Os principais pontos da nova regulação vista como a ‘GDPR da Costa Oeste’

A entrada em vigor da Lei Geral de Proteção de Dados da Europa (GDPR), em maio do ano passado, estabeleceu um novo capítulo no cenário mundial da privacidade e proteção de dados. A proposta e adoção de uma regulação mais robusta e compreensiva do que a Diretiva anterior adotada pela União Europeia trouxe uma série de desafios para aqueles envolvidos no processamento de dados de indivíduos presentes na Europa.

Superada a longa fase de implementação e os primeiros desafios de adequação à legislação europeia, um novo desafio surge na Califórnia: a Lei de Privacidade dos Consumidores da Califórnia, intitulada California Consumer Privacy Act ou simplesmente CCPA.

A nova lei, inspirada pela GDPR, vem sendo tratada como a lei de privacidade mais compreensiva do Estados Unidos até agora. A CCPA entra em vigor no dia 1° de janeiro de 2020 e, à semelhança da lei europeia, traz uma série de desafios para a sua implementação e compliance. Um, dentre os vários já em debate, é o chamado look back requirement, que determina que as empresas terão que prestar conta dos dados pessoais coletados desde 1° de janeiro de 2019, período de 12 meses antes da entrada em vigor da CCPA. Outro é o curto período para adequação e a expectativa de novas emendas, já que vários pontos da lei ainda precisam ser esclarecidos. 

Há, ainda, uma série de outras questões importantes na CCPA que não serão objeto de análise no presente artigo como: obtenção de autorização para venda de dados pessoais de crianças de 13 a 16 anos, sem a exigência de consentimento dos pais; requisitos adicionais destinados às empresas que atuam na área de saúde e life science; obrigações relacionadas à “revenda” de dados; o impacto da lei nas atividades de empresas que atuam no mercado de dados (data-driven) e sua aplicabilidade às instituições financeiras.

A comparação da CCPA com a GDPR parece inevitável, principalmente, no que tange à abrangência de ambas. Todavia, não obstante similitudes possam ser encontradas, a CCPA apresenta nuances únicas, de modo que mesmo que uma empresa tenha sido bem-sucedida no processo de compliance com a GDPR terá que envidar novos esforços para se adequar à nova lei da Califórnia.

A intenção do legislador californiano foi devolver aos consumidores o exercício do controle sobre suas “informações pessoais” (ou “dados pessoais”, termo adotado pela legislação europeia e brasileira, que equivale à noção de personal information nos Estados Unidos). A proliferação de dados pessoais estaria limitando a capacidade dos californianos protegerem e salvaguardarem sua privacidade da forma adequada. A intenção da lei seria a de fortalecer o direito de privacidade dos consumidores da Califórnia, permitindo que eles exerçam o controle de seus dados de forma efetiva, por meio dos direitos assegurados na CCPA.

A quem se aplica?

A CCPA se aplica às empresas que coletem informação pessoal de residentes da Califórnia.

A lei não se aplica a qualquer empresa. A CCPA define business como entidade que (i) colete informação pessoal de consumidores, (ii) determine a finalidade e meios de processamento da informação pessoal, (iii) faça negócios no Estado da Califórnia, e (iv) satisfaça um ou mais dos requisitos a seguir6:

• Tenha receita bruta anual superior à 25 milhões de dólares;
• Sozinha ou em conjunto, por ano, compre, receba, venda ou compartilhe, para fins comerciais, dados pessoais de 50 mil ou mais residentes, propriedades ou aparelhos da Califórnia;
• Tenha 50% ou mais da receita anual advindos da venda de dados pessoais de residentes da Califórnia.

Note-se que a lei não exige que a empresa esteja baseada na Califórnia. Assim, a lei se aplicaria às empresas de qualquer lugar do mundo que façam negócios na Califórnia e que se satisfaçam os requisitos acima.

A CCPA também traz disposições que dizem respeito aos prestadores de serviço e terceiros. Os prestadores de serviço, por exemplo, são proibidos de reter, usar, ou divulgar dados pessoais para qualquer finalidade que não seja aquela especificada no contrato para a realização dos serviços. Resumidamente, nos termos da CCPA, prestador de serviço é aquele que processa informação em nome de outras empresas e para o qual elas divulgam dados pessoais de consumidores para fins comerciais por meio de um contrato escrito.

Que tipo de informação está resguardada pela CCPA?

Apesar da intenção do legislador de proteger os dados pessoais dos consumidores da Califórnia, a CCPA define “consumidor” como sendo “pessoa natural que seja residente da Califórnia”.

De acordo com a legislação local, “residente” é aquele que (i) está no Estado da Califórnia para propósito que não seja temporário ou transitório (de passagem pelo Estado ou para período de férias, por exemplo); ou (ii) domiciliado no Estado da Califórnia e fora dele para propósito temporário ou transitório.

Assim, com base na definição adotada pela CCPA, os funcionários de uma empresa ou seus fornecedores poderiam ser considerados “consumidores” – se residentes. Ainda, a lei se aplicaria fora da Califórnia, já que alcançaria todos os residentes, incluindo aqueles que estejam fisicamente fora do Estado temporariamente. E, por fim, pode-se dizer que mesmo um individuo que não seja cliente das empresas submetidas à lei estaria coberto pela CCPA, já que basta que ele seja residente da Califórnia.

Outro ponto que vem sendo objeto de debate é que a CCPA ampliou o conceito de “informação pessoal”. Apesar desse conceito não ser uniforme na legislação americana, a CCPA vai além dos conceitos até então adotados. Além dos dados pertinentes a um consumidor específico, a nova lei da Califórnia passa a incluir os dados pertinentes à uma determinada residência/propriedade (no texto original em inglês “household”) como sendo “informação pessoal”. De acordo com a CCPA, “informação pessoal” é:

Informação que identifica, se relaciona a, descreve, é capaz de ser associada com, ou poderia ser razoavelmente ligada, direta ou indiretamente, com um consumidor ou residência/propriedade em particular.

Dentre os exemplos de informação pessoal mencionados pela lei estão: nome, endereço, endereço de IP, número de passaporte, informação comercial (incluindo registros de produtos ou serviços adquiridos), informação biométrica, informação sobre localização geográfica, informação profissional, informação sobre atividades desempenhadas na internet ou outra rede eletrônica (incluindo, dentre outros, histórico de navegação e pesquisa) etc.

A CCPA não se aplica à informação disponível publicamente, aos dados anonimizados ou dados agregados de consumidores.

Que direitos são resguardados pela lei?

Em linhas gerais, a CCPA confere aos consumidores da Califórnia o direito de saber quais de seus dados pessoais estão sendo coletados; o direito de requerer uma cópia da informação específica que uma empresa detém sobre eles; o direito de saber se seus dados pessoais são vendidos ou revelados e para quem; o direito de se opor à venda de seus dados pessoais; o direito de requerer que quaisquer de seus dados pessoais coletados por uma empresa sejam apagados; e o direito de não ser discriminado.

Diferentemente do que ocorre na GDRP, a CCPA não prevê um direito de emenda ou retificação. Entretanto, ainda que as empresas não tenham essa obrigação, parece desejável – e óbvio, do ponto de vista da confiabilidade nos serviços e do compliance de modo geral – que as empresas se esforcem para manter informações atualizadas acerca dos consumidores

Quais são os riscos pelo não compliance?

Além do risco reputacional, a não-observância à CCPA pode trazer riscos financeiros. Além das multas e penalidades estabelecidas pela lei, há que se considerar os custos com ações judiciais, remediação e troca de produtos, bem como aumento de custos com seguro etc.

A não-observância à lei pode ensejar a aplicação de multas de até 2,5 mil dólares por violação ou de até 7,5 mil dólares por violação intencional, se a ofensa não for remediada em até 30 dias após o recebimento da notificação pela empresa infratora. Tais penalidades serão auferidas e impostas por meio de Ação Civil Pública, a ser ajuizada pelo Procurador-Geral da Califórnia.

Por que a CCPA é importante?

Uma das razões pelas quais a CCPA é vista como uma regulação de forte impacto nos Estados Unidos é pelo fato de o Estado da California exercer grande influencia sobre os demais Estados no campo da regulação. A esse respeito, lembre-se que a Califórnia foi pioneira na regulamentação da notificação de vazamento de dados (Data Breach Notification), hoje adotada por todos os 50 Estados dos EUA. Sob essa ótica, há grandes chances de a CCPA ser largamente reproduzida.

Ademais, as autoridades da Califórnia são vistas como duras no monitoramento do cumprimento das suas leis. A Procuradoria-Geral, por exemplo, tem exercido papel de destaque na apuração de vazamento de dados e também no cumprimento das leis e na condução de processos ligados às leis de privacidade.

Tendo em vista esse cenário, é importante que as empresas avaliem se vale a pena cumprir a CCPA apenas na Califórnia, ou se já devem expandir a adoção dos requisitos para os demais Estados dos EUA.

———————————-

1 Diretiva 95/46/CE

2 Relembre-se que, nos termos do >Art. 3.2. da GDPR, a lei não se limita aos cidadãos europeus, mas abrange os indivíduos presentes na União Européia. Para maior clareza, recomenda-se a leitura do >texto final da lei em inglês.

3 Vide Arts. 1798.130 e 1798.135, da CCPA.

4 Em menos de 2 meses após aprovação da CCPA, 7 emendas foram apresentadas e aprovadas. Para detlahes, veja-se histórico legislativo.

5 Vide “Section 2” da lei AB 375, que originou a CCPA.

6 Art. 1798.140, CCPA.

7 Id.

8 >Art.17014 do Código de Regulações da Califórnia.

9 Tradução livre do Art. 1798.140 (o), CCPA, com grifos nossos.

10 Dados agregados são aqueles que se relacionam a um grupo ou categoria de consumidores, dos quais são removidas as identidades individuais dos consumidores, que não são ligados ou razoavelmente ligáveis a algum consumidor ou propriedade, inclusive por meio de um aparelho. Art. 1798.140(a), CCPA.

11 Art. 1798.155, CCPA.

12 A lei S.B. 1386 foi sancionada em 25/09/2002 e entrou em vigor no dia 01/07/2003. Vejam-se disposições no Código Civil da Califórnia – Cal Civ. Code § >1798.29.

13 Vejam-se relatórios acerca do vazamento de dados e outros temas de interesse dos consumidores produzidos pela Procuradoria-Geral da Califórnia. Destaque-se que a Procuradoria tem uma unidade especial para o enforcement e a proteção da privacidade (Privacy Enforcement & Protection Unit).

Viviane Trojan – advogada do Licks Advogados, mestranda em Direito e Tecnologia na Universidade da Califórnia, Berkeley, e graduada em Direito pela UFF/RJ, com especialização em Processo Civil pela PUC/RJ.