Política de privacidade CCPA: o essencial

← Blog Fundamentos do RGPD
9 min de leitura
Atualizado: 30 de abril de 2026
WebLegal Team

O California Consumer Privacy Act (CCPA), codificado nos Cal. Civ. Code sections 1798.100 a 1798.199.100, alterou fundamentalmente a forma como as empresas devem tratar as informações pessoais dos residentes da Califórnia. Conforme emendado pelo California Privacy Rights Act (CPRA) em 2023, a lei impõe requisitos específicos para políticas de privacidade que vão muito além do que muitas empresas estão habituadas. Se o seu website recolhe informações pessoais de consumidores californianos, a sua política de privacidade deve cumprir padrões legais detalhados ou enfrentar ações de aplicação significativas. Este guia detalha exatamente o que o CCPA exige e como colocar a sua política de privacidade em conformidade.

Quem deve cumprir o CCPA

O CCPA não se aplica a todas as empresas. Dirige-se a entidades com fins lucrativos que operam na Califórnia e cumprem pelo menos um dos três limiares estabelecidos pelo Cal. Civ. Code section 1798.140(d):

1. Receita bruta anual superior a 25 milhões de dólares. Este limiar aplica-se à receita mundial da empresa, não apenas à receita das operações na Califórnia. Se a sua empresa gera mais de 25 milhões de dólares anualmente de qualquer fonte, o CCPA aplica-se ao tratamento de dados dos consumidores californianos.

2. Compra, venda ou partilha de informações pessoais de 100.000 ou mais consumidores ou agregados familiares. Este limiar foi elevado de 50.000 para 100.000 com as emendas CPRA. Dado que as “informações pessoais” segundo o CCPA incluem endereços IP, identificadores de dispositivos e histórico de navegação, muitas empresas online com tráfego californiano moderado podem atingir este número sem o perceber.

3. Obter 50% ou mais da receita anual com a venda ou partilha de informações pessoais. Os intermediários de dados e as empresas dependentes da publicidade enquadram-se frequentemente nesta categoria.

Mesmo que a sua empresa não esteja sediada na Califórnia, deve cumprir se atingir qualquer um destes limiares e recolher informações pessoais de residentes californianos. O alcance extraterritorial do CCPA significa que uma empresa de comércio eletrónico em Lisboa ou uma empresa SaaS no Porto pode estar sujeita à lei de privacidade da Califórnia.

Para as empresas portuguesas sujeitas também ao RGPD, é essencial compreender as diferenças entre os dois quadros. A Comissão Nacional de Proteção de Dados (CNPD) aplica o RGPD em Portugal, complementado pela Lei n.º 58/2019, com requisitos que diferem do CCPA em vários aspetos importantes.

O que a sua política de privacidade CCPA deve divulgar

O CCPA estabelece requisitos de divulgação específicos nos Cal. Civ. Code sections 1798.100(a) e 1798.130(a). A sua política de privacidade deve incluir os seguintes elementos:

Categorias de informações pessoais recolhidas. Deve listar as categorias de informações pessoais que recolheu nos 12 meses anteriores. O CCPA define 12 categorias na section 1798.140(v), incluindo identificadores (nome, email, endereço IP), informações comerciais (histórico de compras), atividade na Internet (histórico de navegação, histórico de pesquisa), dados de geolocalização e informações profissionais ou de emprego.

Finalidades da recolha. Para cada categoria de informações pessoais, divulgue a finalidade comercial para a qual foram recolhidas. Declarações vagas como “para melhorar os nossos serviços” são insuficientes. Deve ser específico: “para processar encomendas e efetuar entregas”, “para servir publicidade direcionada baseada no comportamento de navegação”, “para detetar incidentes de segurança”.

Categorias de terceiros com quem as informações são partilhadas. Se partilha informações pessoais com terceiros, divulgue as categorias de destinatários: redes publicitárias, fornecedores de análise, processadores de pagamento, serviços de alojamento cloud. Segundo as emendas CPRA, deve também divulgar as categorias de terceiros a quem as informações são vendidas ou partilhadas para publicidade comportamental entre contextos.

Direitos dos consumidores e como exercê-los. A sua política deve explicar os direitos que os consumidores californianos têm ao abrigo do CCPA: o direito de saber, o direito de eliminação, o direito de recusar a venda ou partilha de informações pessoais, o direito de corrigir informações inexatas e o direito de limitar o uso de informações pessoais sensíveis. Deve fornecer instruções claras para submeter pedidos, incluindo pelo menos dois métodos designados (um número gratuito e um endereço web).

Períodos de retenção. O CPRA acrescentou o requisito de divulgar o período de retenção para cada categoria de informações pessoais, ou os critérios utilizados para determinar os períodos de retenção.

Link “Não vender ou partilhar as minhas informações pessoais”. Se a sua empresa vende ou partilha informações pessoais, deve fornecer um link claramente identificado na sua página inicial intitulado “Não vender ou partilhar as minhas informações pessoais”. Este mecanismo de opt-out deve ser funcional e fácil de usar. Segundo o CPRA, isto estende-se à publicidade comportamental entre contextos, não apenas às vendas tradicionais de dados. Um banner de cookies gratuito pode fornecer esta funcionalidade de opt-out juntamente com a gestão do consentimento RGPD.

Aviso de incentivo financeiro. Se oferece incentivos financeiros (descontos, programas de fidelização) em troca da recolha, venda ou retenção de informações pessoais, a sua política de privacidade deve descrever os termos materiais do programa de incentivos e explicar como os consumidores podem aderir ou retirar-se.

Conformidade com o §7025 (Global Privacy Control). Ao abrigo do regulamento de execução do CCPA em vigor desde janeiro de 2026, a sua política de privacidade deve divulgar como o seu site honra o sinal Global Privacy Control transmitido pelo navegador como pedido de opt-out válido. Veja a secção dedicada abaixo para um modelo de redação.

Divulgar a conformidade com GPC na sua política de privacidade

Ao abrigo da secção 7025 do regulamento de execução do CCPA, qualquer empresa sujeita ao CCPA DEVE honrar automaticamente os sinais Global Privacy Control (GPC) ao nível do navegador como pedidos de opt-out da venda ou partilha. Trata-se de um mandato técnico de conformidade: quando o navegador de um visitante transmite um sinal GPC, o seu site deve tratar esse sinal como um pedido válido do consumidor de retirar-se da venda ou partilha das suas informações pessoais, sem exigir qualquer ação adicional do utilizador. A própria política de privacidade deve divulgar esta implementação técnica — o silêncio sobre este ponto não é aceitável.

Por que a divulgação importa de forma independente. A CPPA e o procurador-geral da Califórnia deixaram claro que honrar o GPC e divulgar que se honra são duas obrigações distintas. Uma empresa que processa tecnicamente os sinais GPC corretamente mas omite mencioná-lo na sua política de privacidade pode ainda ser sancionada por divulgação insuficiente. Inversamente, uma empresa que afirma cumprir o GPC na sua política mas não honra tecnicamente o sinal expõe-se a queixas por práticas enganosas tanto ao abrigo do CCPA como da lei californiana de concorrência desleal.

Modelo de redação. Pode adaptar os dois parágrafos seguintes como ponto de partida:

O nosso site honra o sinal Global Privacy Control (GPC) como pedido de opt-out válido ao abrigo do California Consumer Privacy Act, conforme exigido pela secção 7025 do regulamento de execução do CCPA. Quando o seu navegador transmite um sinal GPC, tratamo-lo automaticamente como pedido de retirada da venda e partilha das suas informações pessoais, incluindo para fins de publicidade comportamental contextual cruzada. Não precisa de submeter qualquer pedido adicional, clicar em qualquer link ou preencher qualquer formulário — o sinal GPC por si só é suficiente.

Se desejar verificar se o seu navegador está a enviar um sinal GPC, pode instalar uma extensão de navegador focada na privacidade ou utilizar um navegador que suporte GPC nativamente. Honrar o GPC complementa — e não substitui — o nosso link «Não vender ou partilhar as minhas informações pessoais», que continua disponível para consumidores que prefiram submeter um pedido manual de opt-out ou cujos navegadores não transmitam um sinal GPC.

Coloque esta divulgação numa subsecção claramente identificada da sua política de privacidade, normalmente perto da sua secção «Não vender ou partilhar» ou «Os seus direitos de privacidade na Califórnia». A divulgação deve permanecer exata: se alterar a sua lógica de tratamento do GPC, atualize a política.

Divulgar tecnologias de tomada de decisão automatizada (ADMT)

O regulamento de execução do CCPA em vigor desde janeiro de 2026 também introduziu obrigações de divulgação e opt-out em torno das Tecnologias de Tomada de Decisão Automatizada (ADMT, Automated Decision-Making Technology). Se a sua empresa utiliza ADMT para tomar decisões significativas sobre os consumidores — por exemplo, pontuação de crédito automatizada, filtros de contratação, monitorização laboral, subscrição de seguros ou decisões substanciais em matéria educativa ou habitacional — a sua política de privacidade deve divulgar essa utilização, descrever a lógica envolvida e explicar o direito do consumidor de recusar estar sujeito a ADMT (com exceções limitadas para deteção de fraude e segurança).

Para a maioria dos sites de público geral que não realizam tomada de decisão automatizada significativa, esta secção pode ser breve: um curto parágrafo confirmando que a empresa não utiliza ADMT para tomar decisões com efeito legal ou similarmente significativo sobre os consumidores. Para empresas que utilizam ADMT, é exigida uma divulgação mais detalhada, incluindo o direito de acesso a informações sobre a lógica e o direito de opt-out. Veja a nossa análise completa das sete alterações CCPA 2026 para os requisitos técnicos completos.

Para os operadores em dupla jurisdição, a nossa comparação CCPA vs RGPD explica como as novas obrigações GPC e ADMT se alinham — e divergem — com os conceitos equivalentes do RGPD (artigo 22.º sobre tomada de decisão automatizada, artigo 21.º sobre direito de oposição).

Informações pessoais sensíveis ao abrigo do CPRA

O CPRA introduziu o conceito de “informações pessoais sensíveis”, que inclui números de segurança social, credenciais de contas financeiras, geolocalização precisa, origem racial ou étnica, crenças religiosas, conteúdo de correspondência ou mensagens de texto, dados genéticos, informações biométricas, informações de saúde e orientação sexual.

Se a sua empresa recolhe informações pessoais sensíveis, a sua política de privacidade deve divulgá-lo e fornecer aos consumidores o direito de limitar o seu uso às finalidades necessárias para fornecer os bens ou serviços solicitados. Deve também incluir um link separado na sua página inicial: “Limitar o uso das minhas informações pessoais sensíveis”.

Esta proteção reforçada para categorias de dados sensíveis reflete disposições semelhantes no RGPD (Artigo 9) — aplicado em Portugal pela CNPD e complementado pela Lei n.º 58/2019 — refletindo uma tendência global para um tratamento mais rigoroso das informações pessoais de alto risco.

Erros comuns de conformidade

Muitas empresas não cumprem o CCPA não por negligência deliberada mas por desconhecimento dos requisitos da lei. Eis os erros mais frequentes:

Usar uma política de privacidade apenas para o RGPD. Embora o RGPD e o CCPA se sobreponham em algumas áreas, uma política de privacidade concebida exclusivamente para a conformidade com o RGPD não satisfará os requisitos do CCPA. O CCPA tem as suas próprias categorias de divulgação específicas, o seu próprio quadro de direitos dos consumidores e os seus próprios mecanismos de opt-out que diferem substancialmente do direito europeu. Para empresas portuguesas familiarizadas com os requisitos da CNPD e da Lei n.º 58/2019, é crucial adicionar os elementos específicos do CCPA.

Não atualizar anualmente. Cal. Civ. Code section 1798.130(a)(5) exige que as empresas atualizem a sua política de privacidade pelo menos uma vez a cada 12 meses. A data da última atualização deve ser exibida de forma proeminente. Muitas empresas criam uma política uma vez e nunca a revêem, deixando-a desatualizada à medida que as suas práticas de dados evoluem.

Divulgações de categorias incompletas. Listar “informações pessoais” como uma única categoria não é suficiente. O CCPA exige uma divulgação granular através das suas 12 categorias enumeradas. Reveja os seus fluxos de dados reais, incluindo ferramentas de análise, pixels publicitários, integrações CRM e processadores de pagamento, para assegurar que cada categoria está coberta.

Sem mecanismo de opt-out funcional. Ter um link “Não vender” que leva a um formulário com defeito, um endereço de email não monitorizado ou uma página de contacto genérica é uma infração. O opt-out deve funcionar, e deve processar os pedidos dentro de 15 dias úteis.

Ignorar prestadores de serviços e contratantes. O CCPA distingue entre “prestadores de serviços” (que tratam dados em seu nome ao abrigo de um contrato) e “terceiros” (que recebem dados para as suas próprias finalidades). A sua política de privacidade deve caracterizar com precisão estas relações, e os seus contratos devem incluir cláusulas de tratamento de dados conformes ao CCPA. Em Portugal, esta distinção é paralela à do RGPD entre responsáveis pelo tratamento e subcontratantes (artigos 26.º e 28.º).

Aplicação e sanções do CCPA

O gabinete do procurador-geral da Califórnia aplica ativamente o CCPA desde julho de 2020. Ao abrigo do Cal. Civ. Code section 1798.155, as sanções incluem:

  • Até 2.500 $ por infração não intencional. Dado que cada registo de consumidor pode constituir uma infração separada, as coimas acumulam-se rapidamente. Uma violação de dados que afete 10.000 consumidores californianos poderia teoricamente resultar em 25 milhões de dólares em sanções.
  • Até 7.500 $ por infração intencional. As infrações conscientes do CCPA ou as infrações que envolvam informações pessoais de menores de 16 anos comportam a sanção mais elevada.
  • Direito de ação privada para violações de dados. Ao abrigo da section 1798.150, os consumidores podem processar diretamente as empresas por violações de dados resultantes do incumprimento em implementar medidas de segurança razoáveis. A indemnização legal varia de 100 $ a 750 $ por consumidor por incidente, ou os danos reais, consoante o valor mais elevado.

A California Privacy Protection Agency (CPPA), criada pelo CPRA, partilha agora a autoridade de aplicação com o procurador-geral e tem emitido ativamente regulamentos e conduzido investigações. Para mais detalhes sobre os riscos de aplicação, leia o nosso artigo sobre sanções CCPA e a nossa comparação CCPA vs RGPD.

Quatro abordagens para a conformidade da política de privacidade CCPA

Contratar um advogado especializado em privacidade

Custo: 3.000 a 8.000 $ por uma política de privacidade CCPA completa e infraestrutura de opt-out. Prazo: 2 a 6 semanas.

Um advogado especializado em direito da privacidade californiano realizará um exercício detalhado de mapeamento de dados, revê os seus acordos com fornecedores e redige uma política adaptada às suas práticas específicas de dados. Isto é recomendado para empresas com fluxos de dados complexos, altos volumes de dados ou operações em vários estados dos EUA com as suas próprias leis de privacidade. Para empresas portuguesas, um advogado especialista tanto em RGPD/Lei n.º 58/2019 como em CCPA é ideal.

Utilizar uma ferramenta de IA genérica

Custo aparente: 0 $. Custo real: potencialmente significativo em risco de aplicação.

Os chatbots de IA genéricos podem produzir texto que se assemelha a uma política de privacidade mas frequentemente falham nos requisitos específicos do CCPA: as 12 categorias estatutárias, o requisito do link de opt-out, as divulgações de informações pessoais sensíveis e a frequência de atualização exigida. Uma política que parece conforme mas carece de elementos obrigatórios cria uma falsa sensação de segurança.

Copiar um modelo gratuito

Custo: 0 $. Risco: elevado.

Os modelos CCPA gratuitos encontrados online são tipicamente genéricos, desatualizados (muitos são anteriores às emendas CPRA) e não adaptados ao seu negócio específico. Raramente incluem mecanismos de opt-out adequados ou divulgações de prestadores de serviços. Utilizar um modelo sem personalização significativa é improvável que satisfaça os requisitos do CCPA.

Utilizar um gerador de documentos jurídicos especializado

Custo: 19,90 € a 49,90 € (≈ 16 a 54 USD). Prazo: menos de 10 minutos.

Um gerador de documentos jurídicos especializado faz perguntas específicas sobre as suas atividades comerciais, práticas de recolha de dados e relações com terceiros, e depois produz uma política de privacidade que satisfaz os requisitos do CCPA. Esta abordagem equilibra o rigor de conformidade com a acessibilidade e a relação custo-eficácia para a maioria das empresas online.

Conclusão

O CCPA impõe requisitos detalhados e específicos às políticas de privacidade que vão além das boas práticas gerais. Se a sua empresa cumpre qualquer um dos três limiares de aplicabilidade, a sua política de privacidade deve enumerar as categorias de informações pessoais que recolhe, explicar as suas finalidades, divulgar a partilha com terceiros, descrever os direitos dos consumidores e como exercê-los, e fornecer mecanismos de opt-out funcionais.

Comece com uma verificação de conformidade gratuita para avaliar a sua situação atual. Para as empresas portuguesas sujeitas ao RGPD através da CNPD, o CCPA acrescenta uma camada adicional de obrigações específicas. Com a CPPA a aplicar ativamente a lei e as sanções a acumularem-se por infração, o custo do incumprimento excede em muito o custo de colocar a sua política de privacidade em conformidade. Quer contrate um advogado especializado para situações complexas ou utilize um gerador especializado para necessidades de conformidade simples, o passo importante é agir agora. Cada dia sem uma política de privacidade conforme ao CCPA é um dia de exposição jurídica desnecessária.

RGPD E-commerce 2026: 7 Erros CNPD - Fundamentos do RGPD

RGPD E-commerce 2026: 7 Erros CNPD

⏱ 9 min de leitura
Fundamentos do RGPD Comércio eletrónico

Os 7 erros RGPD mais frequentes em lojas online que desencadeiam uma fiscalização da CNPD em 2026 (cookies, transferências US, subcontratantes).

Ler artigo →
Site Institucional e RGPD: Está Conforme? - Fundamentos do RGPD

Site Institucional e RGPD: Está Conforme?

⏱ 9 min de leitura
Fundamentos do RGPD Multi

83% dos sites institucionais violam o RGPD. Verifique: política de privacidade, cookies, formulários.

Ler artigo →
Conformidade RGPD E-commerce: 10 Passos - Fundamentos do RGPD

Conformidade RGPD E-commerce: 10 Passos

⏱ 10 min de leitura
Fundamentos do RGPD Comércio eletrónico Multi

Plano de ação RGPD em 10 passos para o seu e-commerce: da auditoria inicial à conformidade total. Guia prático para proteger a sua loja online.

Ler artigo →