Por: Chris Mermigas, assessor jurídico corporativo sênior, EUA

O Regulamento Geral sobre a Proteção de Dados da União Europeia (General Data Protection Regulation, “GDPR”) entrou em vigor no dia 25 de maio de 2018 e já provocou mudanças no mundo todo. Ao estabelecer direitos e proteções para os dados pessoais dos cidadãos da União Europeia, o GDPR se aplica a qualquer pessoa que trate ou tenha a posse de dados pessoais de cidadãos da UE e, em outros casos, monitora o comportamento dessas pessoas, independentemente de onde a empresa ou os dados pessoais estiverem localizados. Como uma resposta ao GDPR, legislações semelhantes sobre proteção de dados estão sendo promulgadas nos Estados Unidos, começando pela Lei de Defesa do Consumidor da Califórnia de 2018 (California Consumer Protection Act, “CCPA”), que entrará em vigor a partir de 1º de janeiro de 2020. Diversos elementos do GDPR também constam da CCPA: enquanto o GDPR protege dados pessoais de residentes da UE, a CCPA protege dados pessoais dos residentes da Califórnia. No entanto, há algumas diferenças que merecem atenção especial.

Em primeiro lugar, o GDPR exige o consentimento dos consumidores à coleta e ao uso de seus dados pessoais. Já a CCPA reflete as leis vigentes na Califórnia, como a TCPA, que obriga os responsáveis pelos dados a oferecerem aos consumidores o direito de optarem por não aderir à coleta de dados (“opt-out”). É comum vermos essa opção como uma caixa de seleção em formulários online. Com ela, os responsáveis pelos dados podem coletar dados pessoais sem o consentimento dos consumidores, mas têm a obrigação de dar a eles uma oportunidade para solicitarem a exclusão de seus dados pessoais.

Em segundo lugar, a CCPA ampliou a definição do termo “dados” do GDPR ao incluir informações ocultas nos dados ou “metadados”. Pela CCPA, os responsáveis pelos dados são obrigados a informar aos consumidores quais categorias de dados pessoais serão coletadas e para que esses dados serão usados. Além disso, os responsáveis se comprometem a não coletar nenhuma outra categoria de dados pessoais sem aviso prévio. Essas categorias incluem tanto dados pessoais fornecidos voluntariamente pelo consumidor quanto dados ocultos de visitantes de sites, como endereço IP e localização geográfica. Assim, os sites ficam impedidos de coletar dados pessoais ocultos de seus visitantes. Trata-se de uma visão excepcionalmente inovadora no campo tecnológico, pois enfatiza que os dados vão além dos formulários e das páginas de contatos por serem intercambiados de forma constante, até mesmo sem o conhecimento do consumidor.

Em terceiro lugar, a CCPA reduziu os direitos do titular dos dados em comparação ao GDPR para se concentrar na comercialização dos dados pessoais. Um exemplo disso é que, segundo o GDPR, o responsável pelos dados deve declarar a finalidade do uso dos dados pessoais. Esse direito inexiste na CCPA. Em outro caso, a CCPA exige apenas que o responsável pelos dados estabeleça “um link claro e em destaque” no site da empresa afirmando “Não venda meus dados pessoais”. Além disso, a CCPA não contempla o direito ao esquecimento definido pelo GDPR. Em outras palavras, depois que uma empresa publica ou vende os dados pessoais de um residente da Califórnia, o titular não tem o direito de solicitar ao responsável que tais dados sejam esquecidos, excluídos ou devolvidos. No entanto, o consumidor pode impedir novas vendas de seus dados pessoais, mas não pode desfazer vendas já concretizadas. Está claro que o foco da CCPA é evitar a comercialização indesejada de dados pessoais a fim de proteger os consumidores.

Em quarto lugar, a fiscalização do cumprimento da CCPA será conduzida pela Procuradoria-Geral da Califórnia, uma autoridade de controle semelhante à do GDPR. Isso não impede ações cíveis particulares, mas dá à Procuradoria-Geral a preferência para conduzir ou ajuizar uma ação. A lei prevê danos que variam de US$ 100 a US$ 750 por consumidor por incidente, ou indenização compensatória, se este valor for maior. Ou seja, a sanção mínima é de US$ 100 por consumidor por incidente, mas um grande volume de dados pode representar um total indenizatório exorbitante, sem contar as custas judiciais para se defender na ação. No entanto, há como se proteger: a indenização prevista em lei não pode ser aplicada se a empresa sanar a infração no prazo de 30 dias após ser notificada. Isso não impede a indenização compensatória e, por isso, é importante que as empresas cumpram a obrigação de mitigar os danos e tenham uma política de proteção de dados eficaz para sanar eventuais infrações.

Historicamente, a Califórnia é vanguardista do Direito e faz jus a esse título ao ser o primeiro estado a aprovar uma legislação sobre proteção de dados semelhante ao GDPR. Vários outros estados e o Congresso dos EUA estão debatendo legislações correlatas. É apenas uma questão de tempo até que outros estados e países promulguem leis afins. Portanto, resta uma única opção: aderir à revolução da proteção de dados para evitar o alto custo do descumprimento.

 Para mais informações sobre o GDPR, acesse nosso artigo sobre o assunto publicado aqui.