Em 1o de janeiro de 2020, entrou em vigor o Ato de Proteção ao Consumidor do Estado da Califórnia/EUA, (California Consumer Protection Act – CCPA) considerada a mais abrangente e avançada lei norte americana sobre proteção de dados.
Apesar de somente aplicável aos consumidores residentes na Califórnia, essa nova norma traz uma série de obrigações para as companhias que coletam, vendem e compartilham dados pessoais dos californianos.
São considerados dados pessoais pela CCPA: dados biométricos, dados de compra doméstica, informações familiares (por exemplo, quantidade de filhos), geolocalização, informações financeiras e até hábitos de sono.
De acordo com o texto legal, qualquer empresa que colete dados pessoais e i) que tenha receitas brutas anuais superiores a 25 milhões de dólares; ii) que compre, receba, venda ou compartilhe para fins comerciais, informações pessoais de 50.000 ou mais consumidores; ou iii) obtenha 50% ou mais de suas receitas anuais com a venda de informações pessoais dos consumidores, estará sujeita à CCPA.
Além disso, as empresas afetadas pelas regras não precisam ter sede na Califórnia, basta que simplesmente façam negócios naquele estado e coletem informações de seus residentes.
Dentre os direitos reconhecidos pela CCPA, o consumidor poderá optar por não ter seus dados coletados, se seus dados são compartilhados, e com quem, ou ainda escolher se permite ou não a venda dos seus dados para terceiros.
Da mesma forma, terá direito de acessar as suas informações pessoais armazenadas pelas companhias, bem como optar que determinada informação seja excluída de seu cadastro.
Em tempo, muito embora a CCPA seja uma lei específica da Califórnia, empresas sediadas em outros estados já se manifestaram no sentido de que estenderão as regras de proteção de dados a consumidores de todo o país. Da mesma forma, as empresas californianas devem garantir a aplicação das regras da CCPA para moradores de outros estados.
Essa decisão segue o mesmo movimento ocorrido quando entrou em vigor o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE), aplicável aos cidadãos da UE cobertos pelo regulamento, mas que de certa forma foi absorvido nas práticas comerciais de companhias transnacionais.
As multas cobradas contra pessoas, empresas ou prestadores de serviço que violarem a CCPA podem chegar a US$ 7.500 por cada incidente.
Nesse cenário, se sua organização tem operações na Califórnia e atende às premissas indicadas acima, é importante considerar a adequação de seu business à nova lei californiana.
GDPR x LGPD x CCPA
A entrada em vigor de uma lei de proteção de dados no estado de economia mais pujante nos Estados Unidos, berço das mais relevantes e inovadoras empresas de tecnologia do mundo, não só reafirma a tendência mundial de se estabelecer formas de proteção aos dados pessoais de cidadãos, mas também deixa claro que é um processo mundial e sem volta.
Se parecidas em alguns pontos e diferentes em outros, fato é que o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a Lei Geral de Proteção de Dados (LGPD) brasileira, que entra em vigor em agosto de 2020, e a California Consumer Protection Act (CCPA) apontam para um futuro em que dados pessoais só poderão ser monetizados se respeitadas as regras, com garantias aos seus titulares, evitando-se, definitivamente, a análise de dados com viés discriminatório e predatório.
O Brasil, com a LGPD, segue essa tendência, baseia sua legislação em princípios nobres como a transparência, segurança e livre acesso, garante diversos e amplos direitos aos cidadãos titulares de dados pessoais, mas não ignora a necessidade dessas garantias conviverem com a inovação e com o desenvolvimento econômico e tecnológico.