anonym.legal

By · Last updated 2026-06-05

Voltar ao BlogGDPR & Conformidade

CCPA/CPRA 2025: O que a Lei de Direitos de...

A CPPA emitiu mais de $100 milhões em multas em 2024. A CPRA abrange 40 milhões de californianos e se aplica globalmente à maioria das empresas.

June 5, 202610 min de leitura
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Guia sobre a Lei de Privacidade da Califórnia

Atualizado para 2026.

A Lei de Direitos de Privacidade do Consumidor da Califórnia (CPRA) entrou em vigor em 2023. Ela criou a Agência de Proteção de Privacidade da Califórnia (CPPA). A CPPA é o primeiro regulador estadual de privacidade nos Estados Unidos. Em 2024, a CPPA emitiu mais de 100 milhões de dólares em multas. A lei de privacidade da Califórnia é aplicação ativa — não uma regra no papel.

Quem deve cumprir?

Três critérios determinam se a lei se aplica. Uma empresa deve cumprir pelo menos um deles.

  • Receita anual de 25 milhões de dólares ou mais.
  • Dados pessoais de 100.000 ou mais consumidores do estado.
  • Mais de 50% da receita proveniente da venda de informações pessoais.

O estado tem 40 milhões de residentes. É a quinta maior economia do mundo. A maioria das empresas globais cumpre pelo menos um critério.

19 categorias de dados sensíveis

A lei cria um nível especial para detalhes pessoais sensíveis. As empresas devem dar aos consumidores aviso extra e o direito de limitar o uso. Os 19 tipos são:

  1. Números de previdência social, carteira de motorista, identidade estadual, passaporte
  2. Números de conta financeira ou cartão com códigos de acesso
  3. Geolocalização precisa (dentro de 1.852 metros)
  4. Origem racial ou étnica
  5. Crenças religiosas ou filosóficas
  6. Filiação sindical
  7. Conteúdo de e-mails privados ou correio postal
  8. Informações genéticas
  9. Registros biométricos para identificação
  10. Registros de saúde ou médicos
  11. Orientação sexual ou vida sexual
  12. Status migratório (adicionado em 2024)
  13. Registros de saúde mental (adicionados em 2024)
  14. Status de cidadania
  15. Números de conta sem códigos de acesso
  16. Status de deficiência
  17. Indicadores de status de emprego
  18. Informações de apólice de seguro
  19. Registros criminais ou de prisão

Para cada categoria, os consumidores podem limitar como uma empresa os usa e os compartilha. Este direito é separado do direito geral de se opor à venda de dados.

O que a CPPA investigou em 2024

As ações da CPPA em 2024 se dividiram em quatro áreas.

Registro de corretores de dados. O estado exige que os corretores de dados se registrem na CPPA. A agência encontrou centenas de corretores não registrados vendendo perfis de consumidores.

Ferramentas de opt-out com falhas. Muitas plataformas de consentimento não ofereciam um opt-out real. O botão não funcionava, ou o opt-out cobria apenas alguns usos.

Decisões de IA sem aviso. As regras de IA de 2025 exigem aviso quando ferramentas automatizadas tomam decisões importantes. Emprego, crédito e moradia estão incluídos. Vários casos de 2024 miraram ferramentas de IA usadas sem este aviso.

Dados de crianças. O Código de Design Apropriado para a Idade da Califórnia se aplica a qualquer serviço que menores provavelmente usam. Essas empresas devem completar uma Avaliação de Impacto de Proteção de Dados. A CPPA constatou que muitas companhias não tinham feito isso.

Lei estadual vs. RGPD: diferenças principais

O cumprimento do RGPD não cobre você na Califórnia. As leis compartilham objetivos mas diferem em pontos importantes.

Opt-out versus opt-in. O RGPD requer consentimento opt-in para a maioria dos usos de dados sensíveis. A lei estadual usa um modelo opt-out. O processamento é permitido até que o consumidor se oponha.

Direitos do consumidor. Ambas as leis garantem direitos de acesso, exclusão e correção. A lei estadual adiciona o direito de se opor a decisões automatizadas. O Artigo 22 do RGPD também cobre isso, mas com um escopo mais restrito.

Registros de funcionários. A lei estadual se aplica integralmente aos dados pessoais dos funcionários. O RGPD também, mas os estados membros da UE têm suas próprias regras trabalhistas. A privacidade do pessoal no estado frequentemente precisa de sua própria trilha de conformidade.

Tipos sensíveis. Os 19 tipos estaduais se sobrepõem parcialmente ao Artigo 9 do RGPD. O status migratório e números de conta independentes são específicos do estado.

Consulte o guia de conformidade legal para saber como essas obrigações se acumulam.

Requisitos para fornecedores de IA

As regras de IA de 2025 criam obrigações claras para empresas que usam ferramentas de IA com registros de consumidores.

Contratos de fornecedores. Os prestadores de serviços devem assinar um acordo por escrito. O acordo deve cobrir quatro pontos. Primeiro: usar registros apenas para o propósito declarado. Segundo: excluir registros quando o serviço terminar. Terceiro: encaminhar solicitações de direitos dos consumidores. Quarto: manter segurança adequada.

Aviso de decisão automatizada. Se uma ferramenta de IA ajuda a decidir sobre crédito, fraude ou emprego — os consumidores devem ser informados. Eles também devem receber um opt-out.

Limites de treinamento de IA. Se registros de consumidores treinaram um modelo de IA, esse modelo tem limites. Ele não pode ser usado para propósitos que conflitem com o motivo de coleta original.

A solução direta para a maioria das equipes: remover IDs pessoais antes que os registros entrem em qualquer sistema de IA. Isso atende às regras de decisão de IA e reduz o risco de tipos sensíveis ao mesmo tempo.

Saiba como anonym.legal remove IDs antes do processamento de IA em /security-compliance.

Pontos principais

A lei estadual cobre a maioria das empresas globais com clientes no estado. Ela adiciona 19 tipos sensíveis, uma agência de aplicação ativa e regras de aviso de IA. O cumprimento do RGPD não substitui o cumprimento estadual. O passo mais claro: remover IDs pessoais antes que os registros entrem em ferramentas de IA.

Leia sobre minimização de dados em /docs/faq.

Fontes

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) texto completo. leginfo.legislature.ca.gov.
  • CPPA: Automated Decision-Making Technology Regulations 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.