Conformidade com CCPA/CPRA: Guia de privacidade da Califórnia para empresas

As leis de privacidade da Califórnia são as mais abrangentes dos Estados Unidos — e aplicam-se a empresas em todo o mundo que cumpram limites específicos. A Lei de Privacidade do Consumidor da Califórnia (CCPA, em vigor a partir de 1º de janeiro de 2020) foi significativamente ampliada pela Lei de Direitos de Privacidade da Califórnia (CPRA, em vigor a partir de 1º de janeiro de 2023), que criou uma agência de fiscalização dedicada, introduziu novos direitos do consumidor e aumentou as obrigações de conformidade para empresas que lidam com “informações pessoais confidenciais”. Com a Agência de Proteção à Privacidade da Califórnia (CPPA) agora operacional e investigando ativamente as violações, o risco de aplicação é real e crescente.

Este guia abrange tudo o que as empresas precisam saber para alcançar e manter a conformidade com CCPA/CPRA: limites de escopo, direitos do consumidor, divulgações exigidas, mecanismos de exclusão, obrigações de minimização de dados e abordagem de aplicação da CPPA.

Principais conclusões

• CCPA/CPRA se aplica a empresas com fins lucrativos que atendem a QUALQUER UM dos três limites: receita, volume de dados ou receita do compartilhamento de dados
• Os consumidores têm 11 direitos distintos sob o CPRA, incluindo o direito de corrigir e o direito de limitar o uso de informações pessoais confidenciais
• A opção de exclusão "Não vender ou compartilhar" deve ser um link único e claramente visível em sua página inicial
• Informações pessoais confidenciais (SPI) desencadeiam obrigações adicionais, incluindo o direito de limitar o processamento
• A aplicação do CPPA tornou-se ativa em 2023, com multas de até US$ 7.500 por violação intencional
• As empresas devem realizar avaliações anuais de proteção de dados para atividades de processamento de alto risco
• Os contratos dos prestadores de serviços devem restringir o uso posterior de informações pessoais
• Os períodos de conservação devem ser divulgados e os dados devem ser eliminados quando já não forem necessários para os fins indicados

---

Limites de aplicabilidade CCPA/CPRA

A CCPA/CPRA se aplica a empresas com fins lucrativos que coletam informações pessoais de consumidores da Califórnia e atendem a QUALQUER UM dos seguintes limites:

1. Receitas brutas anuais superiores a US$ 25 milhões (no ano civil anterior)
2. Compra, vende, recebe ou compartilha informações pessoais de mais de 100.000 consumidores ou famílias anualmente (a CPRA reduziu o limite original da CCPA de 50.000)
3. Obtém 50% ou mais da receita anual da venda ou compartilhamento de informações pessoais dos consumidores

Âmbito geográfico: a lei se aplica com base no local onde os consumidores residem, e não no local onde sua empresa está constituída. Uma empresa de software paquistanesa que gera 30 milhões de dólares em receitas anuais com clientes da Califórnia deve cumprir.

Isenções: os dados de emprego (dados de funcionários B2B) receberam isenções temporárias da CCPA que expiraram em 1º de janeiro de 2023 sob o CPRA. As isenções de informações de contato B2B também expiraram. Muitas instituições financeiras estão parcialmente isentas ao abrigo da Lei Gramm-Leach-Bliley; Os dados de saúde cobertos pela HIPAA têm tratamento separado.

Observação sobre outras leis estaduais dos EUA: embora este guia se concentre na CCPA/CPRA, em 2025, dezenove estados dos EUA promulgaram leis de privacidade abrangentes com limites e requisitos variados. As empresas que realizam conformidade multiestadual devem avaliar a Virgínia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Texas (TDPSA) e outros, juntamente com a Califórnia.

---

Informações pessoais e informações pessoais confidenciais

Informações pessoais (PI) de acordo com CCPA/CPRA significam informações que identificam, se relacionam, descrevem, são razoavelmente capazes de serem associadas ou podem ser razoavelmente vinculadas a um determinado consumidor ou domicílio. Isto é notavelmente mais amplo do que “informações de identificação pessoal” (PII) sob as leis mais antigas dos EUA.

As categorias explicitamente cobertas incluem:

• Identificadores (nomes, e-mail, telefone, endereço IP, nomes de contas, SSN, número da carteira de motorista)
• Informações comerciais (registros de produtos/serviços adquiridos, histórico de navegação/compras)
• Informações biométricas
• Internet ou outra atividade de rede eletrônica (histórico de navegação, histórico de pesquisa, interação com sites)
• Dados de geolocalização
• Informações profissionais ou relacionadas ao emprego
• Informações sobre educação
• Inferências extraídas de qualquer um dos itens acima para criar perfis de consumidores

Informações Pessoais Sensíveis (SPI) — uma adição ao CPRA — inclui um subconjunto de PI que exige proteções reforçadas:

• Números de Segurança Social, carteira de motorista, identidade estadual ou passaporte
• Credenciais de login da conta (nome de usuário/e-mail + senha ou pergunta de segurança)
• Informações da conta financeira + códigos de acesso
• Geolocalização precisa (dentro de 1/8 de milha)
• Origem racial ou étnica
• Crenças religiosas ou filosóficas
• Filiação sindical
• Conteúdo de correio, e-mail ou mensagem de texto (a menos que a empresa seja o destinatário pretendido)
• Dados genéticos
• Dados de saúde ou condição médica
• Orientação sexual ou vida sexual
• Informações biométricas para identificação única

Para o SPI, os consumidores têm o direito adicional de limitar o uso — as empresas não podem usar o SPI além do necessário para fornecer o produto ou serviço solicitado (além de fins adicionais limitados), a menos que o consumidor tenha optado por um uso mais amplo.

---

Direitos do consumidor sob CPRA

A CPRA expandiu os cinco direitos do consumidor da CCPA para onze. As empresas devem ter processos documentados para cumprir cada um:

Requisitos de verificação: antes de responder às solicitações dos consumidores, você deve verificar a identidade do solicitante usando um método "razoavelmente seguro". Para solicitações on-line, o endereço de e-mail correspondente + outro identificador normalmente são suficientes. Você não pode exigir que os consumidores criem contas apenas para enviar solicitações. Solicitações não verificáveis ​​de partes específicas de PI devem ser tratadas apenas como solicitações de categorias.

Agentes autorizados: Os consumidores podem designar agentes autorizados para enviar solicitações em seu nome. Você pode exigir que o agente forneça prova da autorização assinada pelo consumidor.

---

Requisitos do Aviso de Privacidade

Na coleta ou antes dela: As empresas devem informar os consumidores sobre quais IP são coletadas e para quais finalidades antes ou no momento da coleta. Isso se aplica a todos os pontos de coleta: formulários de sites, aplicativos móveis, pontos de venda, chatbots e compras de corretores de dados.

Requisitos da política de privacidade (atualização pelo menos a cada 12 meses):

• Categorias de IP coletadas nos últimos 12 meses
• Finalidades para as quais o PI é usado
• Categorias de PI vendidas ou compartilhadas nos últimos 12 meses
• Categorias de terceiros a quem as IP são divulgadas
• Categorias de fontes das quais o IP é coletado
• Direitos do consumidor e como exercê-los
• Informações de contato para envio de solicitações
• Se o PI é vendido ou compartilhado e como cancelar
• Se o SPI é processado para outros fins que não o fornecimento do produto/serviço
• Períodos de retenção para cada categoria de IP (ou critérios utilizados para determinar a retenção)

Link "Não vender ou compartilhar minhas informações pessoais": deve ser um link claro e visível em sua página inicial e em sua política de privacidade. Se o link estiver em um rodapé ou área de navegação compartilhada em seu site, ele será qualificado. O link deve levar a uma página onde os consumidores possam cancelar em uma única etapa (não ocultada em formulários de várias etapas).

Link "Limitar o uso de minhas informações pessoais confidenciais": obrigatório se você processar o SPI além do necessário para fornecer o produto ou serviço solicitado. Pode ser um link separado ou combinado com o link Não Vender/Compartilhar.

Sinais de preferência de exclusão (GPC): As empresas devem respeitar o sinal do Controle de Privacidade Global (GPC) — uma configuração no nível do navegador que os consumidores podem ativar para sinalizar a exclusão da venda e do compartilhamento. Muitos navegadores com foco na privacidade oferecem suporte nativo ao GPC. Seu site deve detectar e respeitar os sinais GPC. A CPPA citou empresas especificamente por não honrarem o GPC.

---

Venda e compartilhamento de informações pessoais

"Venda" sob CCPA/CPRA significa divulgar ou disponibilizar informações pessoais a outra empresa ou terceiro por remuneração monetária ou outra contraprestação valiosa. Isto é mais amplo do que o entendimento comum de “venda de dados”.

"Compartilhamento" no CPRA adiciona publicidade comportamental em vários contextos, mesmo sem consideração monetária - visando especificamente a publicidade com base na navegação do consumidor em diferentes sites ou serviços.

Na prática, as seguintes práticas comuns provavelmente constituem venda ou partilha:

• Compartilhamento de PI com corretores de dados
• Utilização de pixels publicitários de terceiros (Meta Pixel, Google Analytics 4 em modo publicitário) que enviam dados do usuário para plataformas para segmentação
• Compartilhamento de listas de clientes com redes de publicidade para públicos semelhantes
• Participar de ecossistemas de licitação em tempo real

Requisitos de consentimento para menores:

• Idades entre 13 e 15 anos: é necessário aceitar antes de vender/compartilhar suas PI
• Menores de 13 anos: é necessária a aceitação dos pais/responsáveis (COPPA também se aplica)

Prestadores de serviços versus terceiros: IP divulgada a um provedor de serviços sob um contrato de provedor de serviços compatível (restringindo seu uso ao fornecimento de serviços a você) não é uma "venda". PI divulgada a um terceiro que pode usá-la para seus próprios fins (plataformas de publicidade, corretores de dados) é uma “venda” ou “compartilhamento”. Essa distinção é crítica para sua arquitetura de compartilhamento de dados.

Requisitos do contrato do prestador de serviços: deve exigir que o prestador de serviços:

• Não vender ou compartilhar IP recebido
• Não reter, usar ou divulgar PI fora do contexto do serviço
• Cumprir os requisitos aplicáveis da CPRA
• Conceder à empresa o direito de auditar

---

Minimização de dados e limitação de finalidade (CPRA)

A CPRA introduziu requisitos explícitos de minimização de dados – as empresas podem coletar, usar, reter e compartilhar PI apenas conforme razoavelmente necessário e proporcional para atingir os objetivos declarados. Isto representa uma mudança significativa na abordagem focada na divulgação da CCPA.

Implicações de implementação:

• Auditar todos os pontos de coleta de dados e eliminar a coleta de PI não utilizadas para fins divulgados
• Documentar a finalidade comercial de cada categoria de PI coletada
• Configurar cronogramas de retenção: o PI deve ser excluído ou desidentificado quando não for mais necessário para os fins declarados
• Evitar o uso secundário de IP para fins incompatíveis com o propósito original da coleta sem o consentimento do consumidor

Divulgação de retenção: As políticas de privacidade devem divulgar os períodos de retenção ou critérios para determinar a retenção para cada categoria de IP. Espera-se que a CPPA emita regulamentos com orientações mais específicas. Por enquanto, documente um período de retenção razoável e justificado pelos negócios para cada categoria de PI.

---

Avaliações de proteção de dados e gerenciamento de riscos

A CPRA exige que as empresas realizem avaliações de risco (chamadas avaliações de proteção de dados) antes de implementar atividades de processamento que apresentem riscos significativos para os consumidores. A CPPA está a desenvolver regulamentos que especificam quais as atividades que desencadeiam requisitos de avaliação, mas a lei já identifica categorias, incluindo:

• Vender ou compartilhar PI
• Processamento SPI
• Perfil que apresenta risco significativo
• Processamento de PI de menores
• Usar IP de maneiras que apresentem risco significativo de danos

Documente suas avaliações e mantenha registros. As avaliações devem identificar: a finalidade do tratamento, a IP envolvida, os riscos potenciais para os consumidores e as salvaguardas implementadas para mitigar esses riscos.

---

Aplicação e penalidades do CPPA

A Agência de Proteção à Privacidade da Califórnia (CPPA) tornou-se totalmente operacional em 2023 como o primeiro órgão dedicado à aplicação da privacidade nos Estados Unidos. A CPPA tem autoridade para investigar, realizar audiências administrativas e impor sanções civis:

A CPPA aplica penalidades por violação – o que significa que cada consumidor cujos direitos foram violados representa uma violação separada. Uma violação de dados que afetasse 100 mil consumidores poderia, teoricamente, resultar em multas de US$ 750 milhões (100 mil x US$ 7.500). A aplicação inicial do CPPA concentrou-se em grandes empresas com incumprimento sistemático.

Direito privado de ação: De acordo com a seção 1798.150 da CCPA, os consumidores têm um direito privado limitado de ação para violações de dados envolvendo informações pessoais não criptografadas ou não editadas resultantes da falha da empresa em implementar medidas de segurança razoáveis. Danos legais: US$ 100 a US$ 750 por consumidor, por incidente, ou danos reais, se maiores.

---

Lista de verificação de conformidade com CCPA/CPRA

• [] Análise de limite de aplicabilidade concluída
• [] Inventário de PI e SPI concluído em todos os sistemas e pontos de coleta
• [] Política de privacidade atualizada com todas as divulgações exigidas (revisão de 12 meses)
• Link "Não vender ou compartilhar minhas informações pessoais" na página inicial
• [] link "Limitar o uso de minhas informações pessoais confidenciais", se aplicável
• [] Detecção e honra do Global Privacy Control (GPC) implementadas
• Processo de recebimento de solicitações do consumidor estabelecido (formulário web + número gratuito)
• [] Procedimento de verificação de identidade documentado
• [] Fluxos de trabalho de resposta para todos os 11 direitos do consumidor documentados e testados
• [] cronograma de resposta de 45 dias rastreado e documentado para todas as solicitações
• [] Contratos de prestadores de serviços revisados e atualizados com as disposições exigidas pelo CPRA
• Compartilhamento de dados de terceiros auditado (determinação de venda/compartilhamento para cada destinatário)
• Auditoria de minimização de dados concluída — coleta desnecessária de PI eliminada
• [] Períodos de retenção documentados e exclusão automatizada configurada
• Treinamento de funcionários sobre procedimentos de resposta aos direitos do consumidor concluído
• Avaliações de proteção de dados realizadas para atividades de processamento de alto risco
• Mecanismos de consentimento de menores implementados se forem coletadas IP de menores

---

Perguntas frequentes

A CCPA/CPRA se aplica aos dados dos funcionários?

Sim, a partir de 1º de janeiro de 2023, data de entrada em vigor do CPRA. As isenções temporárias da CCPA para B2B e dados de funcionários expiraram. Os funcionários da Califórnia (e candidatos a empregos, contratados e diretores) agora têm os mesmos direitos sob a CCPA/CPRA que os consumidores em relação às suas informações pessoais. Isso significa que os empregadores na Califórnia devem atualizar os avisos de privacidade dos funcionários, estabelecer processos de cumprimento de direitos para IP de emprego e revisar as práticas de dados do sistema de RH.

Qual é a diferença entre "venda" e "compartilhamento" no CPRA?

A “venda” envolve a divulgação de IP por contrapartida monetária ou outra contrapartida valiosa – o pagamento pode ser qualquer coisa de valor, incluindo acordos de troca de dados. "Compartilhamento" foi adicionado pela CPRA e abrange especificamente publicidade comportamental em vários contextos, onde PI é compartilhado com terceiros para fins publicitários, mesmo sem contrapartida monetária. O impacto prático: compartilhar dados de usuários com plataformas de publicidade para segmentação (mesmo que você pague, e não o contrário) é “compartilhamento” sob CPRA e aciona direitos de exclusão.

Os cookies e tecnologias de rastreamento estão sujeitos à CCPA/CPRA?

Sim, onde recolhem informações pessoais (incluindo identificadores online como endereços IP) e onde os dados resultantes são partilhados com terceiros para fins publicitários. Muitas práticas comuns – Google Analytics com recursos de publicidade, Meta Pixel, tags de publicidade programática – constituem “compartilhamento” de PI com plataformas de publicidade, acionando requisitos de exclusão. Implementar uma plataforma de gerenciamento de consentimento de cookies (OneTrust, Osano, Cookiebot) para gerenciar o consentimento e honrar os sinais de exclusão.

Como as "informações pessoais sensíveis" do CPRA diferem das "categorias especiais" do GDPR?

Ambos identificam categorias de informações que justificam maior proteção, mas diferem em conteúdo e tratamento. As categorias especiais do GDPR (Artigo 9) proíbem o processamento sem consentimento explícito ou uma exceção específica do Artigo 9 – é quase uma proibição. O SPI da CPRA cria um direito de limitação – os consumidores podem restringir o uso ao fornecimento do produto/serviço solicitado, mas as empresas ainda podem processar o SPI com o consentimento do consumidor para fins mais amplos. A lista SPI do CPRA inclui nomeadamente credenciais de login e geolocalização precisa, que não estão nas categorias especiais do GDPR.

O que são "prestadores de serviços" versus "contratantes" versus "terceiros" no âmbito do CPRA?

CPRA adicionou “empreiteiros” como categoria. Os provedores de serviços recebem PI para fornecer um serviço em seu nome sob um contrato que os proíbe de usar PI para seus próprios fins. Os empreiteiros são empresas que recebem PI para fins comerciais sob contrato – semelhantes aos prestadores de serviços, mas os requisitos do contrato diferem ligeiramente. Terceiros recebem PI e podem usá-las para seus próprios fins — qualquer divulgação a terceiros é potencialmente uma “venda” ou “compartilhamento” que desencadeia obrigações de exclusão. Estruturar suas relações de compartilhamento de dados como relações de prestadores de serviços ou contratantes (com contratos adequados) evita a classificação como uma “venda”.

---

Próximas etapas

A conformidade com CCPA/CPRA é um programa contínuo, não um projeto único. À medida que a CPPA emite novos regulamentos (esperam-se regras de tomada de decisão automatizadas em 2025–2026), os requisitos de conformidade evoluirão. Construir um programa escalonável de operações de privacidade — com cumprimento automatizado dos direitos do consumidor, mapeamento de dados e gestão de consentimento — é o caminho sustentável.

ECOSIRE ajuda as empresas a avaliar as suas obrigações CCPA/CPRA, implementar medidas de conformidade técnica nas suas plataformas digitais e estabelecer fluxos de trabalho de operações de privacidade.

Começar: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. Os requisitos da CCPA/CPRA são complexos e frequentemente atualizados por meio de regulamentos e orientações de aplicação. Consulte um consultor jurídico qualificado para obter aconselhamento específico para sua organização.