Em janeiro de 2020 entrou em vigor a nova lei sobre proteção de dados da Califórnia, mais conhecida como California Consumer Privacy Act (CCPA). A referida lei, assim como a LGPD brasileira – que entrará em vigor também neste ano -, implementa controles mais potentes sobre os dados pessoais dos consumidores do estado, visando garantir novos direitos aos californianos.
Assim, desde 1º de janeiro de 2020, os consumidores residentes no estado da Califórnia podem solicitar às empresas todos os dados coletados sobre eles nos últimos 12 meses, ou seja, 1º de janeiro de 2019, um ano antes de vigência daquele diploma legal.
Um residente da Califórnia é definido como qualquer pessoa física que está na Califórnia para outros fins que não sejam temporários ou transitórios ou tem domicílio na Califórnia, mas está fora do estado para fins temporários ou transitórios.
A lei concede aos cidadãos o direito de acessar seus dados e saber exatamente como eles são utilizados, podendo, inclusive, proibir seu uso. No entanto, diferentemente da LGPD, a legislação californiana não será aplicada para todas as empresas. A CCPA será adotada para empresas que fazem negócio na Califórnia e possuem:
- U$ 25 milhões ou mais em receita anual;
- Ou ganham mais de 50% de sua receita anual vendendo informações pessoais de consumidores;
- Ou trabalham anualmente com dados pessoais de mais de 50 mil consumidores ou dispositivos.
Ressalta-se, entretanto, que a empresa não necessariamente precisa ter sede no estado ou até mesmo nos Estados Unidos, basta tão somente lidar com dados de pessoas que vivem no estado da Califórnia, o que torna sua aplicação ainda maior.
Além disso, é necessário observar que a lei californiana não se aplica para empresas no ramo financeiro ou da área da saúde, por exemplo, tendo em vista que já há outras leis de segurança e proteção de dados para esses ramos. Considerando que o país não possui um conjunto sistematizado de leis de proteção à privacidade, como ocorre na União Europeia, cada setor regulamentou o tema da sua maneira.
Outro ponto que merece destaque é o fato de que o conceito sobre “personal information” na Califórnia também é um pouco diferente do conceito brasileiro. No Brasil, dados pessoais são informações relacionadas à pessoa natural identificada ou identificável, de acordo com o art. 5º, inciso I, da LGPD.
Já na Califórnia, seu significado é mais abrangente, na medida em que inclui informações sobre residência e propriedade dos consumidores e, de acordo com a lei, são “informações que identificam, se relacionam com, descrevem, são capazes de serem associadas a, ou poderiam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular”.
Para os residentes do estado da Califórnia, a CCPA cria novos direitos, como os chamados “the right to know” and “the right to say no”. A partir deste ano, os usuários poderão ver quais dados as empresas reuniram sobre eles, excluir alguns dados e/ou optar por excluí-los das empresas que os venderem a terceiros.
Portanto, a intenção é oferecer aos consumidores uma maneira eficaz de controlar suas informações pessoais, garantindo direitos como acesso às suas informações pessoais; saber quais informações foram coletadas; se suas informações pessoais são vendidas ou divulgadas e para quem; pode dizer “não” para a venda de seus dados, etc.
Neste cenário, uma empresa que coleta informações pessoais de um consumidor deve, no momento ou antes da coleta, informar os consumidores sobre as categorias de informações pessoais a serem coletadas e os fins para os quais as categorias de informações pessoais devem ser usadas.
Uma empresa não deve coletar categorias adicionais de informações pessoais ou usar informações pessoais coletadas para outros fins sem fornecer ao consumidor um aviso consistente.
Contudo, por causa da GDPR, muitas empresas já haviam implementado tais medidas aos usuários europeus. Dessa forma, algumas plataformas, incluindo as grandes empresas de tecnologia, considerando que a Califórnia é uma das líderes mundiais no desenvolvimento de novas tecnologias e indústrias relacionadas, já haviam criado ferramentas para permitir que os usuários exerçam os direitos agora garantidos pela nova lei.
Mesmo que a legislação da Califórnia represente um avanço para os direitos dos consumidores no âmbito da proteção dos dados pessoais, a CCPA não estabelece princípios gerais e regras sobre a coleta ou o uso das informações, trazendo apenas diversos significados, se distanciando neste ponto da LGPD ou da GDPR. No entanto, a lei, igualmente às normas anteriores, prevê multa para coibir atos de coleta indevida.
Sendo assim, caso a empresa seja notificada a respeito de uma determinada violação, ela terá 30 dias para cumprir a determinação ou será penalizada com a aplicação de uma multa de até USD 7.500 por infração cometida. Também são estipuladas multas, caso ocorra acesso não autorizados às informações, seja por violação ou por roubo de dados, por exemplo.
Alguns regulamentos finais, que esclarecem e definem parâmetros para a Lei, ainda não foram divulgados. Espera-se, porém, que o Procurador Geral da Califórnia, Xavier Becerra, os emita nos próximos seis meses, como estabelece a própria norma, posto que o estado não começará a aplicá-la até 1º de julho deste ano.
Além disso, a lei amplia a atuação do Procurador Geral, tendo em vista que qualquer empresa ou terceiro pode solicitar sua opinião para obter orientação sobre como cumprir as disposições.
Logo, acompanhando o movimento ocorrido na União Europeia, mais uma vez, o estado da Califórnia é pioneiro nos Estados Unidos acerca da criação de uma legislação que envolve tecnologia e direito digital, consolidando, por meio da CCPA, um marco importante para a proteção de dados e da privacidade.
Desta forma, o que se espera, até mesmo pelas grandes empresas e seus representantes, é que outros estados americanos sigam a mesma linha e que reproduzam, mesmo que em parte, a lei californiana.