Se o seu website serve utilizadores tanto na União Europeia como na Califórnia, está provavelmente sujeito a duas das regulamentações de privacidade mais influentes do mundo: o Regulamento Geral sobre a Proteção de Dados (RGPD) e o California Consumer Privacy Act (CCPA), conforme emendado pelo California Privacy Rights Act (CPRA). Embora ambas as leis visem proteger os dados pessoais, diferem fundamentalmente na sua abordagem, âmbito e aplicação. Compreender estas diferenças não é opcional — é essencial para construir uma estratégia de conformidade que satisfaça ambos os quadros sem duplicação desnecessária ou lacunas. Este artigo oferece uma perspetiva especial para as empresas portuguesas, onde a CNPD aplica o RGPD complementado pela Lei n.º 58/2019.
Fundamentos filosóficos: opt-in vs opt-out
A diferença mais fundamental entre o RGPD e o CCPA reside no seu modelo de consentimento predefinido.
O RGPD opera numa base de opt-in. Nos termos do artigo 6.º do RGPD, o tratamento de dados pessoais requer uma base jurídica antes de qualquer recolha. Para muitos tipos de tratamento — particularmente marketing, perfilagem e análise — deve ser obtido o consentimento explícito do titular dos dados antes da recolha. Isto significa que quando um utilizador europeu visita o seu website pela primeira vez, não pode definir cookies não essenciais, ativar píxeis de rastreamento ou recolher dados comportamentais até que o utilizador consinta afirmativamente. Em Portugal, a CNPD tem emitido orientações detalhadas sobre cookies e consentimento.
O CCPA opera numa base de opt-out. As empresas podem recolher e utilizar informações pessoais sem obter consentimento prévio (com certas exceções para menores de 16 anos). Em vez disso, o CCPA confere aos consumidores o direito de recusar a venda ou partilha das suas informações pessoais a posteriori. A empresa deve fornecer um link “Não vender ou partilhar as minhas informações pessoais”, mas pode tratar dados por defeito até que o consumidor exerça esse direito.
Esta distinção tem profundas implicações práticas. Um website conforme ao RGPD que bloqueia todo o rastreamento até ao consentimento também satisfará os requisitos menos restritivos do CCPA. Mas um website conforme ao CCPA que rastreia utilizadores por defeito e se baseia no opt-out violará o RGPD se servir utilizadores europeus sem consentimento prévio.
Âmbito e aplicabilidade
Quem é protegido
RGPD: Qualquer “titular dos dados” que se encontre na União Europeia, independentemente da nacionalidade ou residência. Um turista americano a navegar num website durante uma visita a Lisboa é protegido pelo RGPD durante essa visita. O regulamento protege indivíduos (pessoas singulares), não empresas.
CCPA: Os “consumidores” californianos, definidos como pessoas singulares residentes na Califórnia. A proteção segue a residência da pessoa, não a sua localização física. Um residente californiano a navegar num website durante férias em Tóquio continua protegido pelo CCPA.
Que empresas devem cumprir
RGPD: Qualquer organização, em qualquer parte do mundo, que trate dados pessoais de indivíduos na UE, desde que ofereça bens ou serviços a residentes da UE ou monitorize o seu comportamento (Artigo 3.º). Não há limiar de receita, nem mínimo de volume de dados. Um blog individual que recolha endereços de email de visitantes da UE deve cumprir. A CNPD tem confirmado esta abordagem.
CCPA: Empresas com fins lucrativos que operam na Califórnia e cumprem pelo menos um de três limiares: receita bruta anual superior a 25 milhões de dólares; compra, venda ou partilha de informações pessoais de 100.000 ou mais consumidores ou agregados familiares; ou derivar 50% ou mais da receita anual da venda ou partilha de informações pessoais. Organizações sem fins lucrativos e entidades governamentais estão isentas.
Definição de dados pessoais
RGPD: “Dados pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável (Artigo 4.º, n.º 1). Isto inclui nomes, endereços de email, endereços IP, identificadores de cookies, dados de localização, identificadores online e mesmo dados pseudonimizados se a reidentificação for possível.
CCPA: “Informações pessoais” são definidas de forma mais ampla em certos aspetos, cobrindo informações que “identificam, se relacionam com, descrevem, são razoavelmente capazes de ser associadas a, ou poderiam razoavelmente ser ligadas, direta ou indiretamente, a um consumidor ou agregado familiar particular”. A adição de “agregado familiar” estende a cobertura para além do indivíduo. Contudo, as informações publicamente disponíveis são explicitamente excluídas da definição do CCPA, enquanto o RGPD não faz tal exclusão.
Direitos dos consumidores/titulares dos dados
Ambas as leis conferem aos indivíduos direitos sobre os seus dados pessoais, mas os detalhes diferem:
| Direito | RGPD | CCPA/CPRA |
|---|---|---|
| Direito de acesso/conhecimento | Artigo 15.º: direito de obter confirmação e cópia de todos os dados pessoais | Secção 1798.100: direito de conhecer categorias e elementos específicos recolhidos nos últimos 12 meses |
| Direito de apagamento | Artigo 17.º: direito ao apagamento (“direito a ser esquecido”) com amplas exceções | Secção 1798.105: direito de eliminação com exceções especificadas |
| Direito à portabilidade | Artigo 20.º: direito de receber dados em formato legível por máquina | Sem equivalente no CCPA |
| Direito de retificação | Artigo 16.º: direito de retificação | Secção 1798.106 (adicionada pelo CPRA): direito de corrigir informações inexatas |
| Direito de oposição à venda | Não diretamente aplicável (modelo baseado em consentimento) | Secção 1798.120: direito de recusar a venda e partilha |
| Direito de limitar dados sensíveis | Artigo 9.º: categorias especiais requerem consentimento explícito | Secção 1798.121 (CPRA): direito de limitar o uso de informações pessoais sensíveis |
| Direito à não discriminação | Implícito nos princípios gerais | Secção 1798.125: proibição explícita de discriminar consumidores que exercem os seus direitos |
| Prazo de resposta | 1 mês (prorrogável para 3) | 45 dias (prorrogável para 90) |
Nao sabe quais regulamentacoes se aplicam ao seu site? O scanner de conformidade gratuito do WebLegal analisa o seu site e identifica os documentos legais e requisitos de privacidade que precisa de tratar.
Bases jurídicas do tratamento
É aqui que os dois quadros divergem mais acentuadamente.
RGPD: O artigo 6.º exige uma de seis bases jurídicas para cada atividade de tratamento: consentimento, execução de contrato, obrigação legal, interesses vitais, missão de interesse público ou interesses legítimos. A escolha da base jurídica deve ser documentada e comunicada aos titulares dos dados. Para categorias especiais de dados (Artigo 9.º), deve ser cumprida uma condição adicional, geralmente o consentimento explícito. A CNPD e a Lei n.º 58/2019 fornecem orientações específicas sobre a escolha da base jurídica apropriada.
CCPA: Não existe o conceito de “base jurídica” no CCPA. As empresas podem recolher e tratar informações pessoais para qualquer finalidade comercial declarada. A lei regula a divulgação e os direitos de opt-out em vez de exigir uma justificação afirmativa para cada atividade de tratamento.
Aplicação e sanções
Aplicação do RGPD
A aplicação é assegurada pelas autoridades de proteção de dados em cada Estado-membro da UE. Em Portugal, a CNPD é responsável pela supervisão. As sanções máximas nos termos do artigo 83.º são:
- Até 10 milhões de euros ou 2% do volume de negócios anual mundial para infrações menores
- Até 20 milhões de euros ou 4% do volume de negócios anual mundial para infrações graves
As autoridades podem também emitir ordens de cessação de tratamento, proibir transferências de dados e exigir medidas corretivas específicas.
Aplicação do CCPA
A aplicação é partilhada entre o procurador-geral da Califórnia e a CPPA:
- Até 2.500 $ por infração não intencional
- Até 7.500 $ por infração intencional ou que envolva menores
- Direito de ação privada para violações de dados: 100 $ a 750 $ por consumidor por incidente
Transferências de dados
RGPD: As transferências de dados pessoais para fora do EEE são restringidas pelo capítulo V do RGPD. As transferências requerem uma decisão de adequação, cláusulas contratuais tipo (CCT), regras vinculativas aplicáveis às empresas ou outro mecanismo de transferência aprovado.
CCPA: Não existem restrições sobre transferências internacionais de dados no CCPA. A lei regula como os dados são recolhidos, utilizados, vendidos e partilhados, mas não restringe onde são armazenados ou tratados geograficamente.
Estratégia prática de conformidade para empresas bi-jurisdicionais
Se o seu website serve tanto utilizadores da UE como da Califórnia, eis uma abordagem prática para empresas portuguesas:
1. Comece pela conformidade com o RGPD. Os requisitos do RGPD são geralmente mais rigorosos. Uma política de privacidade, mecanismo de consentimento e práticas de tratamento de dados conformes ao RGPD satisfarão a maioria dos requisitos do CCPA. Siga as orientações da CNPD e os requisitos da Lei n.º 58/2019.
2. Acrescente os elementos específicos do CCPA. Acrescente as divulgações e mecanismos que o CCPA exige e o RGPD não: o link “Não vender ou partilhar”, o quadro de divulgação em 12 categorias, o opt-out para informações pessoais sensíveis e a atualização anual com data.
3. Implemente consentimento baseado em geolocalizacao. Utilize uma plataforma de gestao de consentimento que detete a localizacao do utilizador e aplique o modelo de consentimento apropriado: opt-in para visitantes da UE, direitos de opt-out para visitantes californianos. O banner de cookies gratuito do WebLegal gere o consentimento RGPD e pode servir como base para a sua abordagem multi-jurisdicao.
4. Mantenha registos separados. O RGPD exige registos de atividades de tratamento (Artigo 30.º). O CCPA exige documentação de pedidos dos consumidores e respostas. Mantenha ambos. Em Portugal, a CNPD verifica regularmente a manutenção do registo de atividades de tratamento.
5. Reveja os contratos com fornecedores. Assegure-se de que os seus contratos com subcontratantes (RGPD) e prestadores de serviços (CCPA) cumprem os requisitos de ambos os quadros. A terminologia difere, mas a obrigação subjacente — controlar como terceiros tratam os dados dos seus utilizadores — é a mesma.
Conclusão
O RGPD e o CCPA representam duas abordagens distintas à regulamentação da privacidade: o consentimento abrangente europeu versus a transparência direcionada californiana. Nenhum subsume o outro. Uma empresa que serve utilizadores em ambas as jurisdições necessita de uma estratégia de conformidade que aborde os requisitos de consentimento do RGPD, o quadro de bases jurídicas e as restrições de transferência de dados, juntamente com as categorias de divulgação específicas do CCPA, os mecanismos de opt-out e a estrutura de sanções por infração.
O custo da dupla não conformidade é substancial. O custo de construir uma estratégia de privacidade unificada que satisfaça ambos os quadros é gerível — e muito inferior ao risco de aplicação de errar. Para as empresas portuguesas supervisionadas pela CNPD e expostas ao CCPA, a prioridade é abordar ambos os quadros agora em vez de retroativamente após uma ação de aplicação.