Perguntas frequentes sobre a CCPA e a CPRA

O que você vai aprender

Conheça as perguntas frequentes sobre a CCPA (Lei de Privacidade do Consumidor da Califórnia) e a CPRA (Lei de Direitos de Privacidade da Califórnia).

O que é a CCPA?

A CCPA é uma lei que entrou em vigor em 1º de janeiro de 2020 e rege a forma como as empresas lidam com as informações pessoais dos residentes da Califórnia.

A CCPA é uma resposta a uma lacuna percebida nas proteções de privacidade nos Estados Unidos. As empresas que lidam com as informações pessoais dos residentes da Califórnia são obrigadas a informar os residentes sobre as práticas de privacidade da empresa e os direitos de privacidade dos residentes, incluindo o direito de:

• Saber sobre as informações pessoais que uma empresa coleta sobre eles e como elas são usadas
• Excluir as informações pessoais coletadas (com algumas exceções)
• Desativar a venda de suas informações pessoais
• Não discriminação pelo exercício de seus direitos na CCPA

O que é o CPRA?

A CPRA é uma lei que altera e amplia as exigências da CCPA, incluindo:

• Adição de uma categoria "de informações pessoais confidenciais" 
• Estabelecer o direito de limitar o uso e a divulgação de informações pessoais confidenciais
• Estabelecer o direito de corrigir informações pessoais imprecisas
• Ampliação do requisito de exclusão "Não vender" para o "compartilhamento" de informações pessoais para fins de publicidade entre contextos (ou de terceiros)

A CPRA entra em vigor em 1º de janeiro de 2023.

Quem deve cumprir a CCPA e a CPRA?

Empresas

A maioria das exigências da CCPA e da CPRA se aplica a "empresas", definidas como empresas que coletam informações pessoais de consumidores da Califórnia, seja por conta própria ou usando fornecedores. 

A CCPA se aplica a empresas que atendem a qualquer uma das seguintes condições:

• Lida com informações pessoais de residentes da Califórnia
• Está "fazendo negócios" na Califórnia (incluindo o envolvimento com indivíduos localizados na Califórnia por meio de um site ou aplicativo de comércio eletrônico ou interativo)
• Atende a um ou mais dos seguintes limites:
• Tem receita bruta anual superior a US$ 25 milhões
• Compra, recebe ou vende anualmente informações pessoais de 50.000 ou mais residentes, residências ou dispositivos da Califórnia
• Obtém 50% ou mais de sua receita anual com a "venda" de informações pessoais de residentes da Califórnia (ou seja, a venda inclui a divulgação, disponibilização, transferência ou comunicação de informações pessoais a terceiros em troca de dinheiro ou outra consideração valiosa)

O CPRA altera essa aplicabilidade da seguinte forma:

• Atende a um ou mais dos seguintes limites:
• Teve receita bruta anual superior a US$ 25 milhões no ano passado
• Compra, vende ou compartilha anualmente informações pessoais de 100.000 ou mais residentes ou domicílios da Califórnia
• Obtém 50% ou mais de sua receita anual com a venda ou o compartilhamento de informações pessoais de residentes da Califórnia (o compartilhamento inclui a divulgação, a disponibilização, a transferência ou a comunicação de informações pessoais a terceiros para publicidade comportamental de conteúdo cruzado, seja ou não em troca de dinheiro ou outra consideração valiosa).

Prestadores de serviços e empreiteiros 

Para ser considerado um provedor de serviços, uma pessoa física ou jurídica deve:

• Processar informações pessoais em nome de uma empresa 
• Estar vinculado a um contrato por escrito que imponha certas restrições e obrigações em relação ao uso de informações pessoais, inclusive não mais:

• • Coleta
  • Venda
  • Usar as informações pessoais, exceto quando necessário para realizar a finalidade comercial

Semelhante aos prestadores de serviços, a exceção à venda ou compartilhamento também se aplica aos contratados nos termos da CPRA. Os contratados são pessoas ou entidades para as quais as informações pessoais são disponibilizadas por uma empresa, de acordo com um contrato por escrito que impõe restrições e obrigações semelhantes às aplicáveis a um provedor de serviços. Os contratados também devem ter uma certificação de que entendem as restrições e as cumprirão.

Observe que a divulgação de dados de uma empresa a um prestador de serviços ou contratante não é considerada uma venda ou compartilhamento quando for necessária para realizar uma finalidade comercial.

O que é classificado como cumprimento pessoal?

A CCPA define informações pessoais de forma bastante ampla, incluindo informações que identificam, descrevem ou são razoavelmente capazes de serem associadas a um determinado consumidor ou família. Na prática, essa definição ampla significa que informações como informações de contato, dados de transações, endereços IP (Internet Protocol), identificadores de dispositivos móveis, dados de sequência de cliques e detalhes de pedidos podem estar dentro do escopo da definição de informações pessoais da CCPA e sujeitos às exigências da CCPA.

A CPRA cria uma nova categoria de informações pessoais, "informações pessoais confidenciais", e oferece aos consumidores um novo direito de limitar o uso e a divulgação de suas informações confidenciais. 

As informações pessoais confidenciais de acordo com a CPRA incluem: 

• Número do seguro social
• Número da carteira de motorista 
• Número do passaporte
• Credenciais da conta
• Geolocalização precisa
• Origem racial ou étnica
• Crenças religiosas
• Dados biométricos
• Dados genéticos
• Dados de saúde 
• Informações sobre a vida sexual ou a orientação sexual do consumidor
• O conteúdo das mensagens de correio, e-mail e texto de um consumidor, a menos que a empresa seja o destinatário pretendido da comunicação 

O que preciso fazer para me preparar?

A CCPA e a CPRA são leis complexas. Este artigo fornece as principais obrigações de acordo com a CCPA e a CPRA no que se refere ao uso dos serviços da Klaviyo, mas não leva em conta todos os requisitos que podem se aplicar à sua empresa. Entre em contato com seu consultor jurídico para obter orientação específica. 

Se a CCPA e a CPRA forem aplicáveis à sua empresa, o senhor deve considerar os seguintes direitos e divulgações.

Aviso

Sua empresa deve ter uma política de privacidade em seu site que seja acessível em todos os pontos em que o senhor coleta informações pessoais, como formulários de inscrição. A política deve incluir, entre outras coisas:

• Categorias de informações pessoais que coleta, vende e divulga para fins comerciais
• Categorias de fontes de informações pessoais 
• Propósitos comerciais ou de negócios para coletar ou vender as informações pessoais
• Descrição dos seguintes direitos dos consumidores e os métodos designados para enviar solicitações:
• O direito de excluir informações pessoais
• O direito de acessar categorias e partes específicas de informações pessoais
• O direito de recusar a venda ou o compartilhamento de informações pessoais
• O direito de não retaliação

A CPRA ampliou essa lista de direitos dos consumidores para incluir: 

• O direito de corrigir informações imprecisas
• O direito de limitar o uso e a divulgação de informações pessoais confidenciais
• O direito de recusar a tecnologia de tomada de decisão automatizada

A CPRA também exige que as empresas incluam as seguintes divulgações adicionais:

• Se as informações pessoais do indivíduo são vendidas ou compartilhadas
• O período de tempo que a empresa pretende reter cada categoria de informações pessoais ou os critérios que usará para determinar por quanto tempo reterá tais informações
• Se a empresa coletar "informações pessoais confidenciais":
• Uma divulgação separada identificando as categorias de informações confidenciais coletadas
• O uso e a finalidade desses dados
• Se essas informações são vendidas ou compartilhadas

Direitos de exclusão

Os consumidores têm o direito de, a qualquer momento, optar por não permitir a venda de seus dados pessoais a terceiros. Sua empresa deve interromper a venda de informações pessoais após o recebimento da solicitação, a menos que o consumidor forneça uma autorização expressa posterior. As empresas devem esperar pelo menos 12 meses antes de solicitar que um consumidor opte novamente pela venda de informações pessoais. Para habilitar esse direito de exclusão, as empresas devem, entre outras coisas:

• Forneça um link claro e visível na página inicial da empresa, com o título "Do Not Sell My Personal Information" (Não venda minhas informações pessoais). O link deve permitir que um consumidor, ou uma pessoa autorizada pelo consumidor, opte por não vender as informações pessoais do consumidor
• Não exigir que o consumidor crie uma conta para orientar a empresa a não vender as informações pessoais do consumidor.

Os consumidores também têm o direito de, a qualquer momento, optar por não permitir que seus dados pessoais sejam vendidos por um terceiro que tenha comprado os dados pessoais do consumidor de uma empresa. O terceiro deve interromper a venda após o recebimento da solicitação de exclusão, a menos que o consumidor forneça uma autorização expressa posterior.

Outros direitos do consumidor

As empresas devem ter processos para verificar a identidade de um residente da Califórnia ao responder a solicitações de acesso ou exclusão de informações pessoais. Quando uma solicitação for recebida de um residente da Califórnia e sua identidade for confirmada, certifique-se de incluir o seguinte ao preencher a solicitação, conforme aplicável, para honrar seus direitos. 

Direito de saber: Um consumidor pode solicitar que a empresa divulgue a coleta e o tratamento de suas informações pessoais, incluindo 

• Categorias de informações pessoais coletadas sobre esse consumidor (nos últimos 12 meses)
• Categorias de fontes das quais as informações pessoais são coletadas 
• Finalidade comercial ou de negócios para coletar ou vender informações pessoais
• Categorias de terceiros com os quais a empresa divulgou informações pessoais
• Categorias de informações que a empresa vende ou divulga a terceiros
• Partes específicas de informações pessoais coletadas sobre esse consumidor

A CPRA modifica e amplia esse direito para exigir:

• Fornecer informações sobre as categorias de informações pessoais "compartilhadas" com terceiros
• Remoção da limitação de 12 meses de análise, exigindo que uma empresa forneça mais de 12 meses de informações, desde que essa divulgação não seja "impossível" ou "envolva um esforço desproporcional" (essa exigência não se aplicaria a nenhum dado coletado pela empresa antes de 1º de janeiro de 2022)

Direito de exclusão: A empresa deve excluir as informações do consumidor (sujeito a determinadas exceções) e notificar seus provedores de serviços para que excluam as informações do consumidor. De acordo com a CPRA, a empresa deve notificar seus prestadores de serviços e contratados e também notificar quaisquer terceiros para os quais a empresa tenha vendido ou compartilhado (para fins de publicidade intercontextual) as informações pessoais do consumidor, a menos que isso "se mostre impossível ou envolva um esforço desproporcional". Além disso, cada provedor de serviços também deve notificar seus próprios provedores de serviços downstream para que excluam as informações do consumidor. 

Direito de corrigir informações pessoais imprecisas: Quando uma empresa recebe uma solicitação verificada para corrigir informações pessoais imprecisas, a empresa deve usar "esforços comercialmente razoáveis" para corrigir essas informações pessoais, conforme orientado pelo consumidor. Espera-se que o Procurador Geral da Califórnia forneça orientações adicionais sobre essa obrigação.

O senhor também deve observar que, se o consumidor tiver menos de 13 anos de idade, será necessário o consentimento expresso (opt-in) de um dos pais ou responsável antes de vender suas informações pessoais. Se o consumidor tiver entre 13 e 16 anos de idade, será necessário o consentimento expresso do indivíduo antes de vender suas informações pessoais.

Atender às solicitações dos consumidores 

O senhor deve ter pelo menos dois métodos designados para que os consumidores enviem solicitações de informações.

Isso deve incluir, no mínimo:

• Um número de telefone gratuito (determinadas empresas que operam exclusivamente on-line e têm um relacionamento direto com o consumidor do qual coletam informações pessoais estão isentas da exigência de número gratuito)
• Endereço da Web, se a empresa tiver um site 

As solicitações dos consumidores devem ser atendidas em até 45 dias após o recebimento da solicitação, por correio ou eletronicamente (em um formato que permita ao consumidor fornecê-la a outra entidade) ou por meio de uma conta de usuário. O tempo de resposta pode ser prorrogado por mais 45 dias, se for razoavelmente necessário, com base na complexidade e no número de solicitações, e se o solicitante for notificado da prorrogação (detalhando os motivos). O processo de solicitação também deve ser gratuito.

As empresas não são obrigadas a realizar mais de duas solicitações por consumidor em um período de 12 meses.

Qual é o papel da Klaviyo nos termos da CCPA e da CPRA no que se refere ao serviço da Klaviyo?

A Klaviyo não tem nenhum relacionamento direto com os indivíduos cujas informações pessoais são coletadas por nossos clientes e armazenadas em nossa plataforma. A Klaviyo atua como prestadora de serviços, enquanto nossos clientes são as empresas, pois processamos as informações pessoais em nome de nossos clientes.

As obrigações da Klaviyo com os clientes como prestadora de serviços estão estabelecidas em nosso Contrato de Processamento de Dados. 

O que a Klaviyo está fazendo para permitir que os clientes estejam em conformidade?

Os clientes da Klaviyo têm a capacidade e as ferramentas para atender às solicitações dos residentes da Califórnia para exercer seus direitos de consumidor de acessar, excluir ou corrigir informações pessoais de acordo com a CCPA e a CPRA. Especificamente:

• A plataforma permite que os clientes informem sobre as informações pessoais que mantém sobre os usuários finais em resposta a solicitações de acesso.
• A plataforma permite a exclusão das informações pessoais que mantém sobre os usuários finais em resposta a solicitações de exclusão e a correção de informações pessoais imprecisas nos perfis da Klaviyo.
• A Klaviyo não oferece suporte e restringe a coleta e o armazenamento de informações pessoais confidenciais, de acordo com nossa Política de Uso Aceitável.

Recursos adicionais

• Como lidar com as solicitações do GDPR e da CCPA
• Lei de Privacidade do Consumidor da Califórnia
• Compreensão do consentimento em perfis