[:pb]No final de junho de 2018, o estado norte-americano da Califórnia aprovou uma nova lei de privacidade, que implementa os mais fortes controles em comparação com qualquer outro estado dos EUA. A Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA) garante uma série de novos direitos aos consumidores daquele estado, sobre como seus dados pessoais são coletados, usados e vendidos.

A nova lei entrará em vigor em 1º de janeiro de 2020 e, nessa data, os cidadãos da Califórnia poderão solicitar todos os dados coletados sobre eles, até mesmo nos 12 meses anteriores, ou seja, 1º de janeiro de 2019. Isso significa que as empresas precisarão garantir que estão coletando e classificando corretamente os dados dos residentes da Califórnia a partir de 1º de janeiro de 2019.

Esse documento legal, o Assembly Bill No. 375 (AB 375), dá aos consumidores da Califórnia o direito de perguntar a qualquer empresa que tenha coletado suas informações pessoais, quais tipos e categorias de informações pessoais que a empresa coletou. Também exige que as empresas divulguem a razão porque estão coletando os dados, bem como se eles os venderam a um terceiro, o nome do terceiro e com que finalidade os dados foram vendidos. Os cidadãos da Califórnia também podem solicitar a qualquer momento que seus dados sejam excluídos.

Quais os impactos para as empresas que operam internacionalmente?

Como a Califórnia tem o quinto maior PIB do planeta e as empresas provavelmente não criarão sistemas duplos de mapeamento e processos para diferenciar os californianos de seus outros clientes, a regulamentação também afetará a economia norte-americana e global, representando uma mudança significativa para a conformidade de procedimentos para atuação nos EUA, como a GDPR alterou as regras de privacidade globalmente. Como resultado, as empresas que operam internacionalmente estão sofrendo pressão dos seguintes impactos que o regulamento pode trazer para as operações de negócios:

1. Danos Presumidos

Um conceito de longo alcance do AB 375 é o de “danos presumidos”. Os cidadãos da Califórnia podem iniciar uma ação civil para recuperar danos, se acreditarem que uma organização não conseguiu proteger seus dados pessoais, ou seja, sofreu uma violação de dados. Os possíveis danos de uma violação equivalem a um valor não inferior a cem dólares (US$ 100) e não superior a setecentos e cinquenta dólares (US$ 750) por consumidor/por incidente, ou com base em danos reais, o que for maior.

Isso significa que, se ocorrer uma violação e os dados do consumidor forem acessados ou tenham ficado expostos, a lei presume que os dados estão sendo utilizados incorretamente. Multas de US$ 100 ou US$ 750 podem não parecer muito, mas ao contabilizar o tamanho possível de uma violação, o resultado poderá ficar no patamar dos milhões de dólares.

2. Multiplicação de ações judiciais dos consumidores

Alguns de nós provavelmente já receberam comunicados de grandes empresas, dizendo que registraram uma “violação não autorizada e seus dados podem ter sido acessados e roubados.” As empresas ainda afirmavam que não era preciso se preocupar. Agora, os residentes da Califórnia podem entrar imediatamente com uma ação contra a empresa e receber indenização, sem precisar provar danos reais. Também não podemos nos esquecer de que esta lei será uma grande oportunidade para advogados ajuizarem ações judiciais coletivas.

3. Adequação urgente aos requisitos dos aplicativos de TI e de negócios

O AB 375 demandará o aumento do nível de segurança para as empresas que coletam ou possuam dados de residentes na Califórnia. A lei também forçará as empresas a terem mais cuidado com os dados que estão coletando dos consumidores e gerenciar esses dados de forma mais granular. Considere que a preparação para a nova lei da Califórnia (assim como foi e está sendo para o GDPR) será mais complicada, à medida que outros estados norte-americanos também adotem suas próprias leis de privacidade. A questão será: os outros estados adotarão a lei da Califórnia ou cada um deles adotará um regulamento de privacidade diferente?

4. A consolidação de dados torna-se a prioridade nº 1

Considerando o novo ambiente de segurança, as empresas precisam primeiro se concentrar na consolidação de dados e, em seguida, na segurança. É mais fácil proteger um único repositório, bem como executar pesquisa, revisão, produção e retenção e disposição dos dados, do que trabalhar com vários repositórios de aplicativos diferentes, com regras e recursos diversos.

5. Declínio de produtividade devido à supervisão das agências reguladoras

Dado o grande número de hacks que ocorre regularmente, o conceito de dano presumido tem o potencial de criar uma onda de litígios de reclamações e exposição financeira, apesar dos melhores esforços de uma empresa para manter os dados de seus clientes seguros. Independentemente disso, as organizações deverão estar muito mais conformes com o regulamento, resultando em custos legais muito mais elevados.

6. Incerteza sobre a ilegalidade do AB 375

Embora o AB 375 seja limitado a empresas que fazem negócios com residentes na Califórnia, pode-se argumentar que o efeito prático da lei coloca um ônus indevido sobre o comércio interestadual e internacional. Além disso, como o AB 375 contém um mecanismo de geração de renda para a Califórnia, alguns diriam até mesmo tratar-se de um novo imposto sobre as empresas, dada a frequência das violações de dados cibernéticos. Em face disso, podemos imaginar um desafio para sua implementação.

7. Elevados custos de conformidade e de estrutura

Muitos especialistas esperam que o Congresso dos EUA acabe aprovando uma lei nacional de privacidade. No entanto, se o CCPA for deixado sem contestação, as empresas serão forçadas a investir pesadamente, para garantir o cumprimento do novo regulamento. A menos que as organizações sejam capazes de arquitetar soluções econômicas para lidar com as exigências, as operações serão sufocadas e os consumidores sofrerão, resultando em aumento dos preços e na perda de empregos.

O CCPA é um desafio para os profissionais de tecnologia responsáveis pela segurança cibernética de suas organizações, porque é uma norma, de uma fila de iniciativas legislativas semelhantes em todo o mundo, com foco em preservar a privacidade dos dados do consumidor.

Para as empresas e suas equipes de TI, independentemente da sua localização, esse é um assunto que deve ser seriamente considerado, visando preservar a competitividade e as operações da empresa.[:en]No final de junho de 2018, o estado norte-americano da Califórnia aprovou uma nova lei de privacidade, que implementa os mais fortes controles em comparação com qualquer outro estado dos EUA. A Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA) garante uma série de novos direitos aos consumidores daquele estado, sobre como seus dados pessoais são coletados, usados e vendidos.

A nova lei entrará em vigor em 1º de janeiro de 2020 e, nessa data, os cidadãos da Califórnia poderão solicitar todos os dados coletados sobre eles, até mesmo nos 12 meses anteriores, ou seja, 1º de janeiro de 2019. Isso significa que as empresas precisarão garantir que estão coletando e classificando corretamente os dados dos residentes da Califórnia a partir de 1º de janeiro de 2019.

Esse documento legal, o Assembly Bill No. 375 (AB 375), dá aos consumidores da Califórnia o direito de perguntar a qualquer empresa que tenha coletado suas informações pessoais, quais tipos e categorias de informações pessoais que a empresa coletou. Também exige que as empresas divulguem a razão porque estão coletando os dados, bem como se eles os venderam a um terceiro, o nome do terceiro e com que finalidade os dados foram vendidos. Os cidadãos da Califórnia também podem solicitar a qualquer momento que seus dados sejam excluídos.

Quais os impactos para as empresas que operam internacionalmente?

Como a Califórnia tem o quinto maior PIB do planeta e as empresas provavelmente não criarão sistemas duplos de mapeamento e processos para diferenciar os californianos de seus outros clientes, a regulamentação também afetará a economia norte-americana e global, representando uma mudança significativa para a conformidade de procedimentos para atuação nos EUA, como a GDPR alterou as regras de privacidade globalmente. Como resultado, as empresas que operam internacionalmente estão sofrendo pressão dos seguintes impactos que o regulamento pode trazer para as operações de negócios:

1. Danos Presumidos

Um conceito de longo alcance do AB 375 é o de “danos presumidos”. Os cidadãos da Califórnia podem iniciar uma ação civil para recuperar danos, se acreditarem que uma organização não conseguiu proteger seus dados pessoais, ou seja, sofreu uma violação de dados. Os possíveis danos de uma violação equivalem a um valor não inferior a cem dólares (US$ 100) e não superior a setecentos e cinquenta dólares (US$ 750) por consumidor/por incidente, ou com base em danos reais, o que for maior.

Isso significa que, se ocorrer uma violação e os dados do consumidor forem acessados ou tenham ficado expostos, a lei presume que os dados estão sendo utilizados incorretamente. Multas de US$ 100 ou US$ 750 podem não parecer muito, mas ao contabilizar o tamanho possível de uma violação, o resultado poderá ficar no patamar dos milhões de dólares.

2. Multiplicação de ações judiciais dos consumidores

Alguns de nós provavelmente já receberam comunicados de grandes empresas, dizendo que registraram uma “violação não autorizada e seus dados podem ter sido acessados e roubados.” As empresas ainda afirmavam que não era preciso se preocupar. Agora, os residentes da Califórnia podem entrar imediatamente com uma ação contra a empresa e receber indenização, sem precisar provar danos reais. Também não podemos nos esquecer de que esta lei será uma grande oportunidade para advogados ajuizarem ações judiciais coletivas.

3. Adequação urgente aos requisitos dos aplicativos de TI e de negócios

O AB 375 demandará o aumento do nível de segurança para as empresas que coletam ou possuam dados de residentes na Califórnia. A lei também forçará as empresas a terem mais cuidado com os dados que estão coletando dos consumidores e gerenciar esses dados de forma mais granular. Considere que a preparação para a nova lei da Califórnia (assim como foi e está sendo para o GDPR) será mais complicada, à medida que outros estados norte-americanos também adotem suas próprias leis de privacidade. A questão será: os outros estados adotarão a lei da Califórnia ou cada um deles adotará um regulamento de privacidade diferente?

4. A consolidação de dados torna-se a prioridade nº 1

Considerando o novo ambiente de segurança, as empresas precisam primeiro se concentrar na consolidação de dados e, em seguida, na segurança. É mais fácil proteger um único repositório, bem como executar pesquisa, revisão, produção e retenção e disposição dos dados, do que trabalhar com vários repositórios de aplicativos diferentes, com regras e recursos diversos.

5. Declínio de produtividade devido à supervisão das agências reguladoras

Dado o grande número de hacks que ocorre regularmente, o conceito de dano presumido tem o potencial de criar uma onda de litígios de reclamações e exposição financeira, apesar dos melhores esforços de uma empresa para manter os dados de seus clientes seguros. Independentemente disso, as organizações deverão estar muito mais conformes com o regulamento, resultando em custos legais muito mais elevados.

6. Incerteza sobre a ilegalidade do AB 375

Embora o AB 375 seja limitado a empresas que fazem negócios com residentes na Califórnia, pode-se argumentar que o efeito prático da lei coloca um ônus indevido sobre o comércio interestadual e internacional. Além disso, como o AB 375 contém um mecanismo de geração de renda para a Califórnia, alguns diriam até mesmo tratar-se de um novo imposto sobre as empresas, dada a frequência das violações de dados cibernéticos. Em face disso, podemos imaginar um desafio para sua implementação.

7. Elevados custos de conformidade e de estrutura

Muitos especialistas esperam que o Congresso dos EUA acabe aprovando uma lei nacional de privacidade. No entanto, se o CCPA for deixado sem contestação, as empresas serão forçadas a investir pesadamente, para garantir o cumprimento do novo regulamento. A menos que as organizações sejam capazes de arquitetar soluções econômicas para lidar com as exigências, as operações serão sufocadas e os consumidores sofrerão, resultando em aumento dos preços e na perda de empregos.

O CCPA é um desafio para os profissionais de tecnologia responsáveis pela segurança cibernética de suas organizações, porque é uma norma, de uma fila de iniciativas legislativas semelhantes em todo o mundo, com foco em preservar a privacidade dos dados do consumidor.

Para as empresas e suas equipes de TI, independentemente da sua localização, esse é um assunto que deve ser seriamente considerado, visando preservar a competitividade e as operações da empresa.

 [:]