O California Consumer Privacy Act (CCPA), codificado nos Cal. Civ. Code sections 1798.100 a 1798.199.100, alterou fundamentalmente a forma como as empresas devem tratar as informações pessoais dos residentes da Califórnia. Conforme emendado pelo California Privacy Rights Act (CPRA) em 2023, a lei impõe requisitos específicos para políticas de privacidade que vão muito além do que muitas empresas estão habituadas. Se o seu website recolhe informações pessoais de consumidores californianos, a sua política de privacidade deve cumprir padrões legais detalhados ou enfrentar ações de aplicação significativas. Este guia detalha exatamente o que o CCPA exige e como colocar a sua política de privacidade em conformidade.
Quem deve cumprir o CCPA
O CCPA não se aplica a todas as empresas. Dirige-se a entidades com fins lucrativos que operam na Califórnia e cumprem pelo menos um dos três limiares estabelecidos pelo Cal. Civ. Code section 1798.140(d):
1. Receita bruta anual superior a 25 milhões de dólares. Este limiar aplica-se à receita mundial da empresa, não apenas à receita das operações na Califórnia. Se a sua empresa gera mais de 25 milhões de dólares anualmente de qualquer fonte, o CCPA aplica-se ao tratamento de dados dos consumidores californianos.
2. Compra, venda ou partilha de informações pessoais de 100.000 ou mais consumidores ou agregados familiares. Este limiar foi elevado de 50.000 para 100.000 com as emendas CPRA. Dado que as “informações pessoais” segundo o CCPA incluem endereços IP, identificadores de dispositivos e histórico de navegação, muitas empresas online com tráfego californiano moderado podem atingir este número sem o perceber.
3. Obter 50% ou mais da receita anual com a venda ou partilha de informações pessoais. Os intermediários de dados e as empresas dependentes da publicidade enquadram-se frequentemente nesta categoria.
Mesmo que a sua empresa não esteja sediada na Califórnia, deve cumprir se atingir qualquer um destes limiares e recolher informações pessoais de residentes californianos. O alcance extraterritorial do CCPA significa que uma empresa de comércio eletrónico em Lisboa ou uma empresa SaaS no Porto pode estar sujeita à lei de privacidade da Califórnia.
Para as empresas portuguesas sujeitas também ao RGPD, é essencial compreender as diferenças entre os dois quadros. A Comissão Nacional de Proteção de Dados (CNPD) aplica o RGPD em Portugal, complementado pela Lei n.º 58/2019, com requisitos que diferem do CCPA em vários aspetos importantes.
O que a sua política de privacidade CCPA deve divulgar
O CCPA estabelece requisitos de divulgação específicos nos Cal. Civ. Code sections 1798.100(a) e 1798.130(a). A sua política de privacidade deve incluir os seguintes elementos:
Categorias de informações pessoais recolhidas. Deve listar as categorias de informações pessoais que recolheu nos 12 meses anteriores. O CCPA define 12 categorias na section 1798.140(v), incluindo identificadores (nome, email, endereço IP), informações comerciais (histórico de compras), atividade na Internet (histórico de navegação, histórico de pesquisa), dados de geolocalização e informações profissionais ou de emprego.
Finalidades da recolha. Para cada categoria de informações pessoais, divulgue a finalidade comercial para a qual foram recolhidas. Declarações vagas como “para melhorar os nossos serviços” são insuficientes. Deve ser específico: “para processar encomendas e efetuar entregas”, “para servir publicidade direcionada baseada no comportamento de navegação”, “para detetar incidentes de segurança”.
Categorias de terceiros com quem as informações são partilhadas. Se partilha informações pessoais com terceiros, divulgue as categorias de destinatários: redes publicitárias, fornecedores de análise, processadores de pagamento, serviços de alojamento cloud. Segundo as emendas CPRA, deve também divulgar as categorias de terceiros a quem as informações são vendidas ou partilhadas para publicidade comportamental entre contextos.
Direitos dos consumidores e como exercê-los. A sua política deve explicar os direitos que os consumidores californianos têm ao abrigo do CCPA: o direito de saber, o direito de eliminação, o direito de recusar a venda ou partilha de informações pessoais, o direito de corrigir informações inexatas e o direito de limitar o uso de informações pessoais sensíveis. Deve fornecer instruções claras para submeter pedidos, incluindo pelo menos dois métodos designados (um número gratuito e um endereço web).
Períodos de retenção. O CPRA acrescentou o requisito de divulgar o período de retenção para cada categoria de informações pessoais, ou os critérios utilizados para determinar os períodos de retenção.
Link “Não vender ou partilhar as minhas informações pessoais”. Se a sua empresa vende ou partilha informações pessoais, deve fornecer um link claramente identificado na sua página inicial intitulado “Não vender ou partilhar as minhas informações pessoais”. Este mecanismo de opt-out deve ser funcional e fácil de usar. Segundo o CPRA, isto estende-se à publicidade comportamental entre contextos, não apenas às vendas tradicionais de dados. Um banner de cookies gratuito pode fornecer esta funcionalidade de opt-out juntamente com a gestão do consentimento RGPD.
Aviso de incentivo financeiro. Se oferece incentivos financeiros (descontos, programas de fidelização) em troca da recolha, venda ou retenção de informações pessoais, a sua política de privacidade deve descrever os termos materiais do programa de incentivos e explicar como os consumidores podem aderir ou retirar-se.
Informações pessoais sensíveis ao abrigo do CPRA
O CPRA introduziu o conceito de “informações pessoais sensíveis”, que inclui números de segurança social, credenciais de contas financeiras, geolocalização precisa, origem racial ou étnica, crenças religiosas, conteúdo de correspondência ou mensagens de texto, dados genéticos, informações biométricas, informações de saúde e orientação sexual.
Se a sua empresa recolhe informações pessoais sensíveis, a sua política de privacidade deve divulgá-lo e fornecer aos consumidores o direito de limitar o seu uso às finalidades necessárias para fornecer os bens ou serviços solicitados. Deve também incluir um link separado na sua página inicial: “Limitar o uso das minhas informações pessoais sensíveis”.
Esta proteção reforçada para categorias de dados sensíveis reflete disposições semelhantes no RGPD (Artigo 9) — aplicado em Portugal pela CNPD e complementado pela Lei n.º 58/2019 — refletindo uma tendência global para um tratamento mais rigoroso das informações pessoais de alto risco.
Erros comuns de conformidade
Muitas empresas não cumprem o CCPA não por negligência deliberada mas por desconhecimento dos requisitos da lei. Eis os erros mais frequentes:
Usar uma política de privacidade apenas para o RGPD. Embora o RGPD e o CCPA se sobreponham em algumas áreas, uma política de privacidade concebida exclusivamente para a conformidade com o RGPD não satisfará os requisitos do CCPA. O CCPA tem as suas próprias categorias de divulgação específicas, o seu próprio quadro de direitos dos consumidores e os seus próprios mecanismos de opt-out que diferem substancialmente do direito europeu. Para empresas portuguesas familiarizadas com os requisitos da CNPD e da Lei n.º 58/2019, é crucial adicionar os elementos específicos do CCPA.
Não atualizar anualmente. Cal. Civ. Code section 1798.130(a)(5) exige que as empresas atualizem a sua política de privacidade pelo menos uma vez a cada 12 meses. A data da última atualização deve ser exibida de forma proeminente. Muitas empresas criam uma política uma vez e nunca a revêem, deixando-a desatualizada à medida que as suas práticas de dados evoluem.
Divulgações de categorias incompletas. Listar “informações pessoais” como uma única categoria não é suficiente. O CCPA exige uma divulgação granular através das suas 12 categorias enumeradas. Reveja os seus fluxos de dados reais, incluindo ferramentas de análise, pixels publicitários, integrações CRM e processadores de pagamento, para assegurar que cada categoria está coberta.
Sem mecanismo de opt-out funcional. Ter um link “Não vender” que leva a um formulário com defeito, um endereço de email não monitorizado ou uma página de contacto genérica é uma infração. O opt-out deve funcionar, e deve processar os pedidos dentro de 15 dias úteis.
Ignorar prestadores de serviços e contratantes. O CCPA distingue entre “prestadores de serviços” (que tratam dados em seu nome ao abrigo de um contrato) e “terceiros” (que recebem dados para as suas próprias finalidades). A sua política de privacidade deve caracterizar com precisão estas relações, e os seus contratos devem incluir cláusulas de tratamento de dados conformes ao CCPA. Em Portugal, esta distinção é paralela à do RGPD entre responsáveis pelo tratamento e subcontratantes (artigos 26.º e 28.º).
Aplicação e sanções do CCPA
O gabinete do procurador-geral da Califórnia aplica ativamente o CCPA desde julho de 2020. Ao abrigo do Cal. Civ. Code section 1798.155, as sanções incluem:
- Até 2.500 $ por infração não intencional. Dado que cada registo de consumidor pode constituir uma infração separada, as coimas acumulam-se rapidamente. Uma violação de dados que afete 10.000 consumidores californianos poderia teoricamente resultar em 25 milhões de dólares em sanções.
- Até 7.500 $ por infração intencional. As infrações conscientes do CCPA ou as infrações que envolvam informações pessoais de menores de 16 anos comportam a sanção mais elevada.
- Direito de ação privada para violações de dados. Ao abrigo da section 1798.150, os consumidores podem processar diretamente as empresas por violações de dados resultantes do incumprimento em implementar medidas de segurança razoáveis. A indemnização legal varia de 100 $ a 750 $ por consumidor por incidente, ou os danos reais, consoante o valor mais elevado.
A California Privacy Protection Agency (CPPA), criada pelo CPRA, partilha agora a autoridade de aplicação com o procurador-geral e tem emitido ativamente regulamentos e conduzido investigações. Para mais detalhes sobre os riscos de aplicação, leia o nosso artigo sobre sanções CCPA e a nossa comparação CCPA vs RGPD.
Quatro abordagens para a conformidade da política de privacidade CCPA
Contratar um advogado especializado em privacidade
Custo: 3.000 a 8.000 $ por uma política de privacidade CCPA completa e infraestrutura de opt-out. Prazo: 2 a 6 semanas.
Um advogado especializado em direito da privacidade californiano realizará um exercício detalhado de mapeamento de dados, revê os seus acordos com fornecedores e redige uma política adaptada às suas práticas específicas de dados. Isto é recomendado para empresas com fluxos de dados complexos, altos volumes de dados ou operações em vários estados dos EUA com as suas próprias leis de privacidade. Para empresas portuguesas, um advogado especialista tanto em RGPD/Lei n.º 58/2019 como em CCPA é ideal.
Utilizar uma ferramenta de IA genérica
Custo aparente: 0 $. Custo real: potencialmente significativo em risco de aplicação.
Os chatbots de IA genéricos podem produzir texto que se assemelha a uma política de privacidade mas frequentemente falham nos requisitos específicos do CCPA: as 12 categorias estatutárias, o requisito do link de opt-out, as divulgações de informações pessoais sensíveis e a frequência de atualização exigida. Uma política que parece conforme mas carece de elementos obrigatórios cria uma falsa sensação de segurança.
Copiar um modelo gratuito
Custo: 0 $. Risco: elevado.
Os modelos CCPA gratuitos encontrados online são tipicamente genéricos, desatualizados (muitos são anteriores às emendas CPRA) e não adaptados ao seu negócio específico. Raramente incluem mecanismos de opt-out adequados ou divulgações de prestadores de serviços. Utilizar um modelo sem personalização significativa é improvável que satisfaça os requisitos do CCPA.
Utilizar um gerador de documentos jurídicos especializado
Custo: 14,90 € a 49,90 €. Prazo: menos de 10 minutos.
Um gerador de documentos jurídicos especializado faz perguntas específicas sobre as suas atividades comerciais, práticas de recolha de dados e relações com terceiros, e depois produz uma política de privacidade que satisfaz os requisitos do CCPA. Esta abordagem equilibra o rigor de conformidade com a acessibilidade e a relação custo-eficácia para a maioria das empresas online.
Conclusão
O CCPA impõe requisitos detalhados e específicos às políticas de privacidade que vão além das boas práticas gerais. Se a sua empresa cumpre qualquer um dos três limiares de aplicabilidade, a sua política de privacidade deve enumerar as categorias de informações pessoais que recolhe, explicar as suas finalidades, divulgar a partilha com terceiros, descrever os direitos dos consumidores e como exercê-los, e fornecer mecanismos de opt-out funcionais.
Comece com uma verificação de conformidade gratuita para avaliar a sua situação atual. Para as empresas portuguesas sujeitas ao RGPD através da CNPD, o CCPA acrescenta uma camada adicional de obrigações específicas. Com a CPPA a aplicar ativamente a lei e as sanções a acumularem-se por infração, o custo do incumprimento excede em muito o custo de colocar a sua política de privacidade em conformidade. Quer contrate um advogado especializado para situações complexas ou utilize um gerador especializado para necessidades de conformidade simples, o passo importante é agir agora. Cada dia sem uma política de privacidade conforme ao CCPA é um dia de exposição jurídica desnecessária.