Lei de privacidade da Califórnia começa a valer e é a mais abrangente dos EUA

Foto: Pixabay

O estado norte-americano da Califórnia desde o 1º de janeiro está com uma nova lei de proteção de dados. A California Consumer Privacy Act ou Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma das leis mais abrangentes sobre proteção de dados dos Estados Unidos, e oferece aos californianos uma série de alternativas como exclusão de informações e proibição de vendas de dados. A lei se aplica para empresas que fazem tratamento de dados em negócios online e offline.

Pela nova legislação, fica garantido aos residentes no estado da Califórnia mais controle na proteção de dados, que poderão solicitar que as empresas os excluam. Além disso, o consumidor pode proibir as empresas de venderem informações fazendo esta solicitação através de um link obrigatório "não vender" no site da empresa, mas sem que isso resulte em restrição da prestação de serviços ou direitos oferecidos pela plataforma. É possível ainda aos consumidores o acesso a uma cópia de seus dados enviando "uma solicitação de consumidor verificável" para a empresa.

A lei é direcionada às empresas com uma receita bruta anual superior a U$ 25 milhões que obtiver 50% ou mais de sua receita anual com a venda de informações dos consumidores ou comprar, receber, vender ou compartilhar anualmente as informações pessoais de mais de 50 mil usuários, famílias ou dispositivos para fins comerciais. Isso significa que pelo menos 500 mil empresas deverão cumprir a nova lei, de acordo com a Associação Internacional de Privacidade, organização americana sem fins lucrativos.

Caso uma empresa descumpra alguma regra da CCPA, poderá ser multada de US$ 2.500 a US$ 7.500 por violação. No entanto, a nova legislação californiana também concede às empresas um período de 30 dias para sanar algum problema ou violação após o recebimento da solicitação de um consumidor. A lei é aplicada e fiscalizada pelo procurador geral da Califórnia, que tem até 1º de julho de 2020 para emitir regulamentos sobre como as empresas deverão cumprir as regras da CCPA.

Quando comparada com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a Lei de Privacidade do Consumidor da Califórnia é apelidada de "GPDR-lite", ou seja, com uma carga menos pesada. Isso porque a GDPR possui um escopo mais amplo, afetando todas as empresas que lidam com dados do usuário. Quando o assunto é coleta de dados de crianças, as duas legislações se diferem. De acordo com o GDPR, os pais devem fornecer consentimento para o processamento de dados de crianças menores de 16 anos. A CCPA exige que as empresas obtenham o consentimento de pais de crianças com 13 anos ou menos, enquanto crianças com mais de 13 anos podem fornecer seu próprio consentimento.

Comparado à CCPA, a Lei Geral de Proteção de Dados Pessoais brasileira (LGPD, ou Lei nº 13.709/2018), assim como a GDPR, é mais abrangente. A legislação californiana coloca critérios econômicos e de negócios para adequação a grandes empresas, deixando menores isentas. Por outro lado, as multas aplicadas no Brasil são mais severas, o que tornaria a implementação da legislação da Califórnia mais exequível. Outra diferença é a explicitação da proibição da venda dos dados por meio de link fornecido no site ou por algum outro canal de comunicação pela empresa.

Olhando incidentes de uso indevidos de dados, como o caso Facebook e Cambridge Analytica, as sanções e penalidades contidas na LGPD buscam estimular as empresas a qualificar suas políticas e processos direcionados à privacidade e à proteção dos dados. A lei brasileira impõe multas para cada infração de até 2% do faturamento limitadas a R$ 50 milhões (artigo 52, parágrafo II). A ideia é chamar a atenção dos CEOs das grandes corporações e provocar um movimento ativo na busca de melhores ações de governança de dados pessoais e privacidade.

Na LGPD, o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado sempre buscando o seu melhor interesse, respeitando também a legislação pertinente. Só poderá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Poderão ser coletados dados pessoais de crianças sem o consentimento quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção. Mas mesmo nessa condição, fica o repasse dos dados a terceiros sem o consentimento proibido. Uma regra bem diferente da CCPA.

Para Hayley Tsukayama, da organização EFF (Eletronic Frontier Foudantion), organização internacional que defende direitos digitais, a CCPA é um primeiro passo nos Estados Unidos para a garantia da privacidade dos consumidores, mas tal como está escrita, não faz o suficiente para tratar da coleta de dados. A advogada legal da EFF, Tsukayama acha que a Califórnia tem poucos recursos para fazer cumprir a lei em 2020, e que, apesar de haver direito de o consumidor pedir para retirar os dados (opt-out), as empresas não precisam pedir (opt-in) para coletar as informações.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.