Terceiros e a Lei de Privacidade do Consumidor da Califórnia (CCPA)

No ambiente de dados em constante mudança de hoje, empresas em todos os lugares contam com parcerias com terceiros para ajudar a impulsionar seus esforços de negócios. Nossa economia baseada em dados permite que as organizações desenvolvam o envolvimento do cliente, aumentem a percepção do consumidor e aumentem a receita, mas com as novas restrições que o CCPA está colocando nas organizações, o uso de dados de terceiros é coisa do passado? Felizmente, para muitas organizações, cumprir essa restrição no CCPA será simplesmente uma questão de identificar seus fornecedores terceirizados, definir essas relações dentro dos contratos e implementar processos para cumprir as novas regras de cancelamento de vendas.

Para começar, as organizações precisam entender como a CCPA define terceiros. De acordo com a Seção 1798.140 (w), um "Terceiro" significa uma pessoa que não é nenhuma das seguintes:

1. A empresa que coleta informações pessoais de consumidores sob este título.
2. Uma pessoa a quem a empresa divulga as informações pessoais de um consumidor para fins comerciais nos termos de um contrato por escrito, desde que o contrato:
   1. Proíbe a pessoa de receber as informações pessoais de:
      1. Vender as informações pessoais.
      2. Reter, usar ou divulgar as informações pessoais para qualquer finalidade que não seja a finalidade específica de realizar os serviços especificados no contrato, incluindo a retenção, uso ou divulgação das informações pessoais para uma finalidade comercial diferente da prestação dos serviços especificados no contrato .
      3. Reter, usar ou divulgar as informações fora do relacionamento comercial direto entre a pessoa e a empresa.
   2. Inclui uma certificação feita pela pessoa que recebe as informações pessoais de que a pessoa entende as restrições do subparágrafo (A) e as cumprirá.

Isso não deve ser confundido com um "provedor de serviços", que a CCPA define como uma entidade legal que " processa informações em nome de uma empresa e para a qual a empresa divulga informações pessoais de um consumidor para uma finalidade comercial de acordo com um contrato escrito " . Isso significa que a própria organização empresarial e seus provedores de serviços que usam os dados conforme as instruções não são considerados terceiros. No entanto, muitas outras organizações que trocam dados com uma empresa se enquadram na categoria de terceiros.

Para que as organizações determinem como lidar com esses relacionamentos com fornecedores, elas precisarão começar criando uma lista de todos os fornecedores e terceiros que estão recebendo dados da organização. Conforme mencionado em nosso blog anterior sobre CCPA vs. GDPR , ter um mapa de dados existente dos preparativos do GDPR deve ser útil neste processo. O mapa de dados deve incluir todas as organizações com as quais sua empresa está compartilhando dados, bem como a finalidade de compartilhar os dados. Isso exigirá que você considere também todas as áreas funcionais da sua organização, desde a engenharia até o RH e finanças. É provável que sua empresa compartilhe dados fora do desenvolvimento de produtos apenas para conduzir os negócios diários, que precisam ser contabilizados.

Depois de entender para onde seus dados estão sendo enviados fora da organização, você desejará revisar os contratos com essas organizações para avaliar os direitos que o parceiro / fornecedor tem sobre os dados e determinar se avaliações de impacto de privacidade adicionais serão necessárias. O terceiro pode usar os dados apenas para fins de fornecer à sua organização os serviços designados ou eles podem atuar como um controlador e determinar o que pode ser feito com os dados (também é importante observar que embora o CCPA não tenha a linguagem do controlador / processador (ao contrário do GDPR), pode ajudar a identificar controladores e processadores em contratos, para que você saiba quem é o tomador de decisões quando se trata de dados compartilhados entre as organizações. Se for o último, sua organização provavelmente precisará divulgar esse relacionamento com seus consumidores, além de oferecer a eles a opção de “cancelar” a venda de seus dados.

É aqui que as coisas podem ficar complicadas e atrapalhar muitas das relações comerciais baseadas em dados. Devido à ampla definição de "venda" de dados no CCPA, as organizações realmente terão que revisar seus relacionamentos com fornecedores / parceiros para determinar para quem eles podem estar "vendendo" dados e se eles precisarão adicionar o recurso "Opt Out" para seu site. Como um lembrete, de acordo com a Seção 1798.140 (t) "Vender", "vender", "vender" ou "vender" significa:

1. vender, alugar, liberar, divulgar, disseminar, disponibilizar, transferir ou de outra forma comunicar oralmente, por escrito, ou por meios eletrônicos ou outros meios, as informações pessoais de um consumidor pela empresa para outra empresa ou um terceiro por dinheiro ou outra consideração valiosa .
2. Para os fins deste título, uma empresa não vende informações pessoais quando:
   1. Um consumidor usa ou direciona a empresa para divulgar informações pessoais intencionalmente ou usa a empresa para interagir intencionalmente com terceiros, desde que o terceiro também não venda as informações pessoais, a menos que a divulgação seja consistente com as disposições deste título. Uma interação intencional ocorre quando o consumidor pretende interagir com o terceiro, por meio de uma ou mais interações deliberadas. Passar o mouse sobre, silenciar, pausar ou fechar um determinado conteúdo não constitui a intenção do consumidor de interagir com terceiros.
   2. A empresa usa ou compartilha um identificador para um consumidor que optou por não vender suas informações pessoais com o objetivo de alertar terceiros de que o consumidor optou por não vender suas informações pessoais.
   3. A empresa usa ou compartilha com um provedor de serviços as informações pessoais de um consumidor que são necessárias para realizar um propósito comercial, se ambas as seguintes condições forem atendidas: serviços que o provedor de serviços realiza em nome da empresa, desde que o provedor de serviços também faça não vender as informações pessoais.
      1. A empresa forneceu um aviso de que as informações estão sendo usadas ou compartilhadas em seus termos e condições consistentes com a Seção 1798.135.
      2. O provedor de serviços não coleta, vende ou usa as informações pessoais do consumidor, exceto conforme necessário para realizar o propósito comercial.
   4. A empresa transfere a um terceiro as informações pessoais de um consumidor como um ativo que faz parte de uma fusão, aquisição, falência ou outra transação na qual o terceiro assume o controle de todo ou parte do negócio, desde que essa informação seja usada ou compartilhado de forma consistente com as Seções 1798.110 e 1798.115. Se um terceiro alterar materialmente a forma como usa ou compartilha as informações pessoais de um consumidor de uma maneira que seja materialmente inconsistente com as promessas feitas no momento da coleta, deverá fornecer um aviso prévio da prática nova ou alterada ao consumidor. O aviso deve ser suficientemente proeminente e robusto para garantir que os consumidores existentes possam facilmente exercer suas escolhas de forma consistente com a Seção 1798.120. Este subparágrafo não autoriza uma empresa a fazer alterações materiais retroativas na política de privacidade ou fazer outras alterações em sua política de privacidade de maneira que violaria a Lei de Práticas Injustas e Enganosas (Capítulo 5 (começando com a Seção 17200) da Parte 2 da Divisão 7 do Código de Negócios e Profissões).

É uma maneira muito longa de dizer que uma organização pode não necessariamente receber pagamento em troca de informações pessoais, mas ainda assim pode ser considerada uma “venda” de dados. Como exemplo no contexto do e-mail, um remetente pode disponibilizar as informações coletadas sobre seus assinantes (por meio de rastreamento ou coleta online) para uma organização analítica terceirizada para fornecer uma visão demográfica detalhada. Nenhum dinheiro é trocado, pois o terceiro adiciona os dados fornecidos pelo remetente do e-mail ao seu banco de dados maior. Como o terceiro agora está obtendo os dados para seu próprio uso ou para o uso de outros clientes, eles cairiam sob o guarda-chuva de terceiros, conforme definido pela CCPA, apesar de nenhum dinheiro ser trocado. Isso significa que o remetente do e-mail precisaria fornecer a seus assinantes uma maneira fácil de cancelar o repasse de seus dados a esse terceiro. Adicionando outra camada de complexidade, as organizações terão que se comunicar com todos os seus terceiros quando um consumidor exercer seus direitos, normalmente exigindo que as organizações implementem medidas técnicas para garantir um processo tranquilo.

Então, onde isso deixa sua organização? Embora possa parecer um processo realmente tedioso, tudo o que foi mencionado é fundamental para garantir que sua organização e as empresas com as quais você trabalha estejam em conformidade assim que o CCPA entrar em vigor. As multas podem chegar a US $ 7.500 por violação intencional, resultando potencialmente em multas na casa dos milhões para as organizações que não cumprem as regras. Ninguém quer ser confrontado com uma multa de vários milhões de dólares por negligenciar a garantia de que seus relacionamentos com terceiros sejam fechados.

O CCPA continua a evoluir, mas é importante para sua organização começar a organizar o processo de gerenciamento de fornecedores para estar preparado quando ele entrar em vigor. Embora esta seja a última postagem programada em nossa série CCPA , continuaremos a publicar postagens ad hoc conforme a lei for finalizada, portanto, fique atento!