No final de junho de 2018, a Califórnia aprovou a AB 375, uma lei de privacidade do consumidor que poderia ter mais repercussões nas empresas americanas do que o Regulamento Geral de Proteção de Dados da União Européia (GDPR), que entrou em vigor em maio de 2018. A lei da Califórnia não tem alguns dos requisitos mais onerosos da GDPR, como a estreita janela de 72 horas em que uma empresa deve denunciar uma violação. Em outros aspectos, porém, ela vai ainda mais longe.
CCPA tem uma visão mais ampla do que a GDPR do que constitui os dados privados. O desafio para a segurança, então, é localizar e assegurar esses dados privados.
- O que é o CCPA?
- Que empresas o CCPA afeta?
- Quando minha empresa precisa cumprir com a CCPA?
- O que acontece se minha empresa não estiver em conformidade com a CCPA?
- Que dados o CCPA abrange?
- Quais são as principais disposições de privacidade do CCPA?
- O que o CCPA significa para a segurança?
- Um trabalho em andamento
O que é o CCPA?
A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma lei que permite que qualquer consumidor da Califórnia possa exigir ver todas as informações que uma empresa guardou sobre eles, bem como uma lista completa de todos os terceiros com os quais os dados são compartilhados. Além disso, a lei da Califórnia permite que os consumidores processem as empresas se as diretrizes de privacidade forem violadas, mesmo que não haja violação.
Que empresas o CCPA afeta?
Todas as empresas que servem os residentes da Califórnia e têm pelo menos $25 milhões em receita anual devem cumprir a lei. Além disso, empresas de qualquer tamanho que tenham dados pessoais de pelo menos 50.000 pessoas ou que recolham mais da metade de suas receitas com a venda de dados pessoais, também são abrangidas pela lei. As empresas não têm de estar sediadas na Califórnia ou ter uma presença física lá para se enquadrarem na lei. Elas não precisam sequer estar sediadas nos Estados Unidos.
Uma emenda feita em abril isenta “instituições de seguro, agentes e organizações de apoio”, pois já estão sujeitas a regulamentações similares sob a Lei de Proteção de Informações de Seguro e Privacidade da Califórnia (IIPPA).
Quando minha empresa precisa cumprir com a CCPA?
A lei entrou em vigor em 1 de janeiro de 2020, mas a aplicação começou em 1.
O que acontece se minha empresa não estiver em conformidade com a CCPA?
As empresas têm 30 dias para cumprir a lei uma vez que os reguladores as notifiquem de uma violação. Se o problema não for resolvido, há uma multa de até $7.500 por registro. “Se você pensar em quantos registros são afetados em uma violação, isso realmente aumenta muito rapidamente”, diz Debra Farber, diretora sênior de estratégia de privacidade da BigID. Como a lei foi elaborada e aprovada em apenas uma semana, ela provavelmente verá algumas emendas, acrescenta ela. “Coisas como os montantes da multa provavelmente mudarão”
Há também outro risco financeiro potencial, diz Farber. “A lei prevê o direito de um indivíduo de processar, pela primeira vez”, diz ela. “E permite processos de acção colectiva por danos.”
Again, há uma janela de 30 dias que começa quando os consumidores avisam por escrito a uma empresa que acreditam que os seus direitos de privacidade foram violados. “Se não estiver curado, e o procurador geral declinar a ação judicial, então eles podem mover uma ação coletiva”, diz Farber. “E não se trata apenas de violações”
Por exemplo, a lei especifica que as empresas devem ter um rodapé claramente visível nos sites que oferecem aos consumidores a opção de não compartilhar dados. Se esse rodapé estiver faltando, os consumidores podem processar. Eles também podem processar se não conseguirem descobrir como suas informações foram coletadas ou obter cópias dessas informações. “Pode estar em torno de qualquer coisa”, diz Farber.
A lei atribui penalidades específicas caso ocorra acesso não autorizado, seja através de uma violação, exfiltração, roubo ou “divulgação como resultado da violação pelo negócio do dever de implementar e manter procedimentos e práticas de segurança razoáveis”, como está escrito atualmente, a AB 375 permite penalidades de $100 a $750 por consumidor por incidente, ou danos reais, o que for maior.
“Adicione todos os outros custos relacionados à violação – resposta de TI, forense e recuperação, legal, notificação, etc. – e isso pode empurrar uma violação para o reino de uma ameaça existencial para muitas empresas”, diz Chris Prevost, chefe da arquitetura de soluções de segurança em tempo de execução da Imperva.
Em geral, se uma empresa tomou as medidas necessárias para cumprir com a GDPR, então é a maior parte do caminho para a Lei de Privacidade do Consumidor da Califórnia. Pelo menos, está mais perto do que se não estiver pronta para a GDPR, diz Eric Dieterich, líder de prática de privacidade de dados da Focal Point Data Risk, LLC. “Algumas multinacionais fizeram mudanças para seus mercados europeus, mas talvez não as implementaram em atividades baseadas nos EUA, então pode haver uma mudança de escopo”, diz ele.
Que dados o CCPA abrange?
A lei da Califórnia adota uma abordagem mais ampla para o que constitui dados sensíveis do que a GDPR. Por exemplo, a informação olfactiva é coberta, assim como o histórico de navegação e os registos das interacções de um visitante com um website ou aplicação. Aqui está o que a AB 375 considera “informação pessoal”:
- Identificadores como um nome real, pseudónimo, endereço postal, identificador pessoal único, endereço IP identificador online, endereço de e-mail, nome da conta, número da Segurança Social, número da carta de condução, número do passaporte, ou outros identificadores semelhantes
- Características das classificações protegidas pela lei da Califórnia ou federal
- Informações comerciais, incluindo registos de bens pessoais, produtos ou serviços adquiridos, obtidos ou considerados, ou outros históricos ou tendências de compra ou consumo
- Informações biométricas
- Informações da Internet ou outras informações sobre a actividade da rede electrónica, incluindo, mas não limitado a, histórico de navegação, histórico de pesquisa e informação relativa à interacção do consumidor com um website, aplicação ou anúncio
- Dados de geolocalização
- Informação áudio, electrónica, visual, térmica, olfactiva ou similar
- Informação profissional ou relacionada com o emprego
- Informação de educação, definida como informação que não está disponível publicamente como informação pessoalmente identificável (PII) como definido na Lei de Direitos Educativos e Privacidade da Família (20 U.S.C. seção 1232g, 34 C.F.R. Parte 99)
- Inferências retiradas de qualquer informação identificada nesta subdivisão para criar um perfil sobre um consumidor que reflita as suas preferências, características, tendências psicológicas, preferências, predisposições, comportamento, atitudes, inteligência, capacidades e aptidões
Uma emenda, AB 874, actualmente à espera da assinatura do governador, isentaria a informação do consumidor disponível publicamente, identificada e agregada de ser classificada como IIP. As informações disponíveis ao público são definidas como dados disponíveis e mantidos a partir de registros governamentais.
O CCPA originalmente abrangia tanto os dados dos funcionários quanto os dados dos consumidores. Uma emenda aprovada em abril, no entanto, isenta os dados dos funcionários do regulamento. Outra alteração, AB 25, isenta parcialmente as informações pessoais coletadas de candidatos a emprego, proprietários, diretores, executivos, pessoal médico e contratados. Esta isenção expiraria em 1 de janeiro de 2021. A AB 25 aguardava a assinatura do governador neste escrito.
Quais são as principais disposições de privacidade do CCPA?
As empresas devem permitir que os consumidores optem por não ter seus dados compartilhados com terceiros. Isso significa que as empresas terão agora de ser capazes de separar os dados que recolhem de acordo com as escolhas de privacidade dos utilizadores.
Além disso, enquanto uma empresa não pode recusar aos utilizadores o mesmo serviço, pode oferecer incentivos aos utilizadores que fornecem informações pessoais. “Esta disposição pode estar sujeita a alterações, mas, como foi dito hoje, dá-lhe a possibilidade de oferecer descontos a pessoas que estejam dispostas a ter os seus dados partilhados ou vendidos a terceiros”, diz Dieterich. “Tradicionalmente, os sistemas não são projetados para que sua estrutura de preços possa mudar, dependendo de suas opções de privacidade”. Esse é um novo conceito que tem implicações muito técnicas”
Outra grande diferença com a GDPR é que a lei da Califórnia permite aos clientes um acesso muito maior aos seus registos, diz Subra Ramesh, SVP de produtos da Dataguise. Um consumidor da Califórnia tem o direito de saber que informações uma empresa coleta sobre eles. A maioria das empresas vai ter problemas para reunir essas informações. “Primeiro, a quantidade de dados que elas coletam já é enorme e continua a crescer, muitas vezes em centenas a milhares de terabytes, e com organizações de nível empresarial processando petabytes de dados”, diz ele.
Que os dados estão contidos em várias plataformas de armazenamento, em diferentes tempos de arquivo. “A maioria das ferramentas de pesquisa de arquivos não tem a capacidade de pesquisar nos ecossistemas modernos de repositório de arquivos tão prevalecentes hoje”, diz Aaron Ganek, CEO da Cloudtenna. “O gerenciamento de arquivos entre silos é um grande desafio. É difícil entender o contexto de cada arquivo se eles estão espalhados dentro de repositórios diferentes”. Além disso, os problemas de conformidade estão associados com o agrupamento de dados, diz ele. “As ferramentas empresariais legadas lutam para observar as diferentes permissões e modelos de segurança, violando as próprias leis e regulamentos que estão sendo usadas para satisfazer.”
Então, há o limite de tempo. “Após o pedido de acesso, uma empresa tem 45 dias para lhes fornecer um relatório completo sobre que tipo de informação eles têm, se ela foi vendida, e a quem, e se ela foi vendida a terceiros nos últimos 12 meses, ela deve dar os nomes e endereços dos terceiros a quem os dados são vendidos”, diz John Tsopanis, gerente de produtos de privacidade na 1touch.io. “Você não pode fazer isso na Europa”
Desde que a regra cobre os 12 meses anteriores de registos, as empresas têm de começar a cumprir daqui a seis meses, diz ele. Depois, a 1 de Janeiro de 2020, todas as empresas têm de divulgar os dados a todas as outras empresas a quem vendem. “Isso vai mudar para sempre o cenário da privacidade na América”, diz Tsopanis.
O que o CCPA significa para a segurança?
AB 375 é leve nos requisitos de segurança e resposta a violações quando comparado com o GDPR. Como dito anteriormente, a lei define sanções para as empresas que expõem os dados dos consumidores devido a uma violação ou falha de segurança. Ela também permite que os tribunais ofereçam “medidas cautelares ou declaratórias”, ou “qualquer outra medida que o tribunal julgar apropriada”
As empresas não são obrigadas a relatar violações de acordo com a AB 375, e os consumidores devem apresentar reclamações antes que as multas sejam possíveis. O melhor caminho para a segurança, então, é saber quais dados a AB 375 define como dados privados e tomar medidas para protegê-los. Novamente, qualquer organização que esteja em conformidade com a GDPR provavelmente não precisará tomar outras medidas para cumprir com a AB 375 em termos de segurança de dados.
Os requisitos da AB 375 em relação ao rastreamento, acesso e armazenamento de dados significam que as equipes de segurança precisarão trabalhar em conjunto com os administradores do banco de dados, diz Terry Ray, vice-presidente sênior e colega da Imperva, um fornecedor de cibersegurança. Qualquer ferramenta selecionada para ajudar a lidar com o AB 375 não só precisará ter visibilidade total dos dados armazenados em todo o ambiente corporativo heterogêneo, mas também garantir que o acesso a esses dados seja devidamente protegido. “Por fim, eles precisarão dessas ferramentas para cooperar com o novo portal do consumidor, compartilhando dados específicos do consumidor com o consumidor verificável que os solicita”, diz ele.
Se os dados forem armazenados com os provedores da nuvem, o problema só vai piorar. Por exemplo, os funcionários podem criar uma conta de compartilhamento de arquivos para acompanhar os contatos de marketing ou vendas. “Não é surpreendente que as grandes empresas de tecnologia como Google e Facebook se oponham à lei”, diz Kevin Bocek, vice-presidente de estratégia de segurança e inteligência de ameaças da Venafi. “Controlar a privacidade e as informações pessoais que fluem entre as máquinas é incrivelmente difícil, e um grande desafio para todas as empresas”
Um trabalho em andamento
O projeto de lei foi elaborado em apenas sete dias porque os legisladores queriam evitar uma iniciativa de votação para aprovar uma lei ainda mais rígida que foi oposta por muitas empresas de tecnologia”. “Neste momento, muitas das disposições e definições entram em conflito umas com as outras”, diz Andy Dale, conselheiro geral e vice-presidente de privacidade global na SessionM.
Uma área problemática é se uma empresa pode cobrar aos consumidores preços diferentes com base em suas configurações de privacidade. Por exemplo, muitas empresas têm uma opção onde um consumidor pode atualizar para um nível pago onde ele não vê nenhum anúncio. Aqui, a lei como escrita atualmente é um pouco contraditória.
“Se o consumidor exerce seus direitos sob o regulamento, as empresas não podem fornecer um nível ou qualidade diferente de produto, bens ou serviços para o consumidor”, diz Pravin Kothari, CEO da CipherCloud. “Do outro lado da moeda, de acordo com o regulamento, as empresas não estão proibidas de cobrar a um consumidor um preço ou taxa diferente, ou de fornecer um nível ou qualidade diferente de bens ou serviços ao consumidor, se essa diferença estiver razoavelmente relacionada com o valor fornecido ao consumidor pelos dados do consumidor”
Parece que a Califórnia está tentando definir um quadro onde os consumidores possam ser pagos por compartilhar seus dados, diz Kothari. “Nesta área a legislação é um pouco visionária”, diz ele. “Vamos ver na prática como isto realmente funciona.”
Mais no CCPA:
- 9 O CCPA deve estar preparado para responder
- O CCPA é uma oportunidade para colocar a sua casa de segurança de dados em ordem
- O que é “segurança razoável”? E como cumprir o requisito
- Leve a sério a protecção de dados do consumidor
- Como a propriedade dos dados pelos cidadãos tem impacto no futuro dos negócios