uma empresa coberta pela CCPA, os consumidores têm o direito de esperar que você:

  • Saiba onde estão suas informações pessoais
  • Aplicar controles de segurança apropriados às informações pessoais
  • Responder aos direitos de privacidade do consumidor (por exemplo, solicitação de acesso ou exclusão)

A Cyera ajuda você a responder essas perguntas para todos os seus dados automaticamente e em escala. A Cyera ajuda empresas a atender aos requisitos da CCPA ao:

  • Inventariar todas as informações pessoais de acordo com as definições da CCPA
  • Classificando com eficiência informações pessoais e informações pessoais sensíveis
  • Sinalização e alerta instantâneos sobre possíveis riscos de conformidade de privacidade

A plataforma de segurança de dados da Cyera fornece contexto profundo sobre seus dados, permitindo que você aplique os controles corretos para demonstrar conformidade com a privacidade.

Garantindo a Conformidade de Longo Prazo com a CCPA

As práticas contínuas de dados e o monitoramento do cenário regulatório devem estar no topo das prioridades de qualquer organização para garantir a conformidade a longo prazo e se adaptar rapidamente a quaisquer mudanças ou atualizações.

Aproveitar plataformas de segurança de dados como a Cyera para permitir o gerenciamento eficaz de dados, realizar auditorias e avaliações regulares e aplicar políticas de governança rigorosas é crucial para manter a transparência e a responsabilidade.

Quando isso é apoiado por treinamento contínuo de funcionários sobre os requisitos da CCPA e as melhores práticas de privacidade de dados, as organizações são capacitadas a promover uma cultura de conscientização sobre privacidade e conformidade.

Garanta Sua Jornada de Conformidade com a CCPA com a Cyera

A conformidade com a CCPA não é apenas um requisito regulatório, mas um componente crítico do compromisso de uma organização em respeitar e proteger os dados do consumidor.

A plataforma de segurança de dados da Cyera oferece um caminho para atender aos rigorosos requisitos da CCPA, garantindo que sua organização possa gerenciar e proteger informações pessoais de forma eficaz e com confiança.

Para aqueles que buscam simplificar sua conformidade com a CCPA e aprimorar sua postura de segurança de dados, descubra como a Cyera pode fortalecer seus esforços de privacidade de dados e capacitá-lo a alcançar a conformidade com a CCPA.

Agende uma demonstração hoje.

Tópico

Produto

Compartilhar

Analise este artigo com IA:
chatgpt Summarize in ChatGPT
Copy Prompt & Open Claude
Summarize in Claude
Ask Perplexity
grok--v2 Copy Prompt & Open Grok
grok--v2 Summarize in Grok

Recursos relacionados

Texto do Botão
BLOG

Nov 19, 2025

Nov 19, 2025

Neta Evan

Mantendo o ímpeto do DataSecAI25: Apresentando o portal DataSecai

Mantendo o ímpeto do DataSecAI25: Apresentando o portal DataSecai

BLOG

Nov 19, 2025

Nov 19, 2025

Paul Brettle

Tal Eisner

Protegendo agentes de IA com Cyera e Microsoft Copilot Studio

Protegendo agentes de IA com Cyera e Microsoft Copilot Studio

BLOG

Nov 18, 2025

Nov 18, 2025

Ruchita Patankar

Preenchendo a lacuna de habilidades de segurança cibernética: por que serviços gerenciados como o DataWatcher da Cyera são essenciais

Preenchendo a lacuna de habilidades de segurança cibernética: por que serviços gerenciados como o DataWatcher da Cyera são essenciais

Experimente a Cyera

Para proteger seu dataverse, primeiro você precisa descobrir o que ele contém. Deixe-nos ajudar.

Obtenha uma demonstração →
Decorative