CaCPA

Quem o CaCPA protege? Quem deve cumprir?

Qualquer consumidor, definido como uma “pessoa física residente na Califórnia”. Isso é ainda definido como:

  • Qualquer indivíduo está no estado para qualquer propósito que não seja transitório ou temporário
  • Qualquer indivíduo que vive no estado, mas atualmente ou ocasionalmente está fora do estado para um propósito temporário ou transitório

O que significa que os consumidores que viajam para ou com residência parcial em outros estados estariam protegidos, desde que sua casa seja a Califórnia. Isso também significa que a lei se aplica a empresas “business-to-consumer” (B2C) e “business-to-business” (B2B).

Um “negócio” coberto é definido como uma entidade com fins lucrativos que atende a 1 das 3 condições a seguir.

  1. Ganha $25 milhões ou mais em receita anual.
  2. Detém os dados pessoais de pelo menos 50.000 pessoas, famílias ou dispositivos.
  3. Obtém pelo menos metade de sua receita vendendo dados pessoais. Vender não é apenas trocar dados por dinheiro. A mera divulgação de dados a terceiros, se resultar em ganho financeiro, está sujeita à lei.

O CaCPA afirma que eles também devem atender às 4 condições a seguir.

  1. Ser uma entidade comercial legal que é organizada e operada com fins lucrativos.
  2. Coleta informações pessoais dos consumidores ou faz com que alguém as colete em seu nome.
  3. Determina as finalidades e os meios de processamento das informações pessoais dos consumidores.
  4. Faz negócios na Califórnia

Qualquer “empresa com fins lucrativos” que passar neste teste estará sujeita à lei, independentemente de sua localização geográfica. De acordo com o iapp, estima-se que a lei se aplique a mais de 500.000 empresas americanas, a maioria das quais de pequeno a médio porte. Também afetará as empresas fora dos EUA, desde que façam negócios na Califórnia.

Qual é a penalidade por descumprimento?

Para violações intencionais não resolvidas em 30 dias, a multa é de $2.500 a $7.500 por violação (por exemplo, por registro no banco de dados). Violações não intencionais não resolvidas dentro de 30 dias, os Consumidores podem recuperar danos em um valor não inferior a cem dólares ($100) e não superior a setecentos e cinquenta ($750) por consumidor por incidente ou danos reais, o que for maior.

Vinte por cento das multas cobradas pelo Estado serão destinadas a um novo “Fundo de Privacidade do Consumidor”. Quaisquer fundos que excedam os custos do Tribunal e de cobrança podem ser colocados no Fundo Geral do Estado da CA.

De onde veio essa lei?

O CaCPA foi apressado pela legislação em apenas 7 dias e foi assinado poucas horas antes do encerramento da sessão legislativa da Califórnia de 2017-18. Rápido para uma Lei com ramificações tão amplas.

Essa corrida foi em resposta a uma iniciativa eleitoral muito mais rígida proposta pelo incorporador imobiliário de São Francisco, Alistair Mactaggart. Mactaggart gastou $3,5 milhões de seu próprio dinheiro para financiar a medida de iniciativa nº 17-0039, que recebeu mais de 629.000 assinaturas, mais do que o necessário para colocar a questão na votação de novembro de 2018.

Como o CaCPA define “informações pessoais”?

A definição de informações pessoais do CaCPA é muito mais extensa do que a definição de PII, ela se alinha mais de perto com a lista mais ampla do GDPR. É definido como “informações que identificam, se relacionam, descrevem, podem ser associadas ou podem ser razoavelmente vinculadas, direta ou indiretamente, a um determinado consumidor ou família”. Além das informações normalmente incluídas em PII, também inclui:

  • Dados de geolocalização
  • Informações sobre educação
  • Informações de áudio, eletrônicas, visuais, térmicas ou similares
  • Informações profissionais e de emprego
  • endereços IP
  • Atividade na Internet (ou seja, histórico de navegação e pesquisa, dados de rastreamento na web)
  • Apelido
  • Características das classificações protegidas pela Califórnia ou pela lei federal
  • Informações comerciais (ou seja, registros de propriedade pessoal, histórico de compras)
  • Inferências extraídas de qualquer informação contida na definição

Por que CaCPA

Poucos dias antes de Mactaggart poder certificar as assinaturas, os democratas da Califórnia concordaram em apresentar um projeto de compromisso em troca da retirada da iniciativa. Os lobistas da indústria de tecnologia acreditam que terão uma chance muito maior de controlar a narrativa e o impacto final do CaCPA. Os lobistas da indústria concordaram em não se opor ao projeto de lei, uma vez que a iniciativa de votação muito menos favorável teve uma boa chance de ser aprovada no final do ano.

O que eles ganharam por sua conformidade?

  • 18 meses para fazer lobby sobre como reescrever os detalhes do projeto de lei.
  • A legislatura da CA pode modificar o CaCPA com uma maioria simples em vez de uma supermaioria 70% exigida pela Lei de Privacidade do Consumidor da CA de 2018.
  • O CaCPA torna mais difícil para os consumidores processar empresas não conformes, dando a maior parte do controle de execução ao Procurador-Geral do estado da CA.
  • O CaCPA afeta mais empresas, pois reduziu o limite pela metade para empresas com apenas $25 milhões de receita anual.

“A política de regulamentação de dados é complexa e afeta todos os setores da economia, incluindo a indústria da Internet”, disse o grupo de lobby da Internet Association. “Isso torna a falta de discussão pública e processo em torno deste projeto de lei de grande alcance ainda mais preocupante. É fundamental que os formuladores de políticas trabalhem para corrigir as inevitáveis e negativas ramificações de políticas e conformidade que este acordo de última hora criará para os consumidores e empresas da Califórnia.”

Os vencedores e perdedores desta legislação (10.660 palavras) ainda não foram determinados, devido à reescrita massiva dos detalhes que estão acontecendo no momento. É muito provável que o novo e melhorado CaCPA se aplique principalmente às Pequenas e Médias Empresas, aquelas que não podem arcar com os lobistas de alto preço e suas enormes despesas. Este projeto de lei escrito às pressas e mal revisado por ninguém além de seus escritores, com seus muitos erros de digitação e texto mal escrito, foi aprovado pelo governador Brown em 28 de junho.º 2018. Em 24 de agostoº apenas 57 dias depois vieram as primeiras 45 emendas. Essas alterações foram principalmente para ajustar erros técnicos. Se prepare.

Fontes: Projeto de Lei nº 375, iapp O consultor de privacidade, New York Times, FairWarning

 

Bill Vann tem mais de 25 anos de experiência em TI e tecnologias de negócios. Ele recebeu seu diploma de bacharel em Administração e mestrado em Gestão Empresarial pela National University em San Diego, CA. Bill tem sido um membro ativo e colaborador de associações locais como AGC, NECA e CFMA.