CCPA (Lei de Privacidade do Consumidor da Califórnia)

Visão geral do CCPA

A Lei de Privacidade do Consumidor da Califórnia (CCPA) é a primeira lei abrangente de privacidade no Estados Unidos. Ele fornece vários direitos de privacidade aos consumidores da Califórnia. As empresas regulamentadas pela CCPA terão uma série de obrigações com esses consumidores, incluindo divulgações, DSRs (Regulamento Geral de Proteção de Dados) como dSRs (consumer data subject), um "opt-out" para determinadas transferências de dados e um requisito de "opt-in" para menores.

O CCPA só se aplica a empresas que fazem negócios na Califórnia e satisfaz um ou mais dos seguintes: (1) têm uma receita anual bruta de mais de US $ 25 milhões, ou (2) derivam mais de 50% de sua renda anual da venda de informações pessoais do consumidor da Califórnia, ou (3) comprar, vender ou compartilhar as informações pessoais de mais de 50.000 consumidores da Califórnia anualmente.

O CCPA entrou em vigor em 1º de janeiro de 2020. A execução pela Procuradoria Geral da Califórnia (AG) começou em 1º de julho de 2020.

A Ag da Califórnia impõe o CCPA e tem poder para emitir multas de não conformidade. O CCPA também fornece um direito privado de ação limitado a violações de dados. Sob o direito de ação privada, os danos podem ficar entre $100 e $750 por incidente por consumidor. A Califórnia AG também pode reforçar a CCPA integralmente com a capacidade de aplicar uma penalidade civil de não mais de $2.500 por violação ou $7.500 por violação intencional.

Microsoft e o CCPA

Para clientes comerciais que fazem negócios na Califórnia, a Microsoft atua como um "provedor de serviços" em relação à nossa oferta de Serviços Online e Serviços Profissionais. Os termos dos Termos dos Serviços Online (OST) e do Adendo de Proteção de Dados dos Serviços Profissionais da Microsoft (MSDPA) já atendem aos requisitos dos Provedores de Serviços sob o CCPA e geralmente são suficientes para permitir que os clientes continuem a transferir dados para nossos Serviços Online. Como tal, nenhuma alteração contratual adicional é necessária para que os clientes possam contar com a Microsoft como provedor de serviços sob o CCPA.

Conforme estabelecido no OST, a Microsoft cumpre todas as leis e regulamentos aplicáveis à sua disposição dos Serviços Online, que incluiriam o CCPA.

Plataformas e serviços em nuvem no escopo da Microsoft

Como você pode se preparar para sua conformidade com o CCPA ao usar produtos e serviços da Microsoft

Aqui estão algumas etapas que você pode tomar para se preparar para o CCPA:

  • Comece a aproveitar a avaliação do GDPR no Gerenciador de Conformidade como parte do programa de privacidade do CCPA.
  • Estabeleça um processo para responder com eficiência às DSARs (Solicitações de Acesso do Titular de Dados) usando a ferramenta Solicitações de Assunto de Dados.
  • Configure rótulo e políticas para descobrir, classificar & rótulo e proteger dados confidenciais com Proteção de Informações do Microsoft Purview.
  • Use os recursos de criptografia de email para controlar ainda mais as informações confidenciais.

Perguntas frequentes

Como o CCPA afetará a minha empresa?

Muitos dos direitos da CCPA concedidos aos californianos são semelhantes aos direitos que o GDPR fornece, incluindo as solicitações de DSR (direito de informação e divulgação), como acesso, exclusão e portabilidade. Como tal, o cliente pode procurar nossas soluções de GDPR já existentes para ajudá-los com sua conformidade com o CCPA.

Para iniciar sua jornada de CCPA, você deve se concentrar na Descoberta de informações, determinando como as informações pessoais são compartilhadas, regendo como elas são usadas, como elas são protegidas e tendo um programa formal de resposta a violação de dados em vigor.

Quais são as diferenças entre RGPD e CCPA?

Existem muitas diferenças. É mais fácil focar nas similaridades, incluindo:

  • Obrigações de transparência/divulgação,
  • Direitos do consumidor para acessar, excluir e receber uma cópia de dados,
  • Definição de "provedores de serviços" semelhante à forma como o GDPR define 'processadores' com uma obrigação contratual semelhante e
  • Definição de "empresas" que abrange a definição gdpr de "controladores".

A maior diferença no CCPA é o principal requisito para habilitar uma saída de vendas de dados para terceiros (com 'venda' amplamente definido para incluir o compartilhamento de dados para consideração valiosa).

Quais direitos as empresas precisam garantir segundo os termos do CCPA?

O CCPA exige empresas regulamentadas que coletam, transferem e vendem informações pessoais para, entre outras coisas:

  • Forneça divulgações para os consumidores, antes da coleção, em relação às categorias e finalidades da coleção.
  • Forneça divulgações mais detalhadas em uma política de privacidade sobre as fontes, fins comerciais e categorias de informações pessoais coletadas, incluindo como essas categorias são vendidas ou transferidas para outras entidades.
  • Habilite os direitos de DSR de acesso, exclusão e portabilidade para as informações pessoais específicas que foram coletadas por você.
  • Habilitar um controle que permitirá que os consumidores optem por não vender os dados do consumidor. No entanto, as transferências para entidades isentas, como provedores de serviços, serão permitidas.
  • Para menores de 16 anos, habilite um processo de opt-in para que nenhuma venda das informações pessoais do menor possa ocorrer sem aceitar ativamente a venda.
  • Certifique-se de que os consumidores não estejam discriminados para exercitar qualquer um de seus direitos no CCPA.

Como o CCPA se aplica a crianças?

  • O CCPA introduz obrigações de consentimento pelos pais, consistentes com a COPPA (política de proteção de privacidade online) para crianças menores de 13 anos.
  • Para crianças entre 13 e 16 anos, o CCPA impõe uma nova obrigação de obter o consentimento da criança.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos