Ninguém está pronto para a nova lei de privacidade do consumidor da Califórnia

Ilustração: Alex Castro / The Verge

A Califórnia Consumer Privacy Act entra em vigor 01 de janeiro, e não se parece com ninguém, mesmo o estado da Própria Califórnia, está totalmente pronto. Os projectos de regulamentopara a aplicação da lei ainda estão a ser finalizados a nível estadual, e as questões sobre aspectos específicos da regulamentação de privacidade mais abrangente, uma vez que o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia ainda não está claro.

“Se você pensou que o GDPR era acidentado, o CCPA vai ser uma montanha-russa real”, diz Reece Hirsch The Verge. Hirsch é co-chefe da prática de privacidade e segurança cibernética da Morgan Lewis e tem assessorado os clientes sobre como se adaptar à nova lei. “Este é um conjunto complexo de novas regras, que ainda são um trabalho em andamento.”

O cerne da CCPA é o seguinte: se a sua empresa compra ou vende dados sobre pelo menos 50.000 residentes da Califórnia a cada ano, você tem que divulgar a esses moradores o que você está fazendo com os dados, e, eles podem pedir que você não vendê-lo. Os consumidores também podem solicitar que as empresas vinculadas pelo CCPA excluam todos os seus dados pessoais. E como o The Wall Street Journal relatou, sites com rastreamento de terceiros devem adicionar um botão “Não venda minhas informações pessoais” que, se clicada, proíbe o site de enviar dados sobre o cliente para terceiros, incluindo anunciantes.

Apesar da handwringing antes de seu prazo no ano passado, a adoção oficial do GDPR foi tão bem como se poderia esperar. Facebook e Google já estão enfrentando ações judiciais de bilhões de dólares sobre alegadas violações do GDPR, mas será anos antes de esses processos são fechados. Até esse momento, as pequenas empresas terão apenas uma noção confusa de como eles podem ser vulneráveis à regra, e conformidade continua a ser uma espécie de quebra-cabeça.

Mas o CCPA é susceptível de ser um desafio de conformidade ainda maior. É a primeira legislação abrangente nos EUA a dar aos consumidores o controle sobre como suas informações pessoais são usadas on-line e pode sinalizar como outros estados procurarão proteger a privacidade de seus moradores, diz Hirsch.

Ele está aconselhando os clientes não só atualizar suas políticas de privacidade, mas também criar processos para reter cópias de quaisquer informações pessoais coletadas sobre os consumidores. Hirsch também está aconselhando as empresas a determinar quem responderá e lidará com os pedidos de informações dos consumidores e a exclusão dessas informações.

Califórnia Procurador-Geral Xavier Becerra disse no início deste mês que, embora a aplicação generalizada da CCPA não é provável até julho, as empresas não devem ver os primeiros seis meses do ano como um período de carência. “Vamos tentar ajudar as pessoas a entender a nossa interpretação da lei”, disse Becerra na semana passada, como citado pelo San Francisco Chronicle. “E uma vez que fizemos essas coisas, nosso trabalho é ter certeza de que há conformidade, então vamos fazer cumprir.”

James Steyer, CEO da organização de defesa da privacidade das crianças Common Sense, diz que acha que a maioria das empresas está fazendo esforços de boa fé para entrar em conformidade com a CCPA. Microsoft anunciou no mês passado que planeja implementar as disposições do CCPA não apenas na Califórnia, mas para todos os seus clientes, também.

Facebook parece estar tomando uma abordagem diferente para CCPA, enfatizando que “nós não vendemos dados das pessoas”, de acordo com uma postagem no blog de dezembro. O Facebook diz que já tem ferramentas para permitir que os usuários acessem e excluam suas informações, onde quer que vivam. O serviço tem uma página CCPA onde os residentes da Califórnia podem solicitarinformações sobre qualquer um de seus produtos – WhatsApp, Instagram, Portal, Messenger Kids e o próprio Facebook. Como resultado, o Facebook se vê como em grande parte já em conformidade com a CCPA.

Steyer discorda da postura do Facebook, uma vez que, como diz ele, o modelo de negócios da empresa é baseado na coleta e monetização dos dados de seus usuários. A Califórnia deveria estar acompanhando como as empresas coletam e usam os dados de seus clientes, e não apenas se vendem esses dados, acrescenta.

“Como infelizmente se tornou o costume, o Facebook é o maior outlier único”, diz Steyer. “A Becerra terá que se concentrar em holdings como o Facebook para prestar contas.”

Facebook se recusou a comentar mais.

Hirsch diz que não está totalmente claro o que a Califórnia está usando como sua definição de uma “venda” de informações do consumidor. Outra questão: como uma empresa vai garantir que está excluindo os dados do cliente certo sem coletar mais informações para verificá-los?

“A definição ampla de ‘venda’ é um ponto de dor para muitas empresas porque potencialmente inclui o compartilhamento de informações para publicidade on-line”, diz Hirsch. Os acordos de prestadores de serviços são outra área em que as empresas terão de analisar de perto as suas práticas; um acordo com um subcontratado ou fornecedor deve explicitar cuidadosamente como qualquer informação pessoal é usada ou compartilhada, acrescentou Hirsch.

A maioria das grandes empresas de tecnologia, diz Steyer, vê a CCPA como sendo de seus interesses de longo prazo porque criará mais confiança entre os consumidores. Mas com sua enorme quantidade de gafes de privacidade ao longo dos últimos anos, é intrigante porque o Facebook não aproveitaria a oportunidade para melhorar seu histórico de privacidade.

“Este é um momento marcante, é a primeira grande legislação abrangente de privacidade aprovada nos EUA desde que Zuckerberg estava no jardim de infância”, diz Steyer. “Mas o Facebook está tentando encontrar maneiras de contornar a lei.”

Click here for more information