Atualização da CCPA no primeiro trimestre de 2020: esclarecimento de regras, benchmarks e notícias da CCPA

Publicados: 2020-03-04

A Lei de Privacidade do Consumidor da Califórnia (CCPA) entrou em vigor em 1º de janeiro de 2020, estabelecendo novos direitos para os residentes da Califórnia em relação ao acesso pessoal, opções de exclusão de dados e compartilhamento de dados comerciais. Quase dois meses após o início da CCPA, há novos esclarecimentos de regras, solicitações de atrasos na fase de aplicação, possíveis novas leis de privacidade passando pela legislação da Califórnia e alguns benchmarks de conformidade iniciais. A aplicação começa em 1º de julho de 2020, a menos que os regulamentos finais sejam publicados antes. (Link: regulamentos propostos, modificações postadas em 7 de fevereiro)

Se você é um editor que deseja começar a oferecer a opção de desativação de dados pessoais exigida pela CCPA, a Admiral pode ajudar com uma solução de uma tag e fácil de instalar. Contacte-nos para saber mais.

29 de janeiro de 2020: cinco associações comerciais de anúncios solicitam atraso no prazo de execução

Os líderes do setor de publicidade enviaram uma carta em 29 de janeiro ao procurador-geral da Califórnia, Xavier Becerra, pedindo um atraso na aplicação da CCPA para permitir que as empresas tenham tempo para revisar e implementar os regulamentos finais.

A solicitação foi entregue pela 4A's (American Association of Advertising Agencies), American Advertising Federation (AAF), Association of National Advertisers (ANA), Interactive Advertising Bureau (IAB) e Network Advertising Initiative (NAI). Apontou a falta de regulamentação final, a complexidade e os amplos impactos da lei e o fato de que as regras atualmente escritas ainda podem sofrer alterações com menos de 6 meses para as empresas se prepararem. A carta solicita um atraso de 6 meses a partir do momento em que as regras são finalizadas pelo escritório do Procurador Geral da Califórnia.

7 de fevereiro de 2020: Novos esclarecimentos sobre as regras da CCPA do procurador-geral da Califórnia

No início de fevereiro, o Gabinete do Procurador-Geral da Califórnia (CAG) publicou um aviso e uma atualização das modificações da lei CCPA. Embora os regulamentos finais ainda estejam por vir, este aviso fornece alguma clareza para os negócios efetuados. Algumas das áreas com novas adições ou esclarecimentos incluem:

Definição de “Informações Pessoais”: Uma nova seção foi adicionada chamada “Orientação sobre a Interpretação das Definições da CCPA”. A primeira adição a esta nova seção abrange as definições de “informações pessoais”.

"informações que identificam, se relacionam, descrevem, podem ser associadas ou podem ser razoavelmente vinculadas, direta ou indiretamente, a um determinado consumidor ou família."
Os exemplos fornecidos incluem (mas não se limitam a) nome, endereço postal, endereço IP, endereço de e-mail, número de segurança social. Eles também listaram categorias de dados, incluindo dados de geolocalização, histórico do navegador e cookies, e classificações protegidas, como raça ou sexo. Há esclarecimentos adicionais para diferenciar os dados que tecnicamente podem ser considerados PI, mas quando a empresa não pode e não vincula essas informações a outros dados, elas podem não ser consideradas informações pessoais sob a CCPA.

Esclarecimento de solicitação de dados do consumidor: Uma modificação na seção (999.312) sobre o envio de Solicitações de Conhecimento acrescenta que pelo menos um método oferecido deve refletir a maneira pela qual a empresa interage principalmente com o consumidor.

Exclusão para atender a uma solicitação de conhecimento: agora existe uma exclusão quando o PI e o uso comercial se enquadram em um conjunto específico de circunstâncias. Nomeadamente que a PI não é vendida ou utilizada para fins comerciais, mas apenas mantida para fins legais ou de conformidade e não mantida num formato facilmente acessível. A empresa precisaria informar os consumidores sobre esses motivos ao responder a uma solicitação de dados do consumidor.

Esclarecimento para os provedores de serviços usuários de PI: a seção 999.314 fornece mais detalhes sobre as circunstâncias em que os provedores de serviços podem reter e lidar com dados pessoais sem estarem sujeitos aos regulamentos da CCPA.

Solicitações de desativação: houve esclarecimentos sobre vários aspectos de desativação, incluindo garantir que o processo de desativação da CCPA seja “fácil para os consumidores executarem e exigirá etapas mínimas para permitir que o consumidor opte por não participar”. A linguagem adicional proíbe métodos que tentem prejudicar a decisão do consumidor de optar por não participar. Foi fornecida clareza adicional sobre os controles de privacidade globais, como configurações do navegador e como as empresas devem responder a solicitações de exclusão por meio desses controles.

Os controles de privacidade global habilitados pelo usuário, como um plug-in do navegador ou configuração de privacidade, configuração do dispositivo ou outro mecanismo, que comunicam ou sinalizam a escolha do consumidor de optar por não vender suas informações pessoais devem ser considerados uma solicitação diretamente do consumidor

As empresas têm 15 dias para responder a solicitações de desativação. Mais detalhes são adicionados sobre a notificação a terceiros da solicitação de desativação de um consumidor.

Programa de Fidelidade x Exclusão de Dados: Nova linguagem esclarece que é lícito sob a CCPA que a empresa negue a solicitação de exclusão das informações necessárias para manter a inscrição e os benefícios do programa de fidelidade.

Modificações Adicionais: A nova linguagem do CAG abrange aspectos adicionais, como: botões Não Venda, notificações móveis, definição de domicílio , corretores de dados, aviso de privacidade do funcionário e divulgações da Política de Privacidade.

O Adlawaccess tem uma revisão mais detalhada das modificações, e aqui estão as modificações da CCPA lançadas em 7 de fevereiro pelo Gabinete do Procurador-Geral da Califórnia.

Benchmarks para conformidade com CCPA da PWC

A PWC, a consultoria de peso pesado, rastreia mais de 1.000 leis e regulamentos de privacidade, incluindo a CCPA. Recentemente, eles analisaram a prontidão da CCPA em sites das 600 maiores empresas de capital aberto e das 100 maiores corporações de capital fechado. Algumas descobertas 6 semanas após o regulamento do CCPA:

  • No geral, 16% das empresas rastreadas oferecem um link Não venda.
  • 29% das empresas do mercado consumidor avaliadas tinham um link DNS.
  • Mais de 25% das empresas de Telecom, Mídia e Tecnologia oferecem o link DNS
  • Das 600 maiores empresas, 40% delas estabeleceram um portal de direitos CCPA.
  • A maioria das empresas de todos os setores, que tinham um portal de direitos da CCPA, restringia esses direitos apenas aos californianos.
  • 33% das empresas avaliadas possuíam portal de direitos CCPA e direitos estendidos a todos os consumidores.

Mudanças contínuas para o regulamento de privacidade nacionalmente

Além da próxima linguagem de regulamentação final da CCPA e do período de aplicação para começar em 1º de julho ou antes, o mesmo grupo que pressionou pela CCPA agora está pressionando por uma iniciativa de votação apelidada de CCPA 2.0. Oficialmente intitulado The California Privacy Rights Act of 2020 (CPRA), ele pode ser votado em 2020 e pode resultar em uma revisão do CCPA com atualizações significativas, de acordo com este artigo do NatLawReview.

A Lei de Direitos de Privacidade da Califórnia expande o escopo da CCPA para fornecer mais proteções e orientações sobre informações pessoais confidenciais, o direito dos consumidores de ter os dados corrigidos, proteções adicionais para menores, alterações na provisão de responsabilidade por violação de dados e estabelece uma agência de fiscalização.

A lei da Califórnia é apenas a vanguarda das mudanças que chegam à conformidade com a privacidade, já que Nebraska, Nova York e alguns outros estados estão propondo seus próprios regulamentos de privacidade.

As atualizações acima são todas referenciadas na Megalist of CCPA Resources and Checklists. Se você estiver procurando por uma lista de verificação da CCPA ou informações sobre ferramentas ou software de conformidade da CCPA, confira a postagem de recursos da CCPA.

Atualização de junho de 2020: A Lei de Direitos de Privacidade da Califórnia (CPRA), a expansão planejada da CCPA, está prevista para votação na Califórnia em novembro. Leia mais sobre como o CPRA difere do CCPA.

Ofereça a desativação de dados para residentes da Califórnia hoje


Como parte de nossa solução de uma tag, a Admiral oferece aos editores acesso ao nosso módulo CCPA Opt-out. O módulo foi projetado para oferecer aos editores:

  • Detecção: visitantes do site de identificação provenientes de IPs da CA
  • Forneça a esses visitantes uma interface de usuário para desativar as vendas de dados
  • O acesso à interface do usuário/API da Admiral é compatível com a estrutura do IAB para comunicar informações de desativação a fornecedores downstream

Para obter mais informações sobre como habilitar o módulo CCPA Opt-out da Admiral, entre em contato conosco e um especialista em produtos entrará em contato para ajudá-lo a começar.