Em novembro, os californianos aprovaram uma medida de cédula, a Proposta 24, também conhecida como a Lei de Direitos de Privacidade da Califórnia (CPRA), para criar uma nova agência de privacidade de dados do consumidor. Ela coloca a Califórnia mais um passo à frente de outros estados em termos de produções de privacidade para consumidores – e requisitos de segurança de dados para empresas. A Califórnia já tinha uma lei de privacidade em vigor, a California Consumer Privacy Act (CCPA), adotada em 2018. Ela entrou em vigor em janeiro de 2020, e a aplicação começou oficialmente em julho passado.

A CCPA deveria ajudar a evitar que a Califórnia passasse por uma iniciativa de privacidade mais rigorosa através de votação. “A CCPA é provavelmente uma das principais leis de privacidade nos EUA que protege os consumidores de hoje”, diz Christophe Bertrand, analista do Enterprise Strategy Group, mas originalmente era para ser mais restritiva. “Foi o produto de muitas negociações políticas que enfraqueceu o produto final”

Isso não vai acontecer com a nova lei. Uma vez aprovada, ela só pode ser fortalecida, não enfraquecida. Ela passou. O CPRA foi aprovado pelos eleitores 56% a 44%.

Surpreendentemente, não houve muita pressão contra a iniciativa do voto pelas grandes empresas de tecnologia. “Acho que parte disso é o incêndio do lixão de 2020 e a pandemia e a corrida para a eleição”, diz Jessica Lee, sócia da Loeb & Loeb e co-presidente da prática de privacidade e segurança da empresa. “Muitas coisas estavam acontecendo ao mesmo tempo. Além disso, nos últimos dois anos, tivemos uma reação contra as grandes empresas de tecnologia e muitos escândalos de privacidade”. Portanto, para uma empresa de tecnologia sair contra uma lei de privacidade, há provavelmente algumas considerações de relações públicas e de marca”

Além disso, as maiores empresas já devem cumprir o Regulamento Geral de Proteção de Dados da Europa (GDPR). “Não é como se fosse uma proposta de negócios esmagadora para muitas das grandes empresas”, diz ela.

CPRA endurece alguns requisitos, reduz o risco em outros lugares

O CPRA endurece alguns requisitos, coloca a Califórnia mais alinhada com a GDPR e cria uma nova agência estadual – a Agência de Proteção de Privacidade da Califórnia. Anteriormente, o procurador-geral do estado lidou com questões de privacidade do consumidor, além de todas as suas outras responsabilidades. A privacidade de dados agora recebe uma agência dedicada com um orçamento básico de US$ 10 milhões, além de receber parte das multas e acordos que recebe de empresas que violam a lei.

A lei entra em vigor em 1 de janeiro de 2023, diz Lee, e a fiscalização começará seis meses depois. “As empresas têm essencialmente dois anos para se preparar”, diz ela.

Estes dois anos podem trazer mudanças que resultam em um escrutínio adicional, penalidades e atividades de fiscalização, diz Orson Lucas, diretor de serviços de cibersegurança da KPMG. Isso pode ser o resultado da evolução no panorama tecnológico e empresarial ou outros desenvolvimentos. “Por exemplo, se houver uma série de violações substanciais até janeiro de 2023”, diz ele.

Um par de aspectos do CPRA irá reduzir os riscos e responsabilidades potenciais das empresas. Primeiro, o CCPA se aplica a empresas que atendem pelo menos 50.000 residentes da Califórnia, residências ou dispositivos. O CPRA eleva esse número para 100.000 e remove “dispositivos” dessa lista, diz Catherine Lyle, chefe de sinistros da Coalition, uma companhia de ciber-seguros. As empresas não serão consideradas responsáveis por violações da CPRA cometidas por terceiros se determinados acordos estiverem em vigor e o próprio parceiro comercial estiver em conformidade com a CPRA, diz ela. “Isso poderia reduzir sua potencial responsabilidade”

CPRA impacto mínimo para empresas preparadas

Para empresas que já estão em conformidade com o CCPA de 2018 – e especialmente com o GDPR da Europa – as mudanças serão menores. Esse é o caso da Branch Metrics, uma empresa global de marketing online que conta com Airbnb, Target e Yelp entre seus milhares de clientes de negócios. A empresa processa bilhões de registros de consumidores, colocando diretamente na mira da lei.

“Uma coisa que é legal na CPRA é que, de certa forma, ela se alinha mais com a GDPR do que a CCPA”, diz o CEO da Branch Metrics, Alex Austin. “Então, é menos pesado se a sua empresa se preparou para a GDPR”. Isso significa que as mudanças incrementais que terá de fazer para cumprir o CPRA serão “relativamente menores”, diz ele. “Também ajuda que tenhamos muito tempo para fazer quaisquer mudanças necessárias”, acrescenta ele. “A lei não entra em vigor até 2023, e geralmente só afeta dados que remontam a 2022, o que significa mais de um ano para colocar sua casa em ordem”

Em geral, diz Austin, quanto mais harmonização entre as várias leis de privacidade que surgem ao redor do mundo, melhor. “Para empresas que operam globalmente como a filial, qualquer alinhamento mais próximo é uma coisa boa”

Novos requisitos de minimização de dados

Para algumas empresas, as mudanças entre o CCPA e o CPRA serão significativas, diz Dan Frank, líder americano de privacidade e proteção de dados na Deloitte. Por exemplo, considere a minimização de dados. As novas regras proíbem as empresas de reter informações pessoais “mais tempo do que o absolutamente necessário”, diz ele. Isso é um problema, já que quando se trata de apagar dados, as empresas evitam isso como a peste, diz ele. “Alguns dados são bons, mais dados são melhores, todos os dados são melhores”. Os dados podem ser analisados pela aprendizagem de máquinas e sistemas de IA e podem ajudar as empresas a desenvolver novos produtos, serviços e aplicações.

Apagar dados é uma questão espinhosa. Primeiro, há retenções legais e outros requisitos regulamentares e de conformidade para reter dados. Depois, há o lado técnico. “Você tem todas essas interdependências que existem entre sistemas que tornam a exclusão de dados assustadora”, diz ele. “Não queremos quebrar nada.”

O que a maioria das organizações planeja fazer é tornar anônimos os dados expirados, diz Frank. Dessa forma, ele ainda pode ser usado para treinar sistemas de IA e pode criar menos problemas de dependência. “Veremos como isso se joga a longo prazo”, diz ele. “Se esses dados podem de alguma forma ser atribuídos de volta a um indivíduo – diretamente ou por inferência – então eles não são mais anonimizados. É um desafio”, diz ele. “

O uso da palavra “razoável” pela lei também é uma bandeira vermelha. Quem decide o que é razoável? Um forte sistema de governança de dados também pode ajudar as empresas a abordar outro aspecto da nova lei — permitindo que os consumidores corrijam dados imprecisos sobre si mesmos.

“Isso é um desafio se uma empresa não tiver realmente agilizado seu gerenciamento de dados mestres e não tiver um registro de ouro desses dados”, diz Angela Saverice-Rohan, líder de privacidade das Américas na Ernst & Young. “Se você alterar certos dados em um sistema, como isso terá impacto em todos os seus outros processos?”

Novos requisitos de compartilhamento de dados

As empresas agora também precisarão garantir que qualquer parceiro de negócios com quem compartilhem dados também esteja em conformidade com o CPRA. Como parte da lei envolve ter medidas de segurança cibernética razoáveis, os CISOs podem precisar se envolver, diz Saverice-Rohan. “Este é um trabalho que geralmente acontece durante as avaliações de risco de segurança”, diz ela.

Outra grande mudança tem a ver com a forma como os consumidores permitem que suas informações sejam compartilhadas. No CCPA anterior, as empresas tinham que oferecer aos clientes da Califórnia a oportunidade de optar por não ter seus dados vendidos a terceiros. Agora, isso inclui todo tipo de compartilhamento, não apenas vendas, diz Frank, da Deloitte. “Os consumidores precisam ser capazes de optar por não ter usos particulares de informações pessoais”, diz ele. “Se eles fizerem isso, você tem que ser capaz de parar de usá-la, o que, se você pensar sobre isso, é uma tarefa bastante árdua”. Isso torna a governança de dados tão crítica. Vai exigir uma gestão de consentimento finamente granulada”

Mais exposição de responsabilidade por violações de dados

Outra diferença é que as empresas terão preocupações adicionais sobre violações de dados, diz Frank. Por exemplo, a responsabilidade pela violação agora cobre endereços de e-mail quando usado em combinação com uma pergunta de segurança. Se uma violação de dados envolver informações sobre menores, as multas podem ser triplicadas. “É melhor você saber que informações você tem sobre crianças e aplicar proteções de dados aprimoradas em caso de comprometimento”, diz ele.

A lei CCPA original e o novo CPRA permitem que consumidores individuais processem empresas após uma violação de dados. Agora as pessoas terão mais razões potenciais para entrar com esses processos”, diz ele. “Talvez você tenha coletado mais informações do que eu lhe permiti”, diz ele.

O CPRA também expande o potencial para processos relacionados à brecha de outra forma, de acordo com Alan Friel, sócio do escritório de advocacia BakerHostetler. Sob o CCPA, as empresas tiveram uma janela de oportunidade para corrigir problemas depois que os consumidores apresentaram uma reclamação, diz ele. A lei era um pouco confusa em que tipos de problemas poderiam ser “curados” desta forma.

Agora, o CPRA esclarece que o direito à cura não inclui a possibilidade de evitar penalidades tapando buracos de segurança após a ocorrência de uma violação. “Se você não conseguir manter a segurança adequada, e tiver uma violação, e então você remediar o que causou essa violação, você ainda estará sujeito ao direito de ação privada e a danos estatutários”, diz Friel. “Isso definitivamente será algo que será bem recebido pelo bar dos queixosos”

Outra mudança é que os consumidores não devem mais mostrar que foram prejudicados por uma violação. “Você poderia processar antes, mas tinha que mostrar dano”, diz Friel.

BakerHostetler está atualmente defendendo empresas contra várias ações judiciais relacionadas à privacidade na Califórnia. “Fomos muito mais bem sucedidos em acabar com os processos onde havia um padrão de dano”, diz Friel. “A maioria dos consumidores não pode mostrar danos monetários reais de uma violação de dados, e é por isso que eles recebem monitoramento de crédito gratuito”. São os bancos e os varejistas que acabam tendo os custos de gastos extras – os consumidores, em geral, não tanto. A mudança aqui é que o simples fato de que a violação tenha ocorrido é dano suficiente para que o consumidor possa entrar com uma ação judicial”

Esperar mais ações judiciais relacionadas à privacidade

As empresas já começaram a ver ações judiciais relacionadas à privacidade. No mês passado, a varejista de roupas infantis Hanna Andersson concordou com um acordo de 400.000 dólares em resposta a um processo judicial de ação coletiva decorrente de uma violação de dados de 2019. Outras empresas que já foram processadas pelo CCPA incluem Salesforce, Walmart, o varejista de papelaria online Minted, o Sunshine Behavioral Health Group, TikTok, Zoom e Houseparty.

Não são apenas os consumidores e seus advogados que as empresas terão que se defender, diz Ernst & Young’s Saverice-Rohan. Embora o próprio CPRA não seja aplicado até 2023, espera-se que a nova agência vá trabalhar imediatamente, aplicando as leis existentes. “Em janeiro, a nova agência terá a capacidade de fazer cumprir a CCPA existente”, diz ela. “E eles vão estar à procura de acções. A aplicação da lei não é apenas provável. É iminente – e está acontecendo em 2021.”

As empresas de médio porte serão particularmente afetadas, prevê Benjamin Wright, advogado americano e instrutor sênior do Instituto SANS. Para empresas com menos de 25 milhões de dólares em revisões anuais, os requisitos são menos onerosos, diz ele. “Empresas gigantes podem atirar exércitos de advogados e profissionais de compliance em disputas.” As empresas de nível médio não têm os tipos de economias de escala que lhes permitiriam contratar exércitos de advogados, diz ele.

Plus, dependendo de quanto apoio a nova agência recebe dos outros funcionários e legisladores da Califórnia, ela pode não ter os recursos ou talento para ir atrás dos maiores alvos. Isso já está acontecendo na Europa sob a GDPR, diz Wright, com os reguladores muitas vezes mais propensos a mover ações contra empresas menores e médias.

“As empresas gigantes podem lutar por anos em tribunal, seja na Europa ou na Califórnia”, diz Wright. “Para os reguladores, é muito cansativo e caro lutar contra ações judiciais durante anos”. Uma agência fraca que luta durante anos contra um adversário poderoso pode sofrer uma grande rotatividade de pessoal”

Oportunidades para as empresas que cumprem o CPRA

CPRA não é tudo mau para as empresas. “Espere que as empresas inteligentes tentem aproveitar isso como uma oportunidade para demonstrar sua conformidade e apoio à privacidade”, diz Steve Durbin, diretor administrativo do Fórum de Segurança da Informação.