Regulação e Novas Tecnologias

Direito

California knows how to fine: o que sabemos até agora sobre o enforcement do CCPA?

Breve análise do panorama das ações individuais na Califórnia

Golden Gate Bridge, Califórnia, EUA. Imagem: Pixabay

Não é novidade para ninguém que a Califórnia é o estado mais próspero dos Estados Unidos e o seu núcleo cultural e tecnológico. É lá que se situa o Vale do Silício, berço da inovação, lar de grande parte das empresas que dominaram o mundo com seus modelos de negócio exponenciais e bastião do progressismo político. O Vale, portanto, consolida o processo de californificação do Ocidente iniciado por Hollywood. Tudo que vem de lá é arquetípico. E não será diferente com a publicação do California Consumer Privacy Act (CCPA).

Por isso, entendemos pertinente elaborar este breve texto, que não tem a pretensão de esgotar o tema, com o objetivo de analisar a temperatura do enforcement da lei e, quem sabe, trazer algumas lições para o Brasil, uma vez que a LGPD promete tornar os próximos meses bastante emocionantes.

Justamente buscando se adaptar às inovações em tecnologia e acompanhando o movimento que se verifica na União Europeia desde a vigência do Regulamento Europeu de Proteção de Dados (GPDR),  entrou em vigor no dia 1º de janeiro deste ano na Califórnia, a sua lei de proteção de dados, o CCPA, revelando-se a primeira lei mais abrangente sobre o tema nos Estados Unidos, cujo enforcement administrativo teve início a partir do dia 1º de julho. A lei californiana prevê uma gama de direitos aos consumidores, garantindo aos residentes do Estado da Califórnia mais controle sobre seus dados.

Quando comparada à LGPD, aplicada a todas as empresas brasileiras, o CCPA possui alcance mais restritivo. A lei californiana aplica-se às empresas com fins lucrativos que coletam dados pessoais dos consumidores residentes no Estado da Califórnia e, ainda, que (i) tenham receita bruta anual superior a 25 (vinte e cinco) milhões de dólares, ou (ii) que comprem, vendam, compartilhem, para fins comerciais, informações pessoais de mais de 50 (cinquenta mil) residentes, ou (iii) que possuam 50% (cinquenta por cento) da receita anual com origem na venda de dados pessoais dos residentes[1].

Especificamente sobre os direitos elencados na lei, eles podem ser divididos nas seguintes categorias: (i) direito à informação sobre quais dados são coletadas, utilizadas, compartilhadas ou vendidas (direito de confirmação do tratamento e acesso); (ii) direito de exclusão; (iii) direito ao opt-out (revogação do consentimento); e (iv) direito à não discriminação.

Ainda que o enforcement do CCPA para aplicação das penalidades por descumprimento da lei tenha se iniciado no dia 1o de julho deste ano, seis meses após a entrada em vigor da lei, ao todo, até 4 de maio de 2020 já haviam sido identificadas 19 (dezenove) ações judiciais com o CCPA como fundamento legal[2]. Neste breve período, pode-se perceber que as demandas envolvendo o CCPA podem ser divididas em três pontos chaves[3]. O primeiro deles refere-se a incidentes de segurança de dados, sendo que em muitos deles, os requerentes pugnam pela indenização por danos daí decorrentes, tal como ocorreu no procedimento nº 3:19-cv-2284-H-KSC[4], em trâmite perante a Southern District of California Court. Nesse caso, sustenta-se que uma empresa da área de saúde falhou em proteger informações pessoais e médicas de forma adequada.

Em segundo lugar, encontram-se ações discutindo violações à privacidade. Atualmente, o CCPA não garante aos consumidores o direito de ação por violação de sua privacidade (por exemplo, avisos de privacidade, direitos de acesso etc.). No entanto, houve um aumento nas demandas, nas quais os requerentes alegam que o réu não cumpriu um requisito do CCPA, como fornecer uma divulgação adequada das práticas de privacidade, tal como ocorreu no Processo n 5:30-cv-02170, perante a Nothern District of California Court[5].

De outra ponta, em alguns casos, que podem ser classificados como “temas diversos”, o CCPA não é fundamento exclusivo da ação. Em vez disso, o demandante, na maior parte dos casos, alega que a empresa cometeu uma prática comercial “ilegal” ao não proteger adequadamente as suas informações pessoais e, portanto, violou as leis aplicáveis, incluindo o CCPA, a exemplo do Processo 20STCV09237, em tramite na Superior Court of Los Angeles[6].

Nesse contexto, em uma breve análise do panorama das ações individuais na Califórnia, nota-se que uma ação foi ajuizada no mês de fevereiro, sete no mês de março, nove no mês de abril e duas somente no primeiro dia de maio (até a primeira semana).

Ao que tudo indica, o Procurador-Geral da Califórnia está determinado a mostrar que o CCPA veio para ficar. Apesar dos pedidos de diversas empresas no sentido de adiar a aplicação da lei até 2021, em razão da pandemia, Xavier Becerra manteve-se comprometido com a data original, qual seja 1º de julho deste ano. Os argumentos das empresas no sentido de que as medidas restritivas adotadas no período da pandemia impediram a execução de muitas operações comerciais, não pareceu ser suficiente para alterar os planos do Procurador-Geral da Califórnia. À época em que analisou os pedidos, disse ainda que olharia gentilmente para as empresas que demonstrassem esforço em cumprir as novas exigências da lei, ressaltando a necessidade de se adaptarem à CCPA no prazo estipulado[7].

Desde o dia 1º de julho, portanto, foram criadas muitas expectativas sobre quais violações ao CCPA chamarão atenção de Xavier Becerra, dentre elas[8]. A primeira diz respeito à falha no fornecimento de informações adequadas aos consumidores quando os dados pessoais são coletados, ou até mesmo antes, em relação às categorias de dados que são coletados e com qual finalidade serão tratados. Além disso, chamará atenção eventual falha das empresas em publicar uma política de privacidade que divulgue informações específicas exigidas pelo CCPA ao tratamento.

Outro ponto sensível que poderá atrair a atuação de Xavier Becerra diz respeito à falha ao postar a opção de “do not sell my personal information” (“não venda meus dados pessoais”) na página inicial das empresas sujeitas ao CCPA. Sobre esse ponto, as empresas devem se certificar de que, no caso de oferecerem aplicativos de celular, devem permitir o acesso à opção de “do not sell” no link de download do aplicativo ou nele próprio. Por outro lado, caso a empresa não pratique essa venda, deve trazer essa informação nos seus atos constitutivos[9].

De outra ponta, a declaração incorreta na política de privacidade de que a empresa não vende informações pessoais também será considerada violação apta a justificar a fiscalização e sanção pelo Procurador-Geral da Califórnia.

Mas não é só. A fiscalização do Procurador Geral também contemplará as seguintes práticas: (i) falha ao atender consumidores que solicitem (a) informações sobre quais dados pessoais a empresa tem sobre ele, bem como de que modo estão sendo usados e compartilhados; (b) solicitem a remoção de suas informações pessoais; ou (b) o exercício do direito de opt-out sobre a venda de seus dados pessoais; e (ii) venda de dados pessoais de crianças menores de 16 (dezesseis) anos sem o seu consentimento para compartilhar seus dados ou de seu responsável legal, no caso de menores de 13 (treze) anos. Essa questão se tornou mais forte após a pandemia, uma vez que milhares de crianças estão navegando mais na internet e, consequentemente, as empresas de tecnologia estão colhendo mais dados[10], e, por fim (iii) roubo ou divulgação não autorizada de dados pessoais sensíveis como resultado de falha da empresa em utilizar procedimentos de segurança.

Na prática, o Procurador-Geral da Califórnia já começou a tomar algumas medidas desde o dia 1º de julho, sobretudo o envio de notificações às empresas suspeitas de estarem violando o CCPA, que terão o prazo de 30 (trinta) dias para se adequarem a fim de evitar eventual ação[11].

É evidente, no entanto, que Xavier Becerra pode voltar sua atenção a outras violações ao CCPA. Prova disso é que o Procurador-Geral da Califórnia anunciou que regulamentará o CCPA, o que que trará mais detalhes sobre as obrigações das empresas no que se refere à proteção de dados pessoais do que a própria lei[12]. Nesse cenário, portanto, mesmo empresas que acreditam que estão em total conformidade com o CCPA terão que ficar atentas às novas normas que serão editadas e implementadas para regulamentar a lei de proteção de dados da Califórnia.

A propósito, um mês antes da data marcada para o início do enforcement do CCPA, o Procurador-Geral da Califórnia enviou propostas de regulamentos ao California Office of Administrative Law (OAL). Em condições normais, o OAL teria 30 (trinta) dias para analisar e aceitar a proposta, mas, devido ao cenário pandêmico, o governador da Califórnia, Gavin Newsom, concedeu o prazo adicional de 60 (sessenta) dias para o OAL, de modo que não há perspectivas para a edição dos novos regulamentos antes de outubro deste ano[13].

Some-se a isso o fato de que o California Privacy Rights Act (CPRA), que dispõe sobre o direito de privacidade, deve ser objeto de votação nas urnas em novembro deste ano, o que significa dizer que há novidades vindo por aí[14] e, consequentemente, novas medidas deverão ser adotadas pelas empresas.

Como se vê, a Califórnia foi pioneira na edição de uma lei de proteção de dados pessoais nos Estados Unidos e, pela postura do Procurador-Geral, tudo indica que a fiscalização sobre as empresas que estão no âmbito de alcance da lei será intensa.

A expectativa que se cria sobre esse cenário certamente é de que o CCPA influenciará outros estados americanos a fomentarem a regulação no âmbito da proteção de dados e da privacidade, seguindo, para isso, a lei californiana como parâmetro. Exemplificativamente, no Estado de New Hampshire, há em discussão projeto de lei sobre proteção de dados, elaborado de acordo com o CCPA. Além disso, o Estado de Nova York também editou lei de privacidade e segurança de dados, a Stop Hacks and Improve Eletronic Data Security Act (NY SHIELD).[15]

Por isso, de uma forma ou de outra, a californificação da proteção de dados deve estar no radar de qualquer brasileiro que trabalha ou pretende trabalhar com a LGPD. Somada ao GDPR, a entrada em vigor do CCPA representa um momento não só de efervescência, mas também da transversalidade do tema em escala mundial.

————————–

[1] California Departament of Justice. California Consumer Privacy Act (CCPA): Fact Sheet. OAG. Disponível em: https://www.oag.ca.gov/system/files/attachments/press_releases/CCPA%20Fact%20Sheet%20%2800000002%29.pdf – Acesso em 11.08.2020.

[2] BCLP. CCPA Litigation Tracker. California Consumer Privacy Act (CCPA). CCPA Info. Disponível em: https://ccpa-info.com/wp-content/uploads/2019/08/litigation-tracker.pdf – Acesso em 18.05.2020.

[3] BRUNO, Sarah et al. CCPA litigation is here: putative class action filed for alleged notice and collection violations. Tecnhology Law Dispatch. Disponível em: https://www.technologylawdispatch.com/2020/03/in-the-courts/ccpa-litigation-is-here-putative-class-action-filed-for-alleged-notice-and-collection-violations/ – Acesso em 18.05.2020.

[4]Plaintiff allege several causes of action against Defendant, a medical device supplier, for failing to maintain its duty to adequately safeguard Plaintiffs’ personal and medical information. Plaintiffs bring claims for negligence, negligence per se, breach of contract, breach of implied contract, breach of implied covenant of good faith and fair dealing, unjust enrichment, the Cal. Unfair Competition Law, the Penn. Unfair Trade Practices statute, the Cal. Confidentiality of Medical Information Act, and a request for declaratory relief. The CCPA is referenced in the introduction of the Complaint.” (BCLP. CCPA Litigation Tracker. CCPA Info. Disponível em: https://ccpa-info.com/wp-content/uploads/2019/08/litigation-tracker.pdf – Acesso em 18.05.2020).

[5]Plainiff alleges that Defendant, a video communications provider, is in violation of the CCPA by failing to properly disclosed information collection practices and failing to provide notice to its customers of their right to opt-out of the disclosure of their PII to third parties, also violating CCPA.” in BCLP. CCPA Litigation Tracker. California Consumer Privacy Act (CCPA). Disponível em: https://ccpa-info.com/wp-content/uploads/2019/08/litigation-tracker.pdf – Acesso em 18.05.2020.

[6] “CCPA not lised as a cause of action or claim for relief. Plaintiff alleges the Defendant committed “unlawful” business practice by failing to properly safeguard Plaintiffs’ PII/PHI and violating applicable laws, including CCPA.” in BCLP. CCPA Litigation Tracker. California Consumer Privacy Act (CCPA). Disponível em: https://ccpa-info.com/wp-content/uploads/2019/08/litigation-tracker.pdf – Acesso em 18.05.2020.

[7] PEELE, Amie N.; ARMSTRONG, Katherine E. As CCPA pressure heats up, here’s what shouw be on your summer to-do list. Faegre Dinker. Disponível em: https://www.faegredrinker.com/zh/insights/publications/2020/6/as-ccpa-pressure-heats-up-heres-what-should-be-on-your-summer-to-do-list – Acesso em 06.08.2020.

[8]Tourtman Pepper. California Consumer Privacy Act. Disponível em: http://www.sycr.com/files/Publication/617eeb48-eb52-4ea1-a96d-83a238b393d3/Presentation/PublicationAttachment/4db7422c-2f3d-467f-989a-8a68574b6bb4/Privacy.Minded.%20-%20California%20Attorney%20General%20Wastes%20No%20Time%20Beginning%20CCPA%20Enforce.pdf – Acesso em 05.08.2020.

[9] Tourtman Pepper. CCPA Enforcement Area no. 1. The Infamous “Do-Not-Sell” Button. Disponível em: https://www.troutman.com/images/content/2/4/245765/TP CCPAEnforcementSeries-1-v1.pdf – Acesso em 05.08.2020.

[10] Troutman Pepper. CCPA Enforcement Area no. 4. Businesses Collecting Children’s Personal Information and Healh-Related Data. https://www.troutman.com/images/content/2/4/246314/TP-CCPAEnforcementSeries-4.pdf – Acesso em 06.08.2020.

[11] BRENNAN Travis P; LUK. Mayant. California Attoney General Wastes No Time Beginning CCPA Enforcement. Disponível em: http://www.sycr.com/files/Publication/617eeb48-eb52-4ea1-a96d-83a238b393d3/Presentation/PublicationAttachment/4db7422c-2f3d-467f-989a-8a68574b6bb4/Privacy.Minded.%20-%20California%20Attorney%20General%20Wastes%20No%20Time%20Beginning%20CCPA%20Enforce.pdf – Acesso em 05.08.2020

[12] California Departament of Justice. California Consumer Privacy Act (CCPA): Fact Sheet. OAG. Disponível em:https://www.oag.ca.gov/system/files/attachments/press_releases/CCPA%20Fact%20Sheet%20%2800000002%29.pdf – Acesso em 11.08.2020.

[13] BRENNAN, Travis P; LUK. Mayant. California Attoney General Wastes No Time Beginning CCPA Enforcement. SYCR. Disponível em: http://www.sycr.com/files/Publication/617eeb48-eb52-4ea1-a96d-83a238b393d3/Presentation/PublicationAttachment/4db7422c-2f3d-467f-989a-8a68574b6bb4/Privacy.Minded.%20-%20California%20Attorney%20General%20Wastes%20No%20Time%20Beginning%20CCPA%20Enforce.pdf – Acesso em 08.08.2020.

[14] PEELE, Amie N.; ARMSTRONG, Katherine E. As CCPA pressure heats up, here’s what shouw be on your summer to-do list. Faegre Dinker. Disponível em: https://www.faegredrinker.com/zh/insights/publications/2020/6/as-ccpa-pressure-heats-up-heres-what-should-be-on-your-summer-to-do-list – Acesso em 06.08.2020.

[15] MAGRATH, Michael. California Consumer Privacy Act: Will It Prompt Federal Data Privacy & Protection Laws in the U.S.? Onespan. Disponível em: https://www.onespan.com/blog/california-consumer-privacy-act – Acesso em 11.08.2020.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito