Securiti lidera a avaliação de fornecedores de DSPM da GigaOm com as melhores classificações em termos de recursos técnicos e valor comercial.
VerGerente de marketing de produtos da Securiti
A California Privacy Rights Act (CPRA), lei estadual de privacidade de dados, é uma das normas de privacidade mais abrangentes e rigorosas da Califórnia. Se você estiver operando na Califórnia ou oferecendo produtos ou serviços a residentes da Califórnia, talvez queira avaliar se atende aos requisitos de limite da CPRA e se está em conformidade com a nova lei de privacidade de dados.
A CPRA é a legislação estadual da Califórnia que trata da proteção da privacidade digital de seus residentes. A CPRA entrou em vigor em 1º de janeiro de 2023 e exige que todas as empresas auditem seus mecanismos de coleta, armazenamento, processamento e compartilhamento de dados para garantir que estejam em conformidade com a lei. Sua aplicação foi iniciada em 1º de julho de 2023.
A CPRA baseia-se em uma legislação anterior conhecida como Lei de Privacidade do Consumidor da Califórnia (CCPA), que entrou em vigor em 1º de janeiro de 2020. A CPRA será aplicada pela primeira autoridade dedicada à proteção de dados nos Estados Unidos: a California Privacy Protection Agency (CPPA).
Quando o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor em 2018, seu objetivo era garantir que qualquer organização que lidasse com dados pessoais coletados na UE teria de fazer esforços concretos para protegê-los e proteger a privacidade dos titulares dos dados a quem eles dizem respeito. Não importava se a organização operava dentro da UE ou em outro lugar, pois se aplicava a qualquer empresa que lidasse com dados pessoais de titulares de dados residentes na UE.
A Lei de Direitos de Privacidade da Califórnia (CPRA) é semelhante em seu escopo, pois se aplica a entidades "com fins lucrativos" que lidam com informações pessoais de residentes da Califórnia, que atendem a um dos três critérios. Os três critérios para que uma empresa se enquadre na jurisdição da CPRA são:
Depois que a CPRA foi aprovada, ela estabeleceu a California Privacy Protection Agency (CPPA) como o principal órgão responsável por proteger a privacidade digital de todos os californianos. A CPRA concede à CPPA plenos direitos legais, administrativos e de execução quando se trata de assuntos relacionados à CPRA. A diretoria da CPPA é composta por cinco membros, além de um presidente e um diretor executivo.
A CPPA tem quatro responsabilidades principais em relação à CPRA: educação, criação de regras, aplicação e certificações. A CPPA tem um orçamento anual de US$ 10 milhões para ajudá-la em seus esforços para cumprir essas responsabilidades.
A CPPA tem o poder de certificar empresas que estão em conformidade com a CPRA. Essa certificação pode ser usada por empresas e entidades que não precisam estar em conformidade com as regulamentações da CPRA, mas que desejam demonstrar voluntariamente que suas práticas de proteção de dados são dos mais altos padrões possíveis.
Além disso, considerando que a Califórnia é um dos locais de negócios mais lucrativos do mundo, as empresas podem achar que uma certificação CPPA lhes dá uma vantagem competitiva adicional em um mercado consumidor mais consciente da privacidade.
As empresas que fazem negócios na Califórnia e que se enquadram na CPRA têm até 1º de janeiro de 2023 para cumprir essa nova regulamentação.
No entanto, as empresas só serão multadas por infrações ou violações da CPRA a partir de 1º de julho de 2023.
A avaliação CPRA da Securitiavalia sua prontidão para a CPRA e analisa a conformidade de suas práticas atuais. Essa avaliação destaca quaisquer deficiências em suas práticas e ajuda em seus esforços de conformidade com a CPRA.
Para obter mais informações sobre a Lei de Direitos de Privacidade da Califórnia (CPRA) e como iniciar seu programa de conformidade com a CPRA, consulte nossa Lista de verificação de conformidade com a CPRA aqui e baixe nosso white paper sobre 7 dicas essenciais para se preparar para a CPRA.
Para uma empresa na Califórnia, é natural se perguntar: "A CPRA substitui a CCPA?" e se a CCPA ainda se aplica. Embora a CPRA tenha o objetivo de substituir a CCPA, é importante observar que a CPRA altera a CCPA e, portanto, atua mais como uma "atualização" do que como uma substituição.
A CPRA entrou em vigor em 1º de janeiro de 2023. Isso significa que as empresas agora precisam modificar suas práticas de coleta de dados e se tornar compatíveis com a CPRA. É provável que a maioria dessas empresas já esteja em conformidade com a CCPA. Por isso, seria útil conhecer as principais diferenças entre a CCPA e CPRA e quais práticas precisarão ser alteradas.
Há vários requisitos da CPRA relacionados à proteção e ao gerenciamento das informações pessoais dos consumidores. Veja a seguir o que você deve saber:
A CPRA cria uma nova categoria de informações pessoais chamada Informações Pessoais Sensíveis (SPI), que está sujeita a requisitos mais rígidos de divulgação e limitação de finalidade. Como a CPRA também especifica que as medidas de segurança dos dados devem ser adequadas ao tipo de dados, seria razoável supor que as SPI exigiriam salvaguardas e proteções adicionais.
Mais importante ainda, a CPRA oferece aos clientes a capacidade de solicitar que as empresas limitem o uso dos SPIs dos consumidores. O SPI contém conjuntos de informações muito confidenciais, como:
A CPRA revisa os padrões de como um site permite que os usuários exerçam seu direito de limitar o uso de suas informações pessoais e acrescenta um requisito de como um site permite que os usuários optem por não ter suas informações pessoais vendidas ou compartilhadas.
A CPRA modifica o botão Não vender da CCPA, exigindo que um site tenha um link que diga "Não vender ou compartilhar minhas informações pessoais" para permitir que os consumidores optem pela não venda e compartilhamento de suas informações pessoais.
A CPRA também acrescenta uma nova obrigação para que um site tenha um link rotulado como"Limitar o uso de minhas informações pessoais confidenciais", permitindo que os californianos controlem como suas SPI são usadas e divulgadas.
Além disso, a CPRA recomenda que as empresas criem "um link único e claramente identificado" que permita que os consumidores optem pela não venda ou compartilhamento de Informações Pessoais e, ao mesmo tempo, limitem o uso ou a divulgação de suas SPI.
A CPRA concede aos consumidores direitos adicionais com relação a seus dados pessoais. Esses direitos incluem:
A CPRA também alterou as obrigações das entidades cobertas ao atender às solicitações dos titulares de dados concedidas pela CCPA.
A Lei de Direitos de Privacidade da Califórnia (CPRA) modifica a CCPA para reger a publicidade comportamental que usa informações pessoais para traçar o perfil dos cidadãos da Califórnia e promover anúncios.
Conforme mencionado anteriormente, a California Privacy Protection Agency (CPPA) é designada como a principal executora e supervisora do regime de privacidade de dados da CPRA. É a primeira autoridade dedicada à proteção de dados criada nos Estados Unidos.
A CPRA acrescenta disposições semelhantes ao GDPR à CCPA, como requisitos de minimização e retenção de dados, além de exigir que as empresas que realizam "processamento arriscado" conduzam e publiquem avaliações de risco.
Com a CPRA em vigor desde 1º de janeiro de 2023, ela está influenciando significativamente a forma como as empresas garantem que os clientes saibam quais dados estão sendo coletados sobre eles. Aqui estão as principais áreas em que o impacto mais perceptível está ocorrendo:
De acordo com a CCPA, os sites já são obrigados a garantir que os clientes saibam exatamente quando seus dados estão sendo coletados. Entretanto, de acordo com a CPRA, as organizações serão obrigadas a entrar em detalhes adicionais sobre como e por que precisam coletar os dados de um usuário. Os três principais avisos adicionais incluem a responsabilidade de divulgar se as organizações compartilham suas informações pessoais, se coletam informações pessoais confidenciais (SPI) e por quanto tempo manterão os dados coletados.
É natural que a nova regulamentação CPRA exija que as empresas alterem suas políticas de privacidade existentes. As mudanças mais notáveis incluem informar ao usuário se elas planejam "compartilhar" seus dados, além de "vender" seus dados. De acordo com a CCPA, as empresas só precisavam informar aos usuários se planejavam vender seus dados.
A CPPA tem o mandato de investigar possíveis violações da CPRA, conduzir audiências administrativas, impor multas por violações e entrar na justiça em uma ação civil para recuperar multas não pagas.
É importante observar que o Procurador Geral da Califórnia mantém o poder de aplicar a CPRA por meio de penalidades civis e deverá coordenar suas ações com a CPPA. As violações de acordo com a CPRA podem ocorrer se uma empresa:
Se uma empresa for considerada responsável por uma penalidade civil, ela será multada em até US$ 2.500 por violação não intencional e US$ 7.500 por violação intencional.
Não é nenhuma surpresa que essa nova lei mudará a forma como os sites coletam informações sobre seus clientes. Entretanto, quanto mais rápido as empresas entenderem e cumprirem a CPRA maiores serão as chances de reforçar a proteção de dados, atender à conformidade e conquistar a confiança dos clientes. É nesse ponto que Securiti pode ajudar.
Securiti é líder global em software de conformidade de privacidade que utiliza automação robóticaaprendizado de máquina, inteligência artificial, descoberta de dados de PI orientada por IA, gerenciamento de consentimento de cookiese responsabilidade documentada para garantir a conformidade com a privacidade de sua empresa. Isso não apenas garante a conformidade com a CPRA para uma empresa, mas também o faz da maneira mais descomplicada possível. Para ver as ferramentas da Securitiem ação, solicite uma demonstração hoje mesmo.
Aqui estão as perguntas mais comuns relacionadas à CPRA:
A CPRA entrou em vigor em 1º de janeiro de 2023. Ela alterou a CCPA existente e trouxe muitas mudanças para as empresas. A mudança mais imediata diz respeito às entidades cobertas. Qualquer empresa com receita bruta anual de US$ 25 milhões no ano civil anterior ou que compre/venda/compartilhe informações pessoais de 100.000 consumidores ou residências ou que obtenha 50% ou mais de sua receita com a venda/compartilhamento de informações pessoais.
Além disso, a exceção da CCPA para informações pessoais de funcionários será encerrada, e as empresas precisarão implementar um programa de conformidade com a CPRA que inclua as informações de seus próprios funcionários. Outras mudanças importantes incluem a exigência de respeitar o sinal de preferência de exclusão de um consumidor, como o GPC e expandir o requisito de exclusão "Não vender" para "Não vender ou compartilhar", bem como revisar seus contratos atuais com fornecedores para garantir que eles cumpram os requisitos estabelecidos na CPRA para tais acordos.
De acordo com a CPRA, informações pessoais confidenciais são quaisquer informações que revelem o número do seguro social de um consumidor, carteira de motorista, passaporte, identidade estadual, números de cartão de crédito/débito, bem como senhas relevantes, geolocalização, origem racial, orientação sexual, filiação a sindicatos, crenças religiosas ou políticas, bem como dados biométricos do consumidor.
Uma das mudanças mais importantes que a CPRA traz em comparação com a CCPA é o direito dos consumidores de corrigir informações coletadas sobre eles por organizações on-line. Isso pode incluir qualquer informação que possa ter se tornado imprecisa, incompleta ou obsoleta desde que foi coletada.
A limitação de finalidade introduzida pela CPRA é, em sua essência, muito parecida com a minimização de dados do GDPR. A limitação da finalidade exige que as organizações que coletam informações dos usuários tenham um motivo específico e explícito para fazê-lo.
Assim como a CCPA, a CPRA garante que as organizações não possam vender ou compartilhar as informações pessoais de uma criança, a menos que a criança (com pelo menos 13 anos de idade) ou seus pais (com menos de 13 anos de idade) autorizem explicitamente a venda ou o compartilhamento dessas informações. Se, nesses casos, o consentimento não for fornecido, a organização deverá esperar pelo menos 12 meses antes de solicitar o consentimento novamente ou esperar até que a criança complete 16 anos.
Entretanto, essas obrigações se aplicam somente se a organização tiver "conhecimento real" da idade da criança. De qualquer forma, a organização deve cumprir todas as suas obrigações relevantes de acordo com a lei federal Children's Online Privacy Protection Act em relação às informações pessoais de crianças com menos de 13 anos de idade.
A CPRA será aplicada principalmente pela recém-criada California Privacy Protection Agency.
Atualmente, a CCPA exige que as empresas informem os usuários sobre todas as categorias de informações pessoais a serem coletadas e a finalidade por trás da coleta. A CPRA expande essas exigências com as organizações que coletam os dados agora obrigadas a informar aos usuários se seus dados serão vendidos ou compartilhados, por quanto tempo seus dados serão retidos e informações mais detalhadas relacionadas à coleta de informações pessoais confidenciais.
A CPRA amplia o escopo de aplicabilidade da CCPA alterando a definição de "empresas". Há quatro categorias de acordo com a CPRA. Diretores de Processamento, Marcas Comuns, Joint Ventures e Negócios Certificados.
A CPRA introduz várias modificações, esclarecimentos e alterações nas exceções feitas na CCPA. Essas exceções incluem a Isenção de Segredo Comercial, Isenção de Dados Domésticos, Isenção de Informações e Avaliações de Estudantes, Isenção de Itens Físicos, Isenção de Agências de Relatórios de Crédito Comercial, Isenção de Informações Públicas, Isenção de Informações de Identificação, Isenção de Informações da Lei de Relatórios de Crédito Justo, Isenção de Concessionárias e Fabricantes de Automóveis, Isenção de informações financeiras, Isenção de informações agregadas, Isenção de informações médicas, Isenção de provedores de serviços de saúde e entidades cobertas, Isenção de ensaios clínicos, Isenção da Lei de Proteção à Privacidade do Motorista de 1994, Isenção de privilégio probatório e Isenção de conformidade legal e cooperação na aplicação da lei.
Sim, a CPRA introduz um novo requisito de auditoria de segurança da informação para empresas que exige uma auditoria anual de segurança cibernética das empresas que processam informações pessoais que representam um risco significativo à privacidade dos consumidores. Os resultados dessas avaliações precisarão ser fornecidos à CPPA para garantir que uma organização cumpra suas responsabilidades de segurança de acordo com as diretrizes da CPRA.
Semelhante à CCPA, a CPRA se aplica somente a organizações "com fins lucrativos". Isso também significa que as disposições da CPRA não se aplicam a órgãos governamentais ou organizações sem fins lucrativos.
A Lei de Direitos de Privacidade da Califórnia (California Privacy Rights Act, CPRA) definiu multas relativas a violações na seção 1798.155, Aplicação Administrativa. A legislação estabelece que todas as empresas, prestadores de serviços ou contratados cobertos que violarem as disposições da CPRA serão multados em até US$ 2.500 por cada violação. Entretanto, quando se trata de violação de informações pessoais de menores, a CPRA aumenta a multa para até US$ 7.500 por cada violação intencional.
A legislação esclarece ainda que o dinheiro recebido da multa administrativa e dos acordos será depositado no Fundo de Privacidade do Consumidor. Esses fundos serão então usados para contrabalançar os custos incorridos pela autoridade reguladora (CPPA), pelo tribunal estadual ou por qualquer procurador-geral.
A CPRA entrou em vigor em 1º de julho de 2023. A CPRA introduz uma disposição bastante sorrateira, ou seja, o período "look back". A disposição permite que os consumidores solicitem acesso a seus dados que remontam até mesmo a 1º de janeiro de 2022. Isso significa que algumas isenções previstas na CCPA, mas removidas na CPRA, voltarão a assombrar as empresas se elas não estiverem preparadas com antecedência. Por exemplo, as empresas devem poder dar acesso a informações pessoais a solicitações verificadas se um funcionário exercer seu direito de acessar informações pessoais que remontem a 1º de janeiro de 2022.
Sim, a CPRA exige que as empresas realizem e forneçam treinamento sobre privacidade a todo o seu pessoal responsável pelo manuseio de informações pessoais de consumidores ou funcionários. A CPRA introduz os requisitos de treinamento na seção 1798.130(a)(6), que abrange ainda 7 seções importantes que devem fazer parte do treinamento, como as seções 1798.105, 1798.106, 1798.110, 1798.115, 1798.125 e 1798.130.
Receba todas as informações mais recentes, atualizações de leis e muito mais na sua caixa de entrada
Na Securiti, nossa missão é permitir que as organizações aproveitem com segurança o incrível poder dos dados e da IA.
Direitos autorais © 2025 Securiti - Sitemap - Sitemap XML
info@securiti.ai
Securiti, Inc.
3155 Olsen Drive
Suite 350
San Jose, CA 95117
20 de janeiro de 2025
A IA generativa (GenAI) transformou a forma como as empresas operam, escalam e crescem. Há um aplicativo de IA para cada finalidade, desde o aumento da produtividade dos funcionários até a simplificação...
15 de janeiro de 2025
Embora a nuvem tenha oferecido ao mundo imensas oportunidades de crescimento, ela também introduziu desafios e riscos sem precedentes. Soluções como o Cloud Security Posture Management...
15 de janeiro de 2025
Com o advento da IA geradora (GenAI), os dados se tornaram mais dinâmicos. Novos dados são gerados mais rápido do que nunca, transmitidos para vários sistemas, aplicativos,...
2 de janeiro de 2025
O que é a Lei de Privacidade do Colorado? A CPA é uma lei de privacidade abrangente assinada em 7 de julho de 2021. Ela estabeleceu novos padrões para a privacidade...
24 de dezembro de 2024
Acelere a adoção do Copilot com segurança e confiança As organizações estão ansiosas para adotar o Microsoft 365 Copilot para aumentar a produtividade e a eficiência. No entanto, preocupações com segurança, como dados...
1º de novembro de 2024
Um número impressionante de 90% dos dados de uma organização não é estruturado. Esses dados estão sendo usados rapidamente para alimentar aplicativos de GenAI, como chatbots e pesquisas de IA....
29 de outubro de 2024
À medida que as empresas adotam a IA generativa, as equipes de dados e IA enfrentam vários obstáculos: conectar com segurança fontes de dados não estruturadas e estruturadas, manter controles e governança adequados,...
12 de agosto de 2024
O que é a CPRA? A Lei de Direitos de Privacidade da Califórnia (CPRA) é a legislação estadual da Califórnia que visa a proteger a privacidade digital dos residentes. Ela entrou em vigor em janeiro de...
3 de junho de 2024
O que é o PCI DSS? O PCI DSS (Payment Card Industry Data Security Standard, padrão de segurança de dados do setor de cartões de pagamento) é um conjunto de padrões de segurança para garantir o processamento, o armazenamento e a...
29 de janeiro de 2024
Os crescentes riscos de segurança da IA deixaram 48% dos CISOs globais alarmados. Participe desta palestra para conhecer um manual prático para habilitar a confiança, o risco e a...
20 de maio de 2025
Em todos os setores, os sistemas de IA não são mais apenas ferramentas que agem de acordo com as instruções humanas. O cenário da IA está evoluindo rapidamente, e os sistemas de IA estão ganhando...
18 de maio de 2025
Ainda se adaptando ao boom inicial da geração de IA, o setor de TI está passando por outra evolução profunda: o surgimento da IA agêntica. A IA tem...
May 28, 2025
Get comprehensive insights into enterprise data security, what it is, its importance, key components, and how Securiti helps ensure the utmost enterprise data security.
May 28, 2025
Learn the importance of CSPM for modern enterprises, the core capabilities to consider, and clears several misconceptions related to it.
May 28, 2025
Discover how to master cookie consent with strategies for global compliance and building customer trust while aligning with key data privacy regulations.
May 28, 2025
Learn how DSPM provides unified Data+AI Access governance, offering contextual data intelligence, automated controls, safe AI+data access, and consistent least-privilege enforcement.
May 25, 2025
Download the infographic on the European Health Data Space Regulation, which features a clear timeline and roadmap highlighting key legislative milestones, implementation phases, and...
24 de abril de 2025
Faça o download do infográfico para comparar os requisitos de campo de Registros de Atividades de Processamento (RoPA) entre as jurisdições. Saiba sua importância, penalidades e como navegar pelo RoPA.
7 de janeiro de 2025
Saiba como criar copilotos de IA empresariais seguros com modelos do Amazon Bedrock, proteger as interações de IA com Firewalls LLM e aplicar o OWASP Top 10 LLM...
18 de novembro de 2024
O guia do comprador da DSPM foi criado para ajudar os CISOs e suas equipes a fazer as perguntas certas e considerar os recursos certos ao procurar...
Notifications
