Conformidade com CCPA para comércio eletrônico
Publicados: 2019-11-20A Lei de Privacidade do Consumidor da Califórnia chega em janeiro de 2020 – aqui está um breve guia de conformidade para empresas de comércio eletrônico
Para empresas de comércio eletrônico, a conformidade com a CCPA deve estar no topo do seu radar em 2020. Assim como o Regulamento Geral de Proteção de Dados (mais conhecido como GDPR) na Europa, isso fará uma enorme diferença na forma como você se comunica com seus clientes. Este artigo apresenta as noções básicas sobre o significado da nova lei e como preparar sua empresa para ela.
Isenção de responsabilidade: este post não constitui aconselhamento jurídico – procure aconselhamento jurídico profissional para garantir que suas atividades estejam em conformidade!
O que é CCPA?
O governador da Califórnia assinou o Assembly Bill 375 em 28 de junho de 2018. A Lei de Privacidade do Consumidor da Califórnia, também conhecida como CCPA, entrará em vigor em 01 de janeiro de 2020.
A CCPA se concentra nos direitos de proteção de dados dos consumidores – no entanto, ela não se aplica apenas a empresas localizadas fisicamente na Califórnia. A CCPA protege o direito dos consumidores californianos, independentemente das fronteiras estaduais. Portanto, independentemente de onde sua empresa está sediada, se você tiver clientes na Califórnia, precisará considerar o impacto das novas regras.
Varejistas e CCPA: principais implicações e requisitos
O que realmente significa a conformidade com a CCPA para comércio eletrônico? Aqui estão os fundamentos do que a Lei descreve:
- Quando um residente da Califórnia solicita quais dados pessoais estão sendo armazenados por uma empresa aplicável, a empresa terá até 45 dias para responder. A resposta deve incluir um registro completo para ser considerada compatível com a CCPA.
- Um consumidor da Califórnia poderá optar por não compartilhar ou armazenar seus dados pessoais com uma empresa que forneça os dados a terceiros.
- Um consumidor da Califórnia tem o direito de saber quais dados foram adquiridos, com quem foram compartilhados e de qual empresa foram adquiridos.
- Qualquer residente da Califórnia pode solicitar que qualquer uma de suas informações pessoais armazenadas seja excluída.
- Para residentes da Califórnia com menos de 16 anos, as empresas são obrigadas a fornecer uma função “opt-in”.
- Para residentes da Califórnia com menos de 13 anos, um dos pais ou responsável deve consentir.
- Os consumidores da Califórnia não podem ser penalizados por uma empresa por exercer seus direitos de acordo com a CCPA.
- As empresas são obrigadas a oferecer aos consumidores da Califórnia opções de desativação fáceis de ver, como um botão “Não vender minhas informações”, em seu site.
Determinando se a CCPA se aplica a você
A CCPA se aplica a empresas que atendem a determinados critérios. Isso inclui:
- Qualquer empresa que venda para residentes da Califórnia e gere mais de US$ 25 milhões em receita a cada ano
- Qualquer empresa que receba ou compartilhe informações pessoais de mais de 50.000 californianos
- Qualquer empresa que obtenha pelo menos metade (50%) de sua receita anual por meio da venda de informações pessoais de residentes da Califórnia
Na maioria das vezes, isso significa que as pequenas empresas estão atualmente isentas de ter que lidar com a conformidade com a CCPA. Embora isso possa mudar no futuro, as empresas maiores são atualmente as únicas empresas que precisam se preparar para a data de preparação da CCPA.
CCPA x GDPR
A CCPA é muito semelhante ao Regulamento Geral de Proteção de Dados (GDPR) aprovado pela União Europeia em 2018. A boa notícia é que as empresas consideradas compatíveis com GDPR não precisarão mudar muito para atender aos requisitos de conformidade da CCPA.
A CCPA é um pouco mais rigorosa graças à sua definição mais ampla de informações pessoais. No entanto, existem muitas opções disponíveis para ajudar uma empresa a implementar os requisitos de conformidade antes do prazo de janeiro de 2020.
Consequências do não cumprimento
O procurador-geral e o sistema judiciário da Califórnia estão preparados para executar várias consequências diferentes para empresas não conformes.
- Violações não intencionais podem resultar em multas de até US$ 2.500 cada.
- Violações intencionais resultarão em multa de US$ 7.500 cada.
- As multas são avaliadas por pessoa ou conta.
As multas aumentam rapidamente. Muitas vezes, se uma violação está presente com um consumidor, está presente com outros.
Para estimar possíveis danos financeiros, você pode multiplicar o número de seus consumidores da Califórnia por US$ 7.500. Por exemplo: se você tiver 25 clientes da Califórnia. Esses 25 clientes multiplicados por US$ 7.500 significam que você pode enfrentar até US$ 187.500 em multas com base na descoberta da violação de um único consumidor.
Essas penalidades podem parecer assustadoras – então, o que você precisa fazer para evitá-las?
Etapas principais para se preparar para a conformidade com a CCPA
Aqui estão as principais etapas para os varejistas que se preparam para a conformidade com a CCPA.
Auditoria de coleta de dados e processos de gerenciamento
Uma avaliação completa de como sua empresa coleta e gerencia informações pessoais é essencial.
Aprofundar-se em onde você armazena seus dados de consumidor e como você os usa é essencial para evitar que violações intencionais e não intencionais custem milhares de multas à sua empresa.
Você também deve examinar os dados coletados de sites de terceiros; fornecedores terceirizados devem fornecer um Certificado de Conformidade CCPA mediante solicitação para garantir que os dados recebidos não resultem em danos à sua empresa em uma ação judicial.
Planeje as solicitações do consumidor
De acordo com a CCPA, você tem até 45 dias para responder a solicitações de dados de informações pessoais de consumidores da Califórnia. Você precisa ter um plano para lidar rapidamente com essas solicitações. Isso pode incluir a contratação de pessoal para tratar desses assuntos de forma eficiente e dentro dos requisitos da lei. Ferramentas de extração de dados, formatação de respostas e uma compreensão completa da lei também serão necessárias.
Prepare-se para futuras regulamentações
Muitos especialistas acreditam que o GDPR e o CCPA são apenas o começo da batalha pelos direitos de dados. A Califórnia é simplesmente o primeiro estado a levar os direitos de dados do consumidor a sério o suficiente para promulgar legislação. As regulamentações futuras são altamente prováveis à medida que mais estados se envolvem ainda mais com os direitos de dados dos consumidores.
Reforço para impacto
É difícil saber exatamente o que esperar quando a CCPA chegar, mas há algumas previsões que podemos fazer com base no GDPR.
Em primeiro lugar, é provável que você veja seu banco de dados de e-mail ser atingido. Veja quanto de seus profissionais de marketing de bancos de dados endereçáveis perderam quando o GDPR entrou em vigor em 2018:
No entanto, há um forro de prata aqui. A recuperação dessas perdas foi realmente muito rápida. Um ano após a entrada dos regulamentos, os bancos de dados recuperaram com sucesso 93% de seus níveis pré-GDPR.
Como aconteceu tão rápido? Aqui está outra lição que podemos aprender para a conformidade com a CCPA. Abaixo estão as principais estratégias usadas pelas empresas para recuperar seus bancos de dados – uma orientação para quem deseja 2020:
O dia 1º de janeiro marcará um novo divisor de águas para os regulamentos de privacidade nos EUA – qualquer preparação que você fizer agora pagará dividendos no curto prazo e o preparará bem para as evoluções na privacidade de dados que ainda estão por vir.