Por KB Advogados

Compartilhar este post

Artigos / 24 de março de 2020

CCPA & GDPR: quais as principais diferenças entre as legislações de privacidade europeia e californiana?

O mundo vem passando por uma série de transformações e cada vez mais as preocupações acerca da proteção de dados pessoais aumenta. É uma tendência a criação de regulamentos e leis que tratam da matéria, e a necessidade de estar de acordo com essas medidas é extremamente importante.  

Um grande marco da regulamentação da privacidade de dados foi oa GDPR (Global Data Protection Regulation) que entrou em vigor em 2018. No entanto, no final de 2019 o Estado Americano da Califórnia criou o seu próprio regulamento, o CCPA (California Consumer Privacy Act), trazendo novos requisitos para as políticas de privacidade.  

Diante desses acontecimentos é preciso saber o que é necessário para estar de acordo com ambas as normas, quais diferenças o CCPA apresenta em relação à GDPR e que medidas adicionais precisarão ser tomadas para que uma empresa se adeque à essas diretrizes

Uma visão geral sobre o CCPA 

O CCPA criou a possibilidade de os consumidores californianos exercerem algumas opções perante empresas que coletam seus dados no ambiente digital.  

Primeiramente, é possível que o consumidor opte por não permitir que suas informações pessoais coletadas no ambiente digital sejam vendidas a terceiros. Além disso, a lei concedeu a oportunidade de solicitar o acesso aos dados pessoais que já foram recolhidos a seu respeito, assim como o direito de excluí-los se o consumidor assim desejar. 

No entanto, não é qualquer empresa que se enquadra nas exigências propostas pela lei. Para que um negócio esteja sob as determinações do CCPA, é preciso que colete informação pessoal de consumidores por meio de negócios realizados no Estado da Califórnia, e satisfaça um dos seguintes requisitos: 

  • Tenha uma receita bruta anual superior à 25 milhões de dólares; 
  • Obtenha 50% ou mais de sua receita anual com a venda de informações pessoais dos consumidores; 
  • Compre, receba, venda ou compartilhe para fins comerciais, as informações pessoais de 50 mil ou mais residentes, famílias ou dispositivos da Califórnia, por ano. 

Visão geral sobre a GDPR  

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei que visa promover a proteção de informações e dados pessoais de todos os cidadãos da União Europeia, de um modo muito abrangente, abarcando não só os dados obtidos por meio virtual, como também aqueles fornecidos por meio físico. 

Esse regulamento determina que sites e empresas em geral devem obter o consentimento prévio de seus usuários de maneira clara e inequívoca, para coletar, manipular e processar dados pessoais.     

Suas diretrizes se aplicam a qualquer tipo de entidade, empresa, organização, ou site que exerça a atividade de coletar ou processar dados, independentemente do tamanho, lucro, finalidade e localidade, desde que ofereçam bens ou serviços a usuários localizados na União Europeia. 

Diferenças entre CCPA & GDPR

O principal ponto que difere o GDPR do CCPA é no que diz respeito ao consentimento. A lei europeia determina que para que haja a coleta e processamento de dados do usuário, é preciso o consentimento prévio, ao passo que para o CCPA essa exigência não é necessária. Pelo contrário, o que a lei californiana possibilita é que o consumidor tenha o direito de solicitar a divulgação de todos os dados que tenham sido coletados a seu respeito, a opção de não querer que haja a venda desses dados, bem como a exclusão dessas informações se requisitada. No entanto, isso acontece posteriormente à coleta dos dados. Enquanto o GDPR atua num âmbito de prevenção, o CCPA é um mecanismo de transparência e exclusão. 

Outro ponto crucial que difere ambos os regulamentos é a definição de informações pessoais (CCPA) e dados pessoais (GDPR). O CCPA define informações pessoais como aquelas que sejam capazes de identificar, descrever ou associar de forma direta ou indireta, um consumidor ou uma família em particular, residentes na Califórnia. Já o GDPR define dados pessoais como qualquer informação relativa à uma pessoa física identificada ou identificável, independentemente de ser um residente ou cidadão europeu. O que importa é o processamento ou coleta de dados de titulares que estejam no âmbito de alcance da UE. Os conceitos diferenciam-se na medida em que o CCPA optou por dar um caráter não individual para as informações pessoais, possibilitando a inclusão de dados domésticos no seu âmbito de proteção. Ainda, ofereceu proteção apenas aos residentes, que não estejam no Estado da Califórnia em caráter temporário, enquanto o GDPR manteve o caráter exclusivamente individual dos dados pessoais e optou por incluir no seu âmbito de proteção qualquer titular de dados que se encontra na UE. 

Ainda, diferenciam-se na medida em que o GDPR não impõe condições para caracterizar uma entidade que está em seu âmbito de proteção. Tem um alcance amplo e se aplica à qualquer controlador de dados que atinge indivíduos na UE. Já o CCPA estabelece alguns parâmetros, impondo limites como uma receita anual mínima derivada da venda de informações pessoais e um público em quantidade e características específicas, conforme visto anteriormente. 

Em síntese, o GDPR tem um escopo muito mais amplo, formando um sistema de proteção que tem como base o consentimento prévio, ao passo que o CCPA tem um caráter local, criando direitos apenas para os residentes californianos. São estruturas legais completamente diferentes e que exigem adaptações diferentes na sua aplicação.     

Autoras 

Barbara dos Santos Amorim e Karina Yumi Ishikawa 

Advogadas no KB Advogados