Onde estamos

Al. Joaquim Eugênio de Lima, 680 - 1º andar - Jardim Paulista, São Paulo - SP

Entre em contato

Fonte: Opice Blum, Bruno e Vainzof Advogados Associados

A CPRA (California Privacy Rights Act) vai alterar e substituir a CCPA (California Consumer Privacy Act) a partir de 1º de janeiro de 2023. A nova legislação da Califórnia se baseia na estrutura construída pela CCPA, expandindo os direitos de privacidade do consumidor para que estejam mais alinhados com o GDPR, o regulamento europeu de proteção de dados. Além disso, impõe obrigações adicionais às empresas e estabelece a primeira agência dos Estados Unidos dedicada exclusivamente à regulamentação e aplicação das normas de proteção de dados do consumidor.

A California Privacy Protection Agency (CPPA) terá competência para investigar violações à CPRA, quando essa legislação entrar em vigor, bem como fazer cumprir suas normas por meio de ações administrativas. Poderá ainda criar regras dentro do seu escopo de atuação.

Veja abaixo alguns pontos de atenção da CPRA, de acordo com o site Lexology.

1) Adição da subcategoria “dados pessoais sensíveis”
A CPRA mantém as 11 categorias de dados pessoais da CCPA, com a adição da subcategoria “dados pessoais sensíveis”. Os consumidores terão seus direitos fortalecidos, na visão do site Lexology, no tratamento em que os dados pessoais sensíveis estiverem envolvidos, incluindo o direito de limitar o uso e a divulgação de tais dados.

Os dados sensíveis incluem seguro social, carteira de motorista, identidade estadual e número de passaporte; informação de login, incluindo a senha; localização geográfica precisa de um consumidor; origem racial ou étnica, crença religiosa ou filiação a sindicato; conteúdo da correspondência, do e-mail ou do texto de autoria do consumidor, a menos que a empresa seja a destinatária pretendida por ele; informação genética do consumidor, assim como biométrica, de saúde, de vida e de orientação sexual.

2) Nova definição de terceiro
A CPRA adiciona nova definição de terceiro, que exclui prestadores de serviços e qualquer empresa com a qual o consumidor interaja intencionalmente e que colete informações sobre ele como parte da interação. É direito do consumidor optar por não compartilhar suas informações com terceiros.

3) Nova definição (com possibilidade de limitação) do chamado “profiling”
A CPRA define “profiling” como qualquer forma de processamento automatizado de dados pessoais com fins de análise ou de previsão das preferências de uma pessoa, de sua situação econômica, do seu desempenho no trabalho, da sua saúde, dos seus interesses, do seu comportamento, da sua localização, da sua confiabilidade ou dos seus movimentos.

O “profiling” pode agora ser parcialmente limitado pelos titulares dos dados por meio do direito de limitar o uso e a divulgação de dados sensíveis para fins comerciais. Os especialistas reconhecem que essa alteração pode ter implicações significativas em como a Inteligência Artificial será usada.

4) Limitação do armazenamento dos dados
A CPRA exige que os consumidores sejam informados pelas empresas sobre o período que elas pretendem armazenar cada categoria de dados pessoais, incluindo a subcategoria de sensíveis.

Se por algum motivo não for possível especificar o período, a empresa deve, no mínimo, informar os critérios usados para determinar o período de armazenamento. Em nenhum caso, a empresa pode armazenar os dados do consumidor por mais tempo do que o necessário para o propósito de coleta/tratamento informado.

5) Direito de correção dos dados pessoais
A CPRA adiciona um novo direito ao titular dos dados: o de correção dos dados imprecisos. As empresas agora serão obrigadas a adicionar um aviso do direito de correção ou retificação às divulgações de suas políticas de privacidade, bem como implementar políticas e procedimentos para responder satisfatoriamente a essas solicitações.

6) Inclusão da não retaliação
A CPRA inclui a proibição de retaliação por parte da empresa contra um funcionário ou candidato a emprego pelo exercício dos seus direitos de proteção aos dados pessoais.

7) Direito de limitação do uso e da divulgação de dados pessoais sensíveis
Essas informações devem ser divulgadas pela empresa separadamente no aviso de privacidade. Os consumidores devem ser informados sobre elas, assim como a possibilidade de exercer seus direitos, limitando o uso e a divulgação dos dados sensíveis.

8) Novos requisitos de contrato para as pessoas que recebem dados pessoais
A CPRA prevê novos requisitos de contrato para as pessoas que recebem dados pessoais, incluindo venda e compartilhamento, bem como para prestadores de serviço. O contrato deve agora especificar, entre outras exigências, que as informações são fornecidas para fins limitados e específicos; obrigar a pessoa que recebe os dados a cumprir a CPRA e a fornecer o mesmo nível de proteção de privacidade exigido pela CPRA.

9) Fortalecimento dos direitos das crianças
As multas administrativas ficam maiores para quaisquer violações envolvendo dados de menores de 16 anos. Também passa a exigir consentimento para o compartilhamento desses dados.

Principais disposições da CCPA
A CCPA entrou em vigor no dia 1º de janeiro deste ano, quando passou a garantir novos direitos relacionados à privacidade dos consumidores da Califórnia. Confira abaixo suas principais disposições, de acordo com material preparado pelo Opice Blum, Bruno e Vainzof Advogados Associados.

Share: