CCPA/CPRA 2025: O que a Lei de Direitos de Privacidade da Califórnia Exige de Fornecedores de IA e Processamento de Dados

A Lei de Direitos de Privacidade do Consumidor da Califórnia (CPRA, em vigor desde 2023) estabeleceu a Agência de Proteção de Privacidade da Califórnia (CPPA) como o primeiro regulador de privacidade estadual dedicado dos EUA. A CPPA emitiu mais de $100 milhões em ações de fiscalização em 2024 — demonstrando que a lei de privacidade da Califórnia não é apenas um quadro regulatório, mas um ambiente de fiscalização ativo.

O alcance extraterritorial da CPRA é o aspecto mais significativo para empresas globais: a lei se aplica a qualquer empresa com receita anual superior a $25 milhões, ou que processe dados pessoais de mais de 100.000 consumidores ou domicílios da Califórnia. Com 40 milhões de residentes na Califórnia e o status da Califórnia como a 5ª maior economia do mundo, a maioria das empresas globais se enquadra na jurisdição da CPRA.

Categorias de Informações Pessoais Sensíveis da CPRA

A CPRA cria um nível distinto de "informações pessoais sensíveis" que requer proteção aumentada e requisitos de divulgação específicos. As 19 categorias se mapeiam de perto com as categorias especiais do Artigo 9 do GDPR, mas com adições específicas dos EUA:

1. Números de SSN, carteira de motorista, ID estadual, números de passaporte
2. Números de conta financeira, números de cartão de débito/crédito com códigos de acesso
3. Geolocalização precisa (dentro de 1.852 metros)
4. Origem racial/étnica
5. Crenças religiosas ou filosóficas
6. Filiação sindical
7. Conteúdo de e-mail e correspondência postal (se não estiver amplamente disponível)
8. Dados genéticos
9. Dados biométricos para identificação
10. Dados de saúde/médicos
11. Orientação sexual ou vida sexual
12. Status de imigração (adicionado nas regulamentações de 2024)
13. Dados de saúde mental (adicionado nas regulamentações de 2024)
14. Status de cidadania
15. Números de contas financeiras (isolados, sem códigos de acesso)
16. Status de deficiência
17. Indicadores de status de emprego
18. Informações sobre apólices de seguro
19. Dados de antecedentes criminais ou registros de prisão

A implicação prática: qualquer pipeline de processamento de dados que manipule essas categorias deve fornecer aos consumidores o direito de limitar o uso e a divulgação de informações pessoais sensíveis, separadamente do direito geral de optar por não participar da venda.

Fiscalização da CPPA em 2024: O que foi Alvo

A CPPA emitiu ações de fiscalização e acordos em 2024 visando:

Violação de registro de corretores de dados: A Califórnia exige que os corretores de dados se registrem na CPPA. A CPPA encontrou centenas de corretores de dados não registrados — organizações que vendem dados de perfil pessoal sem a divulgação necessária.

Não conformidade com a gestão de consentimento: A CPPA constatou que muitas "plataformas de gestão de consentimento" das empresas não forneciam mecanismos funcionais de opt-out — ou o botão de opt-out não funcionava, ou o opt-out se aplicava apenas a usos específicos de dados enquanto outros continuavam.

Decisão automatizada de IA: As regulamentações de IA da CPPA para 2025 exigem que as empresas notifiquem os consumidores quando a tomada de decisão automatizada é usada para decisões significativas (emprego, crédito, habitação) e forneçam mecanismos significativos de opt-out. Várias ações de fiscalização em 2024 visaram ferramentas de IA utilizadas sem notificação adequada.

Dados de crianças: Sob o Código de Design Apropriado para Idade da Califórnia (AADC), empresas que provavelmente serão acessadas por menores devem realizar Avaliações de Impacto sobre a Proteção de Dados. A CPPA encontrou várias empresas de tecnologia que não completaram as DPIAs exigidas.

CPRA vs. GDPR: Principais Diferenças para Organizações Globais

Organizações que operam sob o GDPR e a CPRA enfrentam requisitos de conformidade que são semelhantes em princípio, mas diferentes em especificidades:

Opt-out vs. opt-in: O GDPR exige consentimento opt-in para a maioria dos processamentos de dados sensíveis. A CPRA utiliza um modelo de opt-out — o processamento é legal até que o consumidor opte por não participar. Isso significa que os mecanismos de consentimento compatíveis com o GDPR são frequentemente mais restritivos do que o que a CPRA exige, mas as práticas compatíveis com a CPRA podem não satisfazer o GDPR.

Direitos dos titulares de dados: Ambos exigem direitos de acesso, exclusão e correção. A CPRA adiciona um direito de optar por não participar da tomada de decisão automatizada — mais amplo do que a disposição de tomada de decisão automatizada mais restrita do Artigo 22 do GDPR.

Dados de funcionários: A CPRA se aplica totalmente aos dados pessoais dos funcionários. O GDPR tem um escopo semelhante, mas os estados membros têm disposições específicas de emprego variadas. A privacidade dos funcionários na Califórnia é frequentemente uma trilha de conformidade distinta do GDPR de funcionários da UE.

Escopo de dados sensíveis: As 19 categorias da CPRA se sobrepõem parcialmente ao Artigo 9 do GDPR, mas incluem categorias (status de imigração, números de contas financeiras, registros criminais) que o GDPR trata de forma diferente.

A Implicação da Conformidade dos Fornecedores de IA

As regulamentações de IA da CPRA para 2025 criam requisitos específicos para organizações que usam ferramentas de IA que processam dados de consumidores da Califórnia:

Requisitos contratuais para fornecedores: Prestadores de serviços (fornecedores que processam dados em nome da empresa) devem se comprometer contratualmente a: usar os dados apenas para o propósito divulgado, excluir dados quando o serviço terminar, permitir que os pedidos de direitos dos consumidores fluam e implementar medidas de segurança adequadas.

Divulgação de tomada de decisão automatizada: Se sua ferramenta de IA toma ou contribui significativamente para decisões sobre consumidores da Califórnia — pontuação de crédito, sinalização de fraudes, moderação de conteúdo, triagem de emprego — os consumidores devem ser notificados e fornecidos com um opt-out significativo.

Proveniência dos dados de treinamento: Se dados de consumidores da Califórnia foram usados para treinar um modelo de IA, os requisitos de limitação de propósito da CPRA significam que as saídas do modelo de IA não podem ser usadas para fins incompatíveis com o propósito original de coleta.

Para organizações que gerenciam dados de consumidores da Califórnia em sistemas de IA: a minimização de dados antes do processamento de IA — removendo PII antes que os dados entrem em pipelines de treinamento de IA ou ferramentas de análise de IA — é a maneira mais direta de satisfazer os requisitos de tomada de decisão automatizada da CPPA enquanto reduz a exposição de informações pessoais sensíveis.

Fontes:

• CPPA: Agência de Proteção de Privacidade da Califórnia
• CPRA: texto completo da Lei de Direitos de Privacidade da Califórnia
• CPPA: Regulamentações de Tomada de Decisão Automatizada de IA 2025