A Califórnia tem GDPR?

Multas e exposição financeira. As empresas não devem esquecer que, em caso de não conformidade, podem enfrentar danos adicionais, complementando os fornecidos pelo GDPR. Na CCPA, a aplicação do PROMOGRADO GERAL da Califórnia, que pode trazer uma ação civil ordenando que as empresas paguem danos de até US $ 7500 por violação intencional de qualquer disposição da Lei. Violações não intencionais que não são remediadas dentro de 30 dias após o aviso podem chegar a danos de até US $ 2500 por violação. Somente em caso de roubo de dados ou violação de segurança de dados os próprios consumidores têm um direito de ação privada por danos estatutários entre US $ 100 e US $ 750 por consumidor e incidente, ou danos reais, o que for maior, assim como qualquer outro alívio que um tribunal considere adequado. Além disso, o direito de consumidor bastante limitado, a lei também autoriza o procurador -geral a levar uma ação de classe civil. Se combinado com as multas administrativas de até 20 milhões de euros ou 4 % do faturamento anual total do mundo (o que for maior) fornecido pelo GDPR, o valor real pagável por violação e/ou violação de dados pode acabar sendo uma ameaça existencial para muitas empresas.

Lei de Privacidade do Consumidor da Califórnia (CCPA)

1. Que direitos eu tenho sob o CCPA?

  • Direito de saber: You can request that a business disclose to you: (1) the categories and/or specific pieces of personal information they have collected about you, (2) the categories of sources for that personal information, (3) the purposes for which the business uses that information, (4) the categories of third parties with whom the business discloses the information, and (5) the categories of information that the business sells or discloses to third parties. Você pode fazer um pedido para saber até duas vezes por ano, gratuitamente.
  • Direito de excluir: Você pode solicitar que as empresas excluam as informações pessoais que coletavam de você e peça aos provedores de serviços que façam o mesmo, sujeitos a certas exceções (como se a empresa for legalmente obrigada a manter as informações).
  • Direito de optar por não venda ou compartilhamento: Você pode solicitar que as empresas parem de vender ou compartilhar suas informações pessoais (“Opt-out”), inclusive por meio de um controle de privacidade global habilitado para usuários. As empresas não podem vender ou compartilhar suas informações pessoais depois de receberem sua solicitação de exclusão, a menos que você as autorize mais tarde a fazê-lo novamente.
  • Direito de corrigir: Você pode pedir às empresas para corrigir informações imprecisas que elas têm sobre você.
  • Direito para limitar o uso e a divulgação de informações pessoais sensíveis: Você pode direcionar as empresas a usar apenas suas informações pessoais sensíveis (por exemplo, seu número de segurança social, informações da conta financeira, seus dados de geolocalização precisos ou seus dados genéticos) para fins limitados, como fornecer os serviços solicitados.

Você também tem o direito de ser notificado, antes ou no ponto. Geralmente, as empresas não podem discriminar você por exercer seus direitos sob o CCPA. As empresas não podem fazer você renunciar a esses direitos, e qualquer disposição de contrato que diga que você renuncia a esses direitos é inexequível.

2. E se eu não for morador da Califórnia?

Somente os residentes da Califórnia têm direitos sob o CCPA. Um morador da Califórnia é uma pessoa natural (em oposição a uma corporação ou outra entidade comercial) que reside na Califórnia, mesmo que a pessoa esteja temporariamente fora do estado.

3. O que é considerado informações pessoais e informações pessoais sensíveis sob o CCPA?

Informações pessoais são informações que identificam, referem -se a ou podem estar razoavelmente vinculadas a você ou sua casa. Por exemplo, pode incluir seu nome, número do Seguro Social, endereço de e -mail, registros de produtos comprados, histórico de navegação na Internet, dados de geolocalização, impressões digitais e inferências de outras informações pessoais que poderiam criar um perfil sobre suas preferências e características.

Informações pessoais sensíveis é um subconjunto específico de informações pessoais que inclui certos identificadores do governo (como números de previdência social); um login de conta, conta financeira, cartão de débito ou número de cartão de crédito com qualquer código de segurança, senha ou credenciais necessários que permitissem acesso a uma conta; geolocalização precisa; conteúdo de mensagens de correio, email e texto; dados genéticos; informações biométricas processadas para identificar um consumidor; informações sobre a saúde, a vida sexual ou a orientação sexual de um consumidor; ou informações sobre origem racial ou étnica, crenças religiosas ou filosóficas ou membros do sindicato. Os consumidores têm o direito de também limitar o uso e a divulgação de uma empresa de suas informações pessoais sensíveis.

Informações pessoais não incluem informações disponíveis ao público (incluindo registros públicos imobiliários/propriedades) e certos tipos de informações.

4. O que não é considerado informações pessoais sob o CCPA?

As informações pessoais não incluem informações publicamente disponíveis de registros do governo federal, estadual ou local, como licenças profissionais e registros de imóveis/imóveis públicos. A definição de informações publicamente disponíveis

A Califórnia tem GDPR

Multas e exposição financeira. As empresas não devem esquecer que, em caso de não conformidade, podem enfrentar danos adicionais, complementando os fornecidos pelo GDPR. Na CCPA, a aplicação do PROMOGRADO GERAL da Califórnia, que pode trazer uma ação civil ordenando que as empresas paguem danos de até US $ 7500 por violação intencional de qualquer disposição da Lei. Violações não intencionais que não são remediadas dentro de 30 dias após o aviso podem chegar a danos de até US $ 2500 por violação. Somente em caso de roubo de dados ou violação de segurança de dados os próprios consumidores têm um direito de ação privada por danos estatutários entre US $ 100 e US $ 750 por consumidor e incidente, ou danos reais, o que for maior, assim como qualquer outro alívio que um tribunal considere adequado. Além disso, o direito de consumidor bastante limitado, a lei também autoriza o procurador -geral a levar uma ação de classe civil. Se combinado com as multas administrativas de até 20 milhões de euros ou 4 % do faturamento anual total do mundo (o que for maior) fornecido pelo GDPR, o valor real pagável por violação e/ou violação de dados pode acabar sendo uma ameaça existencial para muitas empresas.

Lei de Privacidade do Consumidor da Califórnia (CCPA)

Essas perguntas frequentes fornecem informações gerais do consumidor sobre o CCPA e como você pode exercer seus direitos sob o CCPA. Eles não são aconselhamento jurídico, orientação regulatória ou uma opinião do procurador -geral. Vamos atualizar esta informação periodicamente.

A. Informações gerais sobre o CCPA

1. Que direitos eu tenho sob o CCPA?

  • Direito de saber: You can request that a business disclose to you: (1) the categories and/or specific pieces of personal information they have collected about you, (2) the categories of sources for that personal information, (3) the purposes for which the business uses that information, (4) the categories of third parties with whom the business discloses the information, and (5) the categories of information that the business sells or discloses to third parties. Você pode fazer um pedido para saber até duas vezes por ano, gratuitamente.
  • Direito de excluir: Você pode solicitar que as empresas excluam as informações pessoais que coletavam de você e peça aos provedores de serviços que façam o mesmo, sujeitos a certas exceções (como se a empresa for legalmente obrigada a manter as informações).
  • Direito de optar por não venda ou compartilhamento: Você pode solicitar que as empresas parem de vender ou compartilhar suas informações pessoais (“excluir”), inclusive por meio de um controle de privacidade global habilitado para usuários. As empresas não podem vender ou compartilhar suas informações pessoais depois de receberem sua solicitação de exclusão, a menos que você as autorize mais tarde a fazê-lo novamente.
  • Direito de corrigir: Você pode pedir às empresas para corrigir informações imprecisas que elas têm sobre você.
  • Direito para limitar o uso e a divulgação de informações pessoais sensíveis: Você pode direcionar as empresas a usar apenas suas informações pessoais sensíveis (por exemplo, seu número de segurança social, informações da conta financeira, seus dados de geolocalização precisos ou seus dados genéticos) para fins limitados, como fornecer os serviços solicitados.

Você também tem o direito de ser notificado, antes ou no ponto. Geralmente, as empresas não podem discriminar você por exercer seus direitos sob o CCPA. As empresas não podem fazer você renunciar a esses direitos, e qualquer disposição de contrato que diga que você renuncia a esses direitos é inexequível.

2. E se eu não for morador da Califórnia?

Somente os residentes da Califórnia têm direitos sob o CCPA. Um morador da Califórnia é uma pessoa natural (em oposição a uma corporação ou outra entidade comercial) que reside na Califórnia, mesmo que a pessoa esteja temporariamente fora do estado.

3. O que é considerado informações pessoais e informações pessoais sensíveis sob o CCPA?

Informações pessoais são informações que identificam, referem -se a ou podem estar razoavelmente vinculadas a você ou sua casa. Por exemplo, pode incluir seu nome, número do Seguro Social, endereço de e -mail, registros de produtos comprados, histórico de navegação na Internet, dados de geolocalização, impressões digitais e inferências de outras informações pessoais que poderiam criar um perfil sobre suas preferências e características.

Informações pessoais sensíveis é um subconjunto específico de informações pessoais que inclui certos identificadores do governo (como números de previdência social); um login de conta, conta financeira, cartão de débito ou número de cartão de crédito com qualquer código de segurança, senha ou credenciais necessários que permitissem acesso a uma conta; geolocalização precisa; conteúdo de mensagens de correio, email e texto; dados genéticos; informações biométricas processadas para identificar um consumidor; informações sobre um consumidor’s saúde, vida sexual ou orientação sexual; ou informações sobre origem racial ou étnica, crenças religiosas ou filosóficas ou membros do sindicato. Os consumidores têm o direito de também limitar um negócio’s Uso e divulgação de suas informações pessoais sensíveis.

Informações pessoais não incluem informações disponíveis ao público (incluindo registros públicos imobiliários/propriedades) e certos tipos de informações.

4. O que não é considerado informações pessoais sob o CCPA?

As informações pessoais não incluem informações publicamente disponíveis de registros do governo federal, estadual ou local, como licenças profissionais e registros de imóveis/imóveis públicos. A definição de informações disponíveis ao público também inclui informações de que uma empresa tem uma base razoável a acreditar que é legalmente disponibilizada ao público em geral pelo consumidor ou de mídia amplamente distribuída, ou certas informações divulgadas por um consumidor e disponibilizadas se o consumidor não restringir a informação a um público específico.

O CCPA também isenta certos tipos de informações, como certas informações médicas e informações de relatórios de crédito ao consumidor.

5. Que negócios o CCPA aplica a?

  • Ter uma receita anual bruta de mais de US $ 25 milhões;
  • Comprar, vender ou compartilhar as informações pessoais de 100.000 ou mais residentes, famílias ou dispositivos da Califórnia; ou
  • Derive 50% ou mais de sua receita anual da venda de residentes da Califórnia’ informações pessoais.

6. A CCPA se aplica a organizações sem fins lucrativos ou agências governamentais?

O CCPA geralmente não se aplica a organizações sem fins lucrativos ou agências governamentais.

7. O que posso fazer se eu acho que um negócio violou o CCPA?

Você não pode processar negócios pela maioria das violações da CCPA. Você só pode processar um negócio sob o CCPA se houver uma violação de dados e, mesmo assim, apenas em circunstâncias limitadas. Você pode processar um negócio se suas informações pessoais não criptografadas e não redigidas foram roubadas em uma violação de dados como resultado do negócio’s falha em manter procedimentos e práticas de segurança razoáveis ​​para protegê -lo. Se isso acontecer, você pode processar pela quantidade de danos monetários que realmente sofreu com a violação ou “danos estatutários” de até US $ 750 por incidente. Antes de processar, você deve notificar o negócio por escrito de quais seções da CCPA ele violou e permitir que 30 dias respondam por escrito que ele curou as violações e que não ocorrerão mais violações. Se o negócio é capaz de realmente curar a violação e fornecer sua declaração por escrito de que o fez, você não pode processar o negócio, a menos que continue a violar o CCPA contrário à sua declaração.

Para todas as outras violações do CCPA, apenas o procurador-geral ou a Agência de Proteção à Privacidade da Califórnia podem tomar medidas legais contra entidades não compatíveis. O procurador -geral não representa consumidores individuais da Califórnia. Usando queixas de consumidores e outras informações, o Procurador -Geral pode identificar padrões de má conduta que podem levar a investigações e ações em nome dos interesses legais coletivos do povo da Califórnia. Se você acredita. Se você optar por registrar uma reclamação em nosso escritório, explique exatamente como os negócios violaram o CCPA e descreva quando e como a violação ocorreu. Observe que o Procurador -Geral não pode representá -lo ou fornecer conselhos legais sobre como resolver sua reclamação individual. A partir de 1º de julho de 2023, você também poderá registrar reclamações na Agência de Proteção à Privacidade da Califórnia por violações do CCPA, conforme alterado, ocorrendo em ou após essa data.

8. Para que tipo de violação de dados posso processar um negócio sob o CCPA?

  • Seu número de Seguro Social
  • Seu motorista’N Número da licença, número de identificação tributária, número do passaporte, número de identificação militar ou outro número de identificação exclusivo emitido em um documento do governo comumente usado para identificar a identidade de uma pessoa
  • Número da sua conta financeira, número do cartão de crédito ou número do cartão de débito se combinado com qualquer código de segurança necessário, código de acesso ou senha que permitiria que alguém tenha acesso à sua conta
  • Suas informações médicas ou de seguro de saúde
  • Sua impressão digital, imagem ou íris ou outros dados biométricos exclusivos usados ​​para identificar a identidade de uma pessoa (mas não incluindo fotografias, a menos que seja usado ou armazenado para fins de reconhecimento facial)

Esta informação pessoal deve ter sido roubada em forma não criptografada e não redigida. Além disso, as informações pessoais devem ter sido roubadas em uma violação de dados como resultado do negócio’s falha em manter procedimentos e práticas de segurança razoáveis ​​para protegê -lo. Se isso acontecer, você pode processar pela quantidade de danos monetários que realmente sofreu com a violação ou “danos estatutários” de até US $ 750 por incidente. Antes de processar, você deve notificar o negócio por escrito de quais seções da CCPA ele violou e permitir que 30 dias respondam por escrito que ele curou as violações e que não ocorrerão mais violações. Se o negócio é capaz de realmente curar a violação e fornecer sua declaração por escrito de que o fez, você não pode processar o negócio, a menos que continue a violar o CCPA contrário à sua declaração.

9. As empresas precisam cumprir as emendas estatutárias da CPRA ao CCPA que entrou em vigor em 1º de janeiro de 2023?

Sim. Em 1º de janeiro de 2023, o CPRA’S emenda ao CCPA estão em vigor e as empresas devem cumprir todos os requisitos estatutários expressos. As empresas também devem cumprir os regulamentos da CCPA atualmente em vigor.

10. Existem algum regulamento da CCPA atualmente em vigor?

Sim. O Departamento de Justiça da Califórnia promulgou uma rodada inicial de regulamentos implementando o CCPA em 14 de agosto de 2020 e alterou em 15 de março de 2021. Esses regulamentos foram recentemente atualizados pela Agência de Proteção à Privacidade da Califórnia. Esses regulamentos aparecem no Título 11, Divisão 6, Seção 7001 e segs. do Código de Regulamentos da Califórnia e foram efetivos em 29 de março de 2023.

11. São as isenções estatutárias para dados de funcionários e transações de negócios para negócios ainda em vigor?

Não. As isenções para informações pessoais relacionadas ao emprego e informações pessoais que refletem transações de negócios para negócios descritas no Código Civil Sec. 1798.145 (m)-(n) expirou em 31 de dezembro de 2022.

12. Posso usar um agente autorizado para enviar uma solicitação?

Sim. Você pode autorizar outra pessoa a enviar uma solicitação CCPA em seu nome. Você também pode autorizar uma entidade comercial registrada no Secretário de Estado da Califórnia para enviar uma solicitação em seu nome.

Observe que, se você usar um agente autorizado, as empresas poderão exigir mais informações do agente autorizado ou de você para verificar se você é a pessoa que direciona o agente. Por exemplo, para solicitações para conhecer ou excluir suas informações pessoais, a empresa pode exigir. As empresas também podem exigir que você verifique sua identidade diretamente com a empresa ou confirme diretamente com os negócios que você deu ao agente autorizado permissão para enviar a solicitação.

B. Direito de optar por não venda ou compartilhamento

1. Qual é o direito de optar por não participar?

Você pode solicitar que as empresas parem de vender ou compartilhar suas informações pessoais (“excluir”). Observe que o compartilhamento refere-se especificamente ao compartilhamento de publicidade comportamental entre contextos, que é o direcionamento da publicidade a um consumidor com base no consumidor’Informações pessoais obtidas do consumidor’s Atividade online em vários sites. Com algumas exceções, as empresas não podem vender ou compartilhar suas informações pessoais depois de receber sua solicitação de opção, a menos que você forneça mais tarde autorização, permitindo que eles o façam novamente. As empresas devem esperar pelo menos 12 meses antes de pedir que você opte por voltar para a venda ou compartilhamento de suas informações pessoais.

2. As empresas podem vender uma criança’S informações pessoais?

As empresas só podem vender as informações pessoais de uma criança que sabem ter menos de 16 anos de idade se obtiver autorização afirmativa (“Opta-in”) para a venda da criança’S informações pessoais. Para crianças menores de 13 anos, essa opção deve vir da criança’s pai ou responsável. Para crianças que têm pelo menos 13 anos, mas com menos de 16 anos, o opt-in pode vir da criança.

3. Como faço para enviar meu pedido de exclusão?

As empresas que vendem informações pessoais estão sujeitas ao requisito do CCPA de fornecer um claro e conspícuo “Não venda ou compartilhe minhas informações pessoais” Link no site deles que permite enviar uma solicitação de opção. As empresas não podem exigir que você crie uma conta para enviar sua solicitação. As empresas também não devem exigir que você verifique sua identidade, embora possam fazer perguntas básicas para identificar quais informações pessoais estão associadas a você.

Você também pode enviar uma solicitação de exclusão por meio de um controle de privacidade global habilitado para usuários, como o GPC, discutido no FAQ 8 e 9 abaixo. Se você puder’T Encontre um negócio’s “Não venda ou compartilhe minhas informações pessoais” Link, revise sua política de privacidade para ver se ela vende ou compartilha informações pessoais. Se o negócio o fizer, também deve incluir esse link em sua política de privacidade.

Se um negócio’s “Não venda minhas informações pessoais” Link ou outro método designado de enviar solicitações de opt-out não está funcionando ou difícil de encontrar, notifique o negócio por escrito usando nossa ferramenta de privacidade do consumidor (https: // oag.ca.Gov/Consumer-Privacy-Tool). Ou você pode relatar o negócio ao nosso escritório (https: // oag.ca.Gov/Contact/Consumer-Complant-Against-Business-ou-Company).

4. Quanto tempo o negócio tem para responder à minha solicitação de exclusão?

As empresas devem responder o mais rápido possível à sua solicitação, até um máximo de 15 dias úteis a partir da data em que receberam sua solicitação para optar por não participar.

5. Por que o negócio está me pedindo mais informações?

Embora as empresas não precisem verificar se a pessoa que envia uma solicitação de opção é realmente o consumidor para quem a empresa tem informações pessoais, pode precisar solicitar informações adicionais para garantir que eles parem de vender a pessoa certa’S informações pessoais. Se a empresa solicitar informações pessoais para verificar sua identidade, só poderá usar essas informações para esse objetivo de verificação.

6. Por que os negócios negaram meu pedido de exclusão?

  • Venda ou compartilhamento é necessário para a empresa cumprir as obrigações legais, exercer reivindicações ou direitos legais ou defender reivindicações legais
  • As informações são informações disponíveis ao público, certas informações médicas, informações de relatórios de crédito ao consumidor ou outros tipos de informações isentas do CCPA.

Se você não sabe por que uma empresa negou sua solicitação de exclusão, acompanhe a empresa para pedir seus motivos.

7. Por que recebi uma resposta de que o negócio é um provedor de serviços que não precisa agir de acordo com o meu pedido?

Muitas empresas usam outras empresas para fornecer serviços para eles. Por exemplo, um varejista pode contratar um processador de cartão de pagamento para processar transações com cartão de crédito do cliente ou uma empresa de transporte para entregar pedidos. Essas entidades podem se qualificar como “provedores de serviço” sob o CCPA.

O CCPA trata os provedores de serviços de maneira diferente dos negócios que servem. É o negócio que é responsável por responder às solicitações do consumidor. Se você enviar uma solicitação para optar por uma provedora de serviços de uma empresa em vez da própria empresa, o provedor de serviços poderá negar o pedido. Você deve enviar seu pedido ao próprio negócio.

Se um provedor de serviços disse que não age ou não pode ou não agir de acordo com sua solicitação porque é um provedor de serviços, você pode acompanhar quem é a empresa. No entanto, às vezes o provedor de serviços não poderá fornecer essas informações. Você pode determinar quem é baseado nos serviços que o provedor de serviços fornece, embora às vezes isso possa ser difícil ou impossível.

8. Qual é o GPC?

As empresas que vendem ou compartilham informações pessoais devem oferecer dois ou mais métodos para os consumidores enviarem solicitações para optar por não obter a venda de suas informações pessoais. Para empresas que coletam informações pessoais dos consumidores on-line, um método aceitável para os consumidores optarem por não ter vendas ou compartilhamento é através de um controle de privacidade global habilitado para usuários, como o GPC. Desenvolvido em resposta ao CCPA e para melhorar os direitos de privacidade do consumidor, o GPC é um ‘Pare de vender ou compartilhar meu interruptor de dados’ que está disponível em alguns navegadores da Internet, como Mozilla Firefox, Duck Duck Go e Brave, ou como uma extensão do navegador. É um padrão técnico proposto que reflete o que os regulamentos da CCPA contemplaram-alguns consumidores querem uma opção abrangente que sinalize amplamente sua solicitação de exclusão, em vez de fazer solicitações em vários sites em diferentes navegadores ou dispositivos. Optar da venda ou do compartilhamento de informações pessoais deve ser fácil para os consumidores, e o GPC é uma opção para os consumidores que desejam enviar solicitações para optar por não participar da venda ou compartilhamento de informações pessoais por meio de um controle de privacidade global habilitado para usuário. Segundo a lei, deve ser homenageado por empresas cobertas como uma solicitação válida do consumidor para interromper a venda ou o compartilhamento de informações pessoais.

9. Como faço para enviar minha solicitação de exclusão usando o GPC?

Para saber mais sobre o GPC, você pode visitar o site aqui. Os desenvolvedores começaram a inovar em torno do GPC e criaram mecanismos diferentes para os consumidores, como ef’s Extensão de Badger de Privacidade ou o Brave Privacy Browser.

A Lei de Privacidade do Consumidor da Califórnia e o GDPR: dois do tipo?

Enquanto a poeira da entrada em vigor da União Europeia’S (UE) O Regulamento Geral de Proteção de Dados (GDPR) dificilmente se estabeleceu, uma nova lei de privacidade um tanto semelhante foi introduzida no exterior. A Lei de Privacidade do Consumidor da Califórnia (CCPA), adotada em 28 de junho de 2018, estabelece um dos regulamentos de privacidade de dados mais abrangentes nos EUA. Como tal, poderia ser considerado a contraparte dos EUA do GDPR.

Dado que muitas empresas globais ainda estão trabalhando febrilmente em sua conformidade com o GDPR, elas se perguntam corretamente se a implementação mundial do GDPR’S Medidas de proteção de privacidade serão suficientes para elas cumprirem o CCPA ou leis similares em todo o mundo.

Sem surpresa, a resposta a essa pergunta é não. Embora o CCPA’S O foco nos direitos de dados do consumidor fez comparações compreensivelmente com o GDPR, a conformidade com o último não significa necessariamente conformidade com o primeiro. Portanto, a seguir, algumas das principais diferenças e semelhanças entre o CCPA e o GDPR serão apresentadas, com o objetivo de fornecer uma primeira olhada no que os esforços adicionais devem considerar no período que’s Entrada em vigor em 1 de janeiro de 2020.

Aplicabilidade. Primeiro de tudo, as empresas globais precisarão verificar se, além do GDPR, o CCPA é aplicável a eles. O GDPR se aplica ao processamento de dados pessoais por controladores e processadores estabelecidos dentro da União Europeia, bem como aos estabelecidos fora da União Europeia que estão processando dados pessoais de sujeitos dentro da União. O CCPA, no entanto, apenas regula as empresas “fazendo negócios” No estado da Califórnia. Como tal, o CCPA não estende seu escopo para empresas das quais “Toda conduta comercial ocorre fora da Califórnia”. Além disso, o CCPA governa apenas o processamento de informações pessoais por uma entidade que decide sobre os meios e propósitos de processamento, i i.e., a ‘Controlador de dados’ No sentido do GDPR. Mais importante, as empresas que estão processando informações pessoais dos residentes da Califórnia não estão sujeitas ao novo ato, a menos que satisfaçam uma (ou mais) dos seguintes limites: (i) eles têm receitas brutas anuais de US $ 25 milhões; (ii) eles obtiveram as informações pessoais de 50 mil ou mais residentes, famílias ou dispositivos da Califórnia anualmente; ou (iii) eles adquiriram 50 % ou mais de sua receita anual com a venda de residentes da Califórnia’ informações pessoais.

Conceito de dados pessoais. Além disso, o conceito de dados pessoais/informações pessoais não é definido exatamente da mesma maneira sob as duas leis. Embora cada um deles se refere à informação ‘relacionado a’ Uma pessoa/consumidor, o CCPA também inclui explicitamente informações “que pode estar razoavelmente ligado a uma família”. Consequentemente, não apenas um consumidor’s endereço IP, mas também as faturas de utilidade de uma família californiana, constituem informações pessoais sob o CCPA. Dito isto, pode-se argumentar que o GDPR inclui implicitamente essas informações relacionadas à família no que se refere aos membros da família também.

Direitos de uso. Em termos de direitos concedidos ao consumidor, o CCPA e o GDPR mostram diferenças notáveis. O CCPA, diferentemente do GDPR, não define motivos legais para o processamento, nem exige consentimento explícito. No entanto, o ato visa promover os californianos’ direito à privacidade, dando aos consumidores maneiras eficazes de controlar suas informações pessoais. Consequentemente, o CCPA atribui grande importância ao direito dos consumidores de saber quais categorias de informações pessoais são coletadas sobre eles e concede a eles um amplo direito de acesso a uma cópia de suas informações pessoais coletadas. Embora esses direitos possam parecer semelhantes aos encontrados no GDPR, o CCPA vai além, incluindo certas obrigações muito prescritivas, como o dever de disponibilizar aos consumidores um número de telefone gratuito e endereço do site para enviar solicitações de informações.

Uso comercial. Outra provisão importante do CCPA que parece superar o nível de proteção conferido pelo GDPR diz respeito ao compartilhamento de informações pessoais para fins comerciais. Embora compartilhem informações pessoais relacionadas aos residentes da Califórnia com terceiros não são proibidos como tal, os californianos têm o direito de optar por não ser a venda de suas informações pessoais. Para reforçar esse direito, as empresas são obrigadas a fornecer um link claro em sua página inicial intitulada ‘Não venda minhas informações pessoais’, que permite ao consumidor optar por não participar. Este link também precisa ser incorporado na Política de Privacidade Online, juntamente com uma descrição do próprio direito. Levando em consideração também o GDPR’é o direito mais geral de restringir ou se opor ao processamento de dados pessoais, as empresas podem experimentar o compartilhamento de dados pessoais para se tornar cada vez mais difícil.

Direitos iguais. O CCPA estipula que os californianos têm o direito de igual a serviço e preço, mesmo que exerçam seus direitos de privacidade. Isso significa que as empresas estão proibidas de negar bens ou serviços, cobrar preços diferentes ou fornecer níveis diferentes ou qualidade de serviço para os consumidores que exercem seus direitos de privacidade. Por outro lado, as empresas podem oferecer incentivos financeiros para a coleta ou venda de informações pessoais e podem até diferenciar o preço ou a qualidade dos bens e serviços se essa diferença estiver diretamente relacionada ao valor fornecido ao consumidor por seus dados. Como essas últimas exceções parecem estar engolindo a regra, ainda não se sabe como os diferenciais de preços permitidos funcionarão na prática. No entanto, dado que o CCPA é entendido como um trabalho em andamento, espera -se que essas disposições sejam o objeto de futuras alterações.

Algumas semelhanças. Além de diferenças, o CCPA e o GDPR têm muito em comum. Ambas as leis lidam com os mesmos temas amplos, como a transparência, e cada uma delas estabelece um direito semelhante para excluir dados pessoais (‘direito de ser esquecido’), bem como um direito à portabilidade de dados.

Segurança de dados. Quando se trata de segurança de segurança e resposta de dados, o CCPA tende a ser menos rigoroso que o GDPR. Embora as empresas tenham o dever de implementar e manter procedimentos e práticas razoáveis ​​de segurança apropriados à natureza da informação, elas não precisam relatar violações de dados quando elas ocorrem. Consequentemente, se uma empresa está em conformidade com o GDPR em termos de proteger dados, é provável que não precise tomar nenhuma ação adicional para cumprir o CCPA nesse aspecto.

Multas e exposição financeira. As empresas não devem esquecer que, em caso de não conformidade, podem enfrentar danos adicionais, complementando os fornecidos pelo GDPR. Na CCPA, a aplicação do PROMOGRADO GERAL da Califórnia, que pode trazer uma ação civil ordenando que as empresas paguem danos de até US $ 7500 por violação intencional de qualquer disposição da Lei. Violações não intencionais que não são remediadas dentro de 30 dias após o aviso podem chegar a danos de até US $ 2500 por violação. Somente em caso de roubo de dados ou violação de segurança de dados os próprios consumidores têm um direito de ação privada por danos estatutários entre US $ 100 e US $ 750 por consumidor e incidente, ou danos reais, o que for maior, assim como qualquer outro alívio que um tribunal considere adequado. Além disso, o direito de consumidor bastante limitado, a lei também autoriza o procurador -geral a levar uma ação de classe civil. Se combinado com as multas administrativas de até 20 milhões de euros ou 4 % do faturamento anual total do mundo (o que for maior) fornecido pelo GDPR, o valor real pagável por violação e/ou violação de dados pode acabar sendo uma ameaça existencial para muitas empresas.

Conclusão

É claro que, independentemente de quaisquer implementações anteriores do GDPR, as empresas terão que gastar muito esforço para alcançar a conformidade com os direitos e obrigações fornecidas pela Lei de Privacidade do Consumidor da Califórnia. Em essência, as empresas terão que revisitar seus modelos de negócios de monetização de dados, adaptar suas políticas de privacidade, melhorar seus sistemas e processos internos para acomodar os direitos do consumidor e manter registros extensos das informações pessoais que processam.

Para empresas que operam globalmente, navegar nas leis de proteção de dados também pode ser complicado. Ou eles podem decidir reformar suas práticas de manuseio de dados para cumprir o CCPA e o GDPR, ou podem configurar uma abordagem de proteção de dados de retalhos que se diferencia entre californianos e outros consumidores. De qualquer forma, é aconselhável convocar um advogado que entenda as necessidades da empresa e seja versado nas duas leis. Somente então uma estratégia de conformidade bem considerada pode ser alcançada.

Geert Somers é um parceiro e mentira Boghaert, um advogado, no momento.Lex. Somers pode ser contatado em +32 (0) 474 89 04 20 ou por e -mail: [email protected]. MS Boghaert pode ser contatada em +32 (0) 479 10 36 38 ou por e -mail: [email protected].

Lei de Privacidade do Consumidor da Califórnia (CCPA) vs. GDPR

As leis de privacidade de dados estão rapidamente se tornando um elemento primário em qualquer conversa de segurança de dados: da UE’S GDPR para a Lei de Privacidade do Consumidor da Califórnia para o Japão’s Aja sobre a proteção de informações pessoais, a capacidade de proteger os dados do consumidor é o topo de espírito. Para empresas que são construídas em torno dos dados do consumidor, a confiança do consumidor se torna uma parte vital de seu modelo de negócios.

Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (GDPR) da UE entrou em vigor. E na esteira da UE’S GDPR veio outra mudança de privacidade de dados – a Lei de Privacidade do Consumidor da Califórnia (CCPA). Em 28 de junho de 2018, o governador Jerry Brown assinou o CCPA, que promulgará parte do país’S Proteções mais poderosas de privacidade de dados do consumidor em lei.

Obtenha o guia essencial gratuito para a conformidade e os regulamentos da proteção de dados dos EUA

Com a devastadora série de incidentes de violação de dados nos últimos dois anos, muitas perguntas e preocupações surgiram sobre a maneira como os dados do consumidor estão sendo tratados. 2017 foi o ano da violação de dados com a magnitude de incidentes de alto perfil em empresas como Equifax e Yahoo. Ataques como esses fazem com que as violações de dados pareçam parte da vida normal – não apenas nos Estados Unidos, mas em todo o mundo.

Enquanto o GDPR foi criado para proteger os cidadãos da UE, seu impacto abrange muito mais longe. O CCPA é um resultado do GDPR’está atingindo a influência, mudando as prioridades do governo e tornando -as mais dispostas a proteger a privacidade individual. Embora o CCPA não entre em vigor até 1º de janeiro de 2020,’É importante estar ciente das políticas e processos necessários para a conformidade e analisar o impacto atual e futuro que terá em comparação com o GDPR.

Visão geral do CCPA

As empresas têm um histórico de uso de informações pessoais para beneficiar sua própria agenda: a Lei de Privacidade do Consumidor da Califórnia (CCPA) servirá para proteger os direitos do consumidor da Califórnia e incentivar a privacidade mais forte e a maior transparência geral. Ele dará à propriedade, controle e segurança dos consumidores sobre suas informações pessoais – e os consumidores terão a capacidade de solicitar que qualquer empresa divulgue (e exclua) as informações pessoais que coleta e solicite que seus dados não sejam vendidos a terceiros.

Essas proteções de dados dão aos californianos o direito de:

  • Saiba que informações pessoais estão sendo coletadas
  • Acesse as informações pessoais coletadas e solicite que sejam excluídas
  • Saiba se suas informações pessoais estão sendo compartilhadas e, em caso afirmativo
  • Optar-não da venda de suas informações pessoais
  • Tenha serviço e preço iguais, se eles optam por exercer seus direitos de privacidade

As empresas também serão proibidas de vender as informações pessoais dos consumidores de 13 a 16 anos (a menos que o consumidor opte). Para consumidores com menos de 13 anos, o consentimento de um pai ou responsável será necessário. Essas novas proteções não apenas afetam os consumidores da Califórnia, mas também os negócios da Califórnia.

Quem faz o CCPA se aplica a?

A Lei de Privacidade do Consumidor da Califórnia define um negócio como uma entidade com fins lucrativos que coleta dados pessoais do consumidor. Então, se você’Re um negócio no estado da Califórnia que atende a pelo menos um dos limites a seguir, você pode estar sujeito a conformidade:

  • Empresas que ganham US $ 25.000.000 ou mais por ano em receita
  • Empresas que compram, recebem, vendem ou compartilham informações pessoais de 50.000 ou mais consumidores, famílias ou dispositivos para fins comerciais
  • Negócios que derivam 50% ou mais de sua receita anual da venda de informações pessoais do consumidor

Sob o CCPA, os cidadãos da Califórnia terão a capacidade de levar um processo de ação civil contra empresas que não cumprem a lei. O estado também pode levar essas cobranças diretamente a uma empresa – cobrando uma multa de US $ 7.500 por qualquer violação que não seja abordada dentro de 30 dias.

dados em negócios

Por que a Califórnia’a nova lei da lei para todos os outros? Isto’s Parte de uma tendência global empurrando as empresas a uma maior responsabilidade no que diz respeito à proteção dos dados do consumidor. Além disso, deu a outros países e declara um esforço para a importância de levar dados pessoais e direitos ao consumidor para a privacidade de dados mais a sério. O principal proponente do CCPA Alastair Mactaggart afirmou que, “Embora essa lei apenas cubra a Califórnia atualmente, as grandes empresas em breve terão que oferecer direitos semelhantes aos americanos.”

CCPA vs. GDPR

O regulamento europeu de proteção de dados geral é uma evolução da UE’s Regras de dados existentes, a Diretiva de Proteção de Dados (DPD). Ele aborda muitas das deficiências do DPD, incluindo a adição de requisitos para documentar procedimentos de TI, executar avaliações de risco sob certas condições, notificando o consumidor e as autoridades quando houver uma violação e fortalecer as regras para minimização de dados. Pessoas familiarizadas com o GDPR notarão algumas semelhanças fortes com o CCPA.

Diz -se que o CCPA é um modelo do GDPR. E, com a aprovação recente do CCPA, muitas pessoas se perguntam como ela se compara ao GDPR – com algumas até chamando de versão americana do regulamento. Não importa o quão influenciado o CCPA possa ter sido pelo GDPR, há algumas diferenças claras que vale a pena notar em cada legislação.

Tanto o CCPA quanto o GDPR dão aos indivíduos certos direitos sobre como suas informações pessoais são coletadas e usadas, no entanto, existem vários contrastes importantes para estar ciente de. Como a Califórnia tem uma economia muito maior que o Reino Unido, as implicações das penalidades podem ser ainda mais graves que as do GDPR. Mesmo que o CCPA não entre em vigor até 2020, nós’já estou vendo isso influenciar a legislação federal.

Confira nosso diagrama interativo de Venn abaixo para entender melhor as semelhanças e diferenças entre o GDPR e o CCPA.

Lei de Privacidade do Consumidor da Califórnia (CCPA): O que você precisa saber para ser compatível

No final de junho de 2018, a Califórnia aprovou a AB 375, uma Lei de Privacidade do Consumidor que poderia ter mais repercussões em você.S. empresas do que a União Europeia’s Regulamento Geral de Proteção de Dados (GDPR) que entrou em vigor em maio de 2018. A lei da Califórnia não possui alguns dos requisitos mais onerosos do GDPR, como a estreita janela de 72 horas na qual uma empresa deve relatar uma violação. Em outros aspectos, no entanto, vai ainda mais.

O CCPA tem uma visão mais ampla que o GDPR do que constitui dados privados. O desafio para a segurança, então, é localizar e proteger esses dados privados.

Qual é o CCPA?

A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma lei que permite que qualquer consumidor da Califórnia exija que veja todas as informações que uma empresa economizou nelas, bem como uma lista completa de todos os terceiros com os quais os dados são compartilhados. Além disso, a lei da Califórnia permite que os consumidores procurem empresas se as diretrizes de privacidade forem violadas, mesmo que não haja violação.

Quais empresas afetam o CCPA?

Todas as empresas que atendem aos residentes da Califórnia e têm pelo menos US $ 25 milhões em receita anual devem cumprir a lei. Além disso, empresas de qualquer tamanho que possuem dados pessoais sobre pelo menos 50.000 pessoas ou que coletam mais da metade de suas receitas com a venda de dados pessoais, também se enquadram na lei. As empresas não precisam se basear na Califórnia ou ter uma presença física lá para se enquadrar na lei. Eles nem precisam se basear nos Estados Unidos.

Uma emenda feita em abril isenta “Instituições de seguros, agentes e organizações de apoio” como eles já estão sujeitos a regulamentos semelhantes sob a Califórnia’s Lei de Informações de Seguro e Proteção de Privacidade (IIPPA).

Quando minha empresa precisa cumprir o CCPA?

A lei entrou em vigor em 1º de janeiro de 2020, mas a execução começou em 1º de julho.

O que acontece se minha empresa não estiver em conformidade com o CCPA?

As empresas têm 30 dias para cumprir a lei, uma vez que os reguladores as notificam de uma violação. Se o problema não for resolvido, há uma multa de até US $ 7.500 por registro. “Se você pensa em quantos registros são afetados em uma violação, isso realmente aumenta muito rapidamente”, diz Debra Farber, diretora sênior de estratégia de privacidade da Bigid. Como a conta foi montada e passada em apenas uma semana, provavelmente verá algumas emendas, ela acrescenta. “Coisas como as quantidades finas provavelmente mudarão.”

Há também outro risco financeiro potencial, diz Farber. “O projeto prevê o direito de um indivíduo de processar, pela primeira vez”, ela diz. “E permite ações de ação coletiva por danos.”

Novamente, há uma janela de 30 dias que começa quando os consumidores notificam por escrito a uma empresa de que eles acreditam que seus direitos de privacidade foram violados. “Se não estiver curado, e o procurador -geral se recusa a processar, eles podem trazer um processo de ação coletiva”, diz Farber. “E não é apenas violações.”

Por exemplo, a lei especifica que as empresas devem ter um rodapé claramente visível em sites que oferecem aos consumidores a opção de optar por não participar do compartilhamento de dados. Se esse rodapé estiver faltando, os consumidores podem processar. Eles também podem processar se não conseguirem descobrir como suas informações foram coletadas ou obter cópias dessa informação. “Pode estar em torno de qualquer coisa “, diz Farber.

A lei atribui penalidades específicas deve ocorrer acesso não autorizado, seja por violação, exfiltração, roubo ou “Divulgação como resultado do negócio’ violação do dever de implementar e manter procedimentos e práticas razoáveis ​​de segurança,” Como atualmente escrito, o AB 375 permite multas de US $ 100 a US $ 750 por consumidor por incidente ou danos reais, o que for maior.

“Adicione todos os outros custos relacionados à violação – resposta de TI, forense e recuperação, legal, notificação etc.

Em geral, se uma empresa tomou as medidas necessárias para cumprir o GDPR, é a maior parte do caminho para a Lei de Privacidade do Consumidor da Califórnia. Pelo menos, é mais próximo do que se não estiver pronto para o GDPR, diz Eric Dieterich, líder de prática de privacidade de dados da Focal Point Data Risk, LLC. “Algumas multinacionais fizeram mudanças para seus mercados europeus, mas talvez não o lançassem.S.-atividades baseadas, então pode haver uma mudança de escopo “, diz ele.

Quais dados a CCPA cobre?

A lei da Califórnia adota uma abordagem mais ampla para o que constitui dados confidenciais do que o GDPR. Por exemplo, informações olfativas são abordadas, bem como a história e os registros das interações de um visitante com um site ou aplicativo. Aqui’s O que AB 375 considera “informações pessoais”:

  • Identificadores como um nome real, alias, endereço postal, identificador pessoal exclusivo, endereço IP do identificador online, endereço de email, nome da conta, número do Seguro Social, driver’N Número da licença, número do passaporte ou outros identificadores semelhantes
  • Características de classificações protegidas sob a Califórnia ou lei federal
  • Informações comerciais, incluindo registros de bens pessoais, produtos ou serviços adquiridos, obtidos ou considerados, ou outros compras ou consumindo histórias ou tendências
  • Informações biométricas
  • Internet ou outras informações de atividade de rede eletrônica, incluindo, entre outros’s interação com um site, aplicativo ou anúncio
  • Dados de geolocalização
  • Informações de áudio, eletrônico, visual, térmico, olfativo ou similar
  • Informações profissionais ou relacionadas ao emprego
  • Informações educacionais, definidas como informações que não estão disponíveis ao público, informações de identificação pessoal (PII), conforme definido na Lei de Direitos e Privacidade da Educação Familiar (20 U.S.C. Seção 1232g, 34 C.F.R. Parte 99)
  • Inferências extraídas de qualquer uma das informações identificadas nesta subdivisão para criar um perfil sobre um consumidor refletindo o consumidor’s preferências, características, tendências psicológicas, preferências, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões

Uma emenda, AB 874, atualmente aguardando a assinatura do governador isentaria publicamente, desativada e agregada informações do consumidor de serem classificadas como PII. As informações publicamente disponíveis são definidas como dados disponíveis e mantidos nos registros do governo.

O CCPA originalmente cobriu funcionários e dados do consumidor. Uma emenda foi aprovada em abril, no entanto, isenta os dados dos funcionários do regulamento. Outra emenda, AB 25, isenta parcialmente as informações pessoais coletadas de candidatos a emprego, proprietários, diretores, oficiais, equipe médica e contratados. Esta isenção expiraria em 1 de janeiro de 2021. AB 25 estava aguardando a assinatura do governador neste escrito.

Quais são as principais disposições de privacidade no CCPA?

As empresas devem permitir que os consumidores optem por não ter seus dados compartilhados com terceiros. Isso significa que as empresas agora terão que separar os dados que coletam de acordo com as opções de privacidade dos usuários.

Além disso, embora uma empresa não possa recusar o serviço igual aos usuários, ela pode oferecer incentivos aos usuários que fornecem informações pessoais. “Esta disposição pode estar sujeita a alterações, mas, como declarado hoje, oferece a capacidade de oferecer descontos a pessoas que estão dispostas a ter seus dados compartilhados ou vendidos a terceiros”, diz Dieterich. “Tradicionalmente, os sistemas não são projetados para que sua estrutura de preços possa mudar dependendo de suas opções de privacidade. Esse é um novo conceito que tem implicações muito técnicas.”

Outra grande diferença com o GDPR é que a lei da Califórnia permite que os clientes sejam muito maiores de acesso a seus registros, diz Subra Ramesh, svp de produtos da DataGuise. Um consumidor da Califórnia tem o direito de descobrir quais informações uma empresa coleta sobre eles. A maioria das empresas terá problemas para reunir essas informações. “Primeiro, a quantidade de dados que eles coletam já é enorme e continua a crescer, geralmente entre centenas a milhares de terabytes, e com organizações de nível empresarial processando petabytes de dados”, diz ele.

Esses dados estão contidos em várias plataformas de armazenamento, em diferentes tempos de arquivo. “A maioria das ferramentas de pesquisa de arquivos não tem a capacidade de pesquisar nos ecossistemas modernos de repositório de arquivos tão prevalecentes hoje,” diz Aaron Ganek, CEO da CloudTenna. “Gerenciamento de arquivos cross-silo é um grande desafio. É difícil entender o contexto para cada arquivo se eles estiverem espalhados em diferentes repositórios.”Além disso, os problemas de conformidade estão associados a reunir dados, ele diz. “As ferramentas empresariais legadas lutam para observar as permissões e modelos de segurança díspares, violando as próprias leis e regulamentos que eles’estar sendo usado para satisfazer.”

Depois, há o limite de tempo. “Após a solicitação de acesso, uma empresa tem 45 dias para fornecer um relatório abrangente sobre que tipo de informação possui, foi vendido e a quem, e se foi vendido a terceiros nos últimos 12 meses, deve fornecer os nomes e endereços dos terceiros para os quais os dados são vendidos”, diz John Tsopanis, Gerente de Produto Privacy em 1Touch 1Touch.io. “Você não pode fazer isso na Europa.”

Como a regra cobre os 12 meses anteriores, as empresas precisam começar a cumprir seis meses daqui a. Então, em 1 de janeiro de 2020, toda empresa precisa divulgar todas as outras empresas a que vendem dados. “Isso mudará o cenário de privacidade na América para sempre”, diz Tsopanis.

O que o CCPA significa para a segurança?

AB 375 é leve sobre os requisitos em torno de segurança e resposta à violação quando comparado ao GDPR. Como afirmado anteriormente, a lei define penalidades para empresas que expõem os dados do consumidor devido a uma violação ou lapso de segurança. Também permite que os tribunais ofereçam “alívio cautelar ou declaratório,” ou “qualquer outro alívio que o tribunal considere adequado.”

As empresas não precisam relatar violações sob AB 375, e os consumidores devem registrar reclamações antes que as multas sejam possíveis. O melhor curso de ação para segurança, então, é saber quais dados AB 375 define como dados privados e tomam medidas para secretá -los. Novamente, qualquer organização que cumpra o GDPR provavelmente não precisa tomar mais medidas para cumprir com AB 375 em termos de proteger dados.

Os requisitos do AB 375 sobre o rastreamento, acesso e armazenamento de dados que significam as equipes de segurança precisarão trabalhar em estreita colaboração com administradores de banco de dados, diz Terry Ray, vice -presidente sênior e colega da Imperva, um fornecedor de segurança cibernética. Quaisquer ferramentas selecionadas para ajudar a lidar com o AB 375 não precisarão apenas ter visibilidade total dos dados armazenados em todo o ambiente corporativo heterogêneo, mas também garantir que o acesso a esses dados seja garantido corretamente. “Por fim, eles precisarão dessas ferramentas para cooperar com o novo portal do consumidor, compartilhando dados específicos do consumidor com o consumidor verificável solicitando”, diz ele.

Se os dados forem armazenados com os provedores de nuvem, o problema fica pior. Por exemplo, os funcionários podem configurar uma conta de compartilhamento de arquivos para acompanhar os contatos de marketing ou vendas. “Isto’Não surpreende que as grandes empresas de tecnologia como Google e Facebook se opuseram à conta “, diz Kevin Bocek, vice -presidente de estratégia de segurança e inteligência de ameaças na Venafi. “Controlar a privacidade e as informações pessoais que flui entre máquinas é incrivelmente difícil, e um grande desafio para todos os negócios.”

Um trabalho em andamento

O projeto foi reunido em apenas sete dias porque os legisladores queriam evitar uma iniciativa de votação para aprovar uma lei ainda mais rigorosa que foi oposta por muitas empresas de tecnologia. “No momento, muitas das disposições e definições entram em conflito”, diz Andy Dale, conselheiro geral e vice -presidente de privacidade global no SessionMMM.

Uma área problemática é se uma empresa pode cobrar preços diferentes dos consumidores com base em suas configurações de privacidade. Por exemplo, muitas empresas têm uma opção em que um consumidor pode atualizar para uma camada paga onde não vêem nenhum anúncio. Aqui, a lei atualmente escrita é um pouco contraditória.

“Se o consumidor exercer seus direitos sob o regulamento, as empresas não podem fornecer um nível ou qualidade diferente de produtos, bens ou serviços ao consumidor”, diz Pravin Kothari, CEO da CipherCloud. “Do outro lado da moeda, de acordo com o regulamento, as empresas não são proibidas de cobrar a um consumidor um preço ou taxa diferente ou de fornecer um nível ou qualidade diferente de bens ou serviços ao consumidor, se essa diferença estiver razoavelmente relacionada ao valor fornecido ao consumidor pelo consumidor’s dados.”

Parece que a Califórnia está tentando definir uma estrutura onde os consumidores podem ser pagos por compartilhar seus dados, diz Kothari. “Nesta área, a legislação é um pouco visionária”, diz ele. “Vamos ver na prática como isso realmente funciona.”

Mais no CCPA:

  • 9 perguntas da CCPA Cada CISO deve estar preparado para responder
  • O CCPA é uma oportunidade de colocar sua casa de segurança de dados em ordem
  • O que é “segurança razoável”? E como atender ao requisito
  • Leve a sério a proteção de dados do consumidor
  • Como a propriedade do cidadão dos dados afeta os negócios daqui para frente
  • As 10 empresas mais poderosas de segurança cibernética
  • 7 tendências quentes de segurança cibernética (e 2 indo frio)
  • As vulnerabilidades Apache Log4J: uma linha do tempo
  • Usando a estrutura de segurança cibernética do NIST para lidar com o risco organizacional
  • 11 Ferramentas de teste de penetração Os profissionais usam