Perguntas e respostas sobre a CCPA

Veja a seguir uma sessão de perguntas e respostas com nosso conselho geral sobre como as marcas podem garantir a conformidade com a CCPA. Saiba mais: leia um panorama geral das Opções de Conformidade com a CCPA para afiliados.

O que é a CCPA?

A Lei de Privacidade do Consumidor da Califórnia é uma lei que foi criada para dar aos residentes da Califórnia direitos adicionais sobre o uso e venda de suas informações pessoais. Isso significa que os consumidores têm direitos específicos sobre quaisquer dados pessoais que uma marca tenha coletado. Por exemplo:

• O direito de acesso: os consumidores podem acessar seus dados coletados, bem como perguntar como seus dados serão utilizados.
• O direito de exclusão: os consumidores podem solicitar a exclusão de quaisquer dados coletados. Entretanto, existem exceções que podem permitir que as marcas realizem suas atividades. Por exemplo: uma marca que ofereça um cupom pode usar as informações para concluir uma transação para o consumidor; ou uma empresa financeira que precise concluir uma transação está autorizada a reter dados do consumidor, assim como uma firma que precise dessas informações para fins de segurança ou conformidade legal.
• O direito de negar a venda de seus dados: esse direito é o que esperamos que vá causar mais impacto nas marcas. Os consumidores têm a capacidade de negar a "venda" de seus dados de uma empresa para terceiros.

Quando a CCPA entrou em vigor?

Em 1º de janeiro de 2020, com um período de tolerância de seis meses para cumprimento das marcas até 1º de julho de 2020.

Quem é impactado pela CCPA?

Qualquer marca que atue na Califórnia e que colete, venda ou compre informações pessoais de consumidores online é impactada de alguma forma. O que as marcas fazem com esses dados é o que designa os requisitos que elas devem seguir para estar em conformidade, e cada marca se enquadrará em uma das três categorias: "empresa", "prestador de serviços" ou "terceiros".

Como as marcas sabem a que categoria elas pertencem?

Essas categorias são baseadas no uso de dados do consumidor. Embora cada empresa deva consultar seu departamento jurídico para determinar onde ela se enquadra, descrevemos as definições abaixo.

• "Empresa": uma entidade com fins lucrativos que atua na Califórnia e que coleta informações pessoais dos consumidores por conta própria ou em nome de terceiros (sozinha ou em conjunto), e que:
• Tem receita bruta acima de US$ 25 milhões; ou
• Anualmente compra, vende, recebe ou compartilha informações pessoais de mais de 50.000 consumidores, residências ou dispositivos para fins comerciais; ou
• Possui mais de 50% da receita anual derivada da venda de informações pessoais.
• "Prestador de serviços": uma entidade com fins lucrativos que processa informações em nome de uma empresa. Um "prestador de serviços" é uma empresa que recebe informações para fins comerciais ou conforme cumprimento de contrato.
• "Terceiros": não é uma empresa que coleta informações pessoais do consumidor, nem é um prestador de serviços.

Algo a ser observado aqui: empresas de adtech podem se enquadrar em diferentes categorias, em diferentes momentos, dependendo do que fizerem com os dados em um determinado momento. Além disso, sugere-se que, se as marcas usarem informações pessoais coletadas para fins de publicidade, é melhor que elas se categorizem como "empresa", ou o valor de publicidade será limitado (consulte a pergunta 6 para encontrar mais detalhes).

Como a CCPA afeta as marcas?

A CCPA causa um grande impacto na publicidade digital, pois traz novas regulamentações que restringem a forma como as marcas coletam e gerenciam dados do consumidor usados para conduzir a publicidade relevante. As marcas terão que garantir que:

1. Ofereçam a opção de negativa de consentimento de venda de dados, obrigatória para residentes da Califórnia até 1º de janeiro de 2020, quando a CCPA entrará em vigor.
2. Possam transmitir quaisquer sinais necessários (ou seja, a negativa de consentimento de um consumidor, solicitação de exclusão etc.) para seus parceiros/empresas de tecnologia.

Isso afetará negativamente os esforços de publicidade das marcas?

Do jeito que vemos, não. Mas há uma resposta em duas partes.

• Parte 1: se um consumidor negar a venda de seus dados, a publicidade para esse consumidor será obviamente afetada, porque ele optou por negar o consentimento à coleta ou venda de seus dados. A entrega de publicidade relevante requer a coleta de dados dos consumidores quando eles visitam o site de uma marca. Esses dados coletados são usados para entender melhor os hábitos de compra dos consumidores ideais das marcas. Uma vez identificados, esses dados podem ser usados para criar publicidade que atraia outros consumidores com hábitos de compra semelhantes — ou seja, consumidores com maior probabilidade de engajamento e conversão. Sem esses dados, a publicidade relevante não pode ser realizada.
• Parte 2: a CCPA pode, por fim, melhorar o ecossistema publicitário, tanto para o consumidor quanto para as empresas. Para as marcas, isso elimina consumidores que não estejam realmente interessados ou envolvidos com promoções publicitárias — o que significa que as marcas agora saberão mais facilmente quais consumidores estão abertos a publicidade ou ofertas personalizadas. No fim das contas, vemos a CCPA como uma forma de ajudar o dinheiro de publicidade das marcas a atingirem o consumidor "certo"; assim, aumentando o retorno do investimento em publicidade.

Em última análise, é nossa esperança que a CCPA traga mais transparência e direitos ao uso e venda das informações pessoais dos consumidores, permitindo que as empresas obtenham mais retorno para seus investimentos em publicidade.

O que uma marca pode fazer e não pode fazer com as informações pessoais de um usuário, se ele negar a venda de seus dados?

Se um usuário negar a venda de seus dados, isso não significa que a empresa é obrigada a apagar as informações dele ou se abster de usá-las (a menos que o consumidor exerça seu direito de solicitar a exclusão de seus dados coletados). O que isso significa é que suas informações pessoais não podem ser usadas ou reaproveitadas para ganho comercial. Por exemplo: se uma marca anunciar a oferta de 20% de desconto em um par de sapatos, ela ainda poderá concluir a transação do consumidor, além de pagar a comissão à empresa que apresentou o anúncio. No entanto, nem a marca, nem a empresa comissionada podem usar qualquer informação pessoal desse consumidor de forma além do cumprimento dessa transação.

Quais são os impactos da não conformidade?

Como é o caso de muitas leis, as medidas tomadas dependerão da gravidade da infração. Aqui está uma lista completa dos mecanismos de aplicação da CCPA.

• Aplicação privada: a CCPA permite que os consumidores ingressem com suas próprias ações em caso de violação de dados, permitindo que os consumidores recuperem até US$ 750 por incidente ou danos reais, o que for maior.
• Aplicação governamental: o Procurador-Geral do Estado também pode ajuizar uma ação cível. As empresas têm 30 dias para que corrijam o descumprimento ou sejam responsabilizadas com o pagamento de multas de até US$ 7.500 por violação.

O que é necessário para que os anunciantes cumpram os requisitos da CCPA?

Os anunciantes precisarão determinar em que categoria se encaixam melhor (veja a pergunta quatro), mas qualquer anunciante que colete e forneça informações a parceiros poderá ser considerado "empresa". Esses anunciantes também precisarão fornecer um aviso explícito e dar oportunidade aos consumidores de negarem a venda de seus dados. Dessa forma, os requisitos da CCPA já terão sido cumpridos antes da coleta e envio de dados do consumidor para terceiros, para fins publicitários.

Alguns anunciantes estão bloqueando geograficamente o tráfego na Califórnia ou suprimindo o tráfego da Califórnia ao passar dados coletados para terceiros.

Veja a seguir soluções que as marcas podem tomar para garantir a conformidade:

1. Integração com CMP: para os anunciantes que já usarem uma ferramenta de CMP criada anteriormente para RGPD, pode haver oportunidades de integração.
2. Envio de sinais via tag de JavaScript: os anunciantes podem aproveitar uma tag existente para passar informações de consentimento aos parceiros. Os anunciantes devem coletar um sinal de negativa de consentimento de venda dos dados do consumidor, que deve ser passado como variável em uma tag de JavaScript.
3. Link de divulgação e negativa de consentimento de venda de dados: os anunciantes podem incluir um link "Seus direitos de privacidade" em cada página do site, que levará os usuários a uma divulgação, revelando quais empresas podem coletar informações pessoais deles quando interagirem com a propriedade digital. Em nossa divulgação, revelamos que tipo de informação pessoal está sendo coletada (endereços IP, identificadores digitais, etc.) e para que fins esses dados serão usados (personalização de anúncios, análises sobre como os usuários interagem com os sites e anúncios, etc.).

Independentemente da opção escolhida pelos anunciantes, recomendamos que eles incluam um link para a política de privacidade da empresa em cada página de seu site, e que essa política de privacidade faça referência à coleta de dados da Rakuten Advertising, com um link para nossa política de privacidade.

Para os anunciantes da Rakuten Advertising, foi enviado um e-mail com mais informações sobre como as novas exigências da CCPA os afetam.

O que é necessário que os afiliados façam para que cumpram os requisitos da CCPA?

Os afiliados que se classificarem como "empresa" precisarão divulgar os direitos de privacidade por meio de um link em seu site e dar aos usuários a oportunidade de negar o rastreamento ou impedir a venda de seus dados pessoais.

Os afiliados estarão dispensados dessa obrigação se bloquearem o tráfego via endereço IP para usuários na Califórnia. As opções que estamos sugerindo para nossos afiliados são:

1. Sinais de negativa de consentimento de venda de dados no link do afiliado: inclua um link para a política de privacidade da empresa em cada página do site. Essa política de privacidade fará referência à coleta de dados da Rakuten Advertising e a um link para nossa política de privacidade. Os afiliados também precisarão implementar alguma forma de coletar um sinal de negativa de consentimento de venda de dados do consumidor, para passar informações de consentimento aos parceiros.
2. Integração com CMP: para os afiliados que já usarem a ferramenta de CMP criada para RGPD, pode haver oportunidades de integração.
3. Link de divulgação e negativa de consentimento de venda de dados: os afiliados podem incluir um link "Seus direitos de privacidade" em cada página do site, que levará os usuários a uma divulgação, revelando quais empresas podem coletar informações pessoais deles quando interagirem com a propriedade digital. Em nossa divulgação, revelamos que tipo de informação pessoal está sendo coletada (endereços IP, identificadores digitais, etc.) e para que fins esses dados serão usados (personalização de anúncios, análises sobre como os usuários interagem com os sites e anúncios, etc.).

Em resposta às exigências da CCPA, atualizamos nosso Acordo de Associação do Afiliado (PMA), e esse PMA atualizado entrou em vigor em 1º de janeiro de 2020. A maior mudança significativa em nosso PMA é o idioma, que foi atualizado para atender aos requisitos de notificação e negativa de consentimento de venda de dados, necessários para cumprir a CCPA.

Para os afiliados da Rakuten Advertising, enviamos um e-mail comunicando essas informações com um link para o novo PMA. Em caso de quaisquer outras perguntas, os afiliados sempre podem contatar seu gerente de desenvolvimento de afiliados; ou, para os afiliados da Rakuten Advertising, um e-mail nosso comunicando essas informações com um link para o novo PMA foi enviado. Em caso de quaisquer outras perguntas, os afiliados sempre podem contatar seu gerente de desenvolvimento de afiliados ou o atendimento ao cliente

Como as marcas transmitem os devidos sinais aos seus parceiros?

Ainda há trabalho a ser feito, e há algumas ambiguidades sobre como as empresas podem garantir a conformidade. No entanto, de forma similar ao trabalho do setor por trás da ferramenta de CMP para RGPD, grupos como IAB e ANA estão trabalhando para criar um conjunto universal de sinais, para permitir que parceiros e clientes transmitam as negativas de consentimento de venda de dados e as solicitações de exclusão. Existe atualmente uma estrutura de conformidade para a CCPA. O IAB/IAB Tech Lab elaborou um contrato padronizado para uso entre afiliados e seus parceiros, e uma série de especificações técnicas para que as empresas possam cumprir o contrato. Além disso, a Digital Advertising Alliance (DAA) está oferecendo uma ferramenta de conformidade, que permitirá que afiliados, marcas, agências e empresas de adtech na cadeia de suprimento digital forneçam aos consumidores um mecanismo claro e reconhecível para negar a venda de seus dados. Procuraremos esses grupos para ajudar no fornecimento de ferramentas e outros materiais para orientar o setor sobre as melhores práticas de conformidade.

O que a Rakuten Advertising exige de seus parceiros anunciantes e afiliados, de modo que estejam em conformidade?

Qualquer parceiro que tenha a Rakuten Advertising fornecendo rastreamento em seu site precisará incluir um link "Seus direitos de privacidade" em qualquer página onde dados sejam coletados. Esse link levará os consumidores à política de privacidade da Rakuten Advertising e a uma página de negativa de consentimento de venda de dados. Para marcas que apresentem a negativa de consentimento de venda de dados por conta própria, exigimos que implementem uma maneira de nos transmitir os sinais de negativa por meio da estrutura de conformidade com CCPA do IAB. Também exigimos que marcas que não tenham um pixel em seu site, mas que nos forneçam diretamente informações de conversão (por exemplo: API), implementem uma maneira de transmitir os sinais de negativa de consentimento de venda de dados para a Rakuten Advertising por meio da estrutura do IAB.

Em maio de 2018, para ajudar as marcas a cumprir o RGPD, a Rakuten Advertising desenvolveu uma consent management platform (CMP), mas não paramos por aí. Também criamos "invólucros" que funcionam com outras CMPs de terceiros, para ajudar a apoiar os esforços de conformidade das marcas. Embora a CCPA não exija consentimento prévio do consumidor, a Rakuten Advertising está comprometida com a promoção da transparência, no que muitas vezes é considerado o mundo opaco da adtech. Como tal, estamos trabalhando em estreita colaboração com afiliados e marcas em nossa rede, para fornecer acesso à nossa política de privacidade e possibilidade de negativa de consentimento de venda de dados aos consumidores na primeira oportunidade.

Como a CCPA afeta marcas fora dos EUA?

Qualquer marca que faça negócios significativos com consumidores que residam na Califórnia deve estar em conformidade com a CCPA, independentemente de sua localização, e os requisitos para garantir que as campanhas da Rakuten Advertising estejam em conformidade são os mesmos descritos acima. O termo "significativo" é definido por empresas que "comprem, recebam, vendam ou compartilhem anualmente informações pessoais de pelo menos cinquenta mil residentes da Califórnia".

Existe alguma chance de essa política de privacidade avançar para um nível federal?

A maioria diz que, se houver alguma chance de isso acontecer, há um longo caminho a ser percorrido. No entanto, já existem muitos outros estados adotando regulamentos de privacidade semelhantes. Nevada já tem um em vigor, enquanto Havaí, Maryland, Novo México, Washington, entre outros, têm projetos de leis semelhantes. As marcas devem, se ainda não o tiverem feito, aceitar que o regulamento de privacidade está se tornando não apenas uma preocupação federal, como também global. O RGPD já entrou em vigor, e novas leis internacionais estão sendo criadas no Brasil, Nova Zelândia e Bahrein, entre outros países.