Compreendendo o quadro de privacidade da Califórnia

A Califórnia lidera os Estados Unidos em legislação de privacidade do consumidor, e suas leis afetam sites em todo o mundo. A California Consumer Privacy Act (CCPA), significativamente alterada pela California Privacy Rights Act (CPRA), em vigor desde janeiro de 2023, cria obrigações para qualquer empresa que recolha informações pessoais de residentes da Califórnia — independentemente de onde essa empresa esteja fisicamente localizada.

Para proprietários de sites, as implicações práticas concentram-se em cookies, tecnologias de rastreamento e em como os dados dos utilizadores são partilhados com terceiros. Embora o modelo da Califórnia seja fundamentalmente diferente do da GDPR europeia, ele ainda exige atenção cuidadosa aos mecanismos de consentimento e aos direitos dos utilizadores.

CCPA/CPRA: quem está abrangido?

A lei aplica-se a empresas com fins lucrativos que cumpram qualquer um dos seguintes limiares:

• Receita bruta anual superior a 25 milhões de dólares.
• Compra, venda ou partilha de informações pessoais de 100.000 ou mais residentes, agregados familiares ou dispositivos da Califórnia por ano.
• Obtenção de 50 por cento ou mais da receita anual com a venda ou partilha de informações pessoais de residentes da Califórnia.

O segundo limiar é particularmente importante para sites com publicidade. Se o seu site utiliza cookies de terceiros para publicidade direcionada e recebe tráfego significativo da Califórnia, é provável que esteja a processar os dados de bem mais de 100.000 utilizadores da Califórnia por ano apenas através desses cookies.

Opt-out vs opt-in: a diferença fundamental em relação à GDPR

Esta é a distinção mais crítica para operadores de sites. Ao abrigo da GDPR, o padrão é o opt-in: você não pode definir cookies não essenciais até que o utilizador dê consentimento ativo. Sob o CCPA/CPRA, o padrão é o opt-out: você pode processar informações pessoais (incluindo através de cookies) até que o utilizador lhe diga para parar.

Isto significa que a experiência de consentimento para visitantes da Califórnia é fundamentalmente diferente:

• Abordagem GDPR: Bloquear todos os cookies não essenciais. Exibir um banner. Aguardar consentimento afirmativo. Só então definir cookies.
• Abordagem CCPA/CPRA: Os cookies podem ser definidos por padrão. Fornecer um link claro e visível "Do Not Sell or Share My Personal Information". Quando um utilizador exerce esse direito, parar de partilhar os seus dados com terceiros.

No entanto, existem exceções importantes. Para menores de 16 anos, o CCPA/CPRA passa para um modelo de opt-in — é necessário obter consentimento afirmativo antes de vender ou partilhar as suas informações pessoais. Para crianças com menos de 13 anos, um dos pais ou tutor deve fornecer esse consentimento.

O requisito de "Do Not Sell or Share"

O CPRA ampliou o direito original de "Do Not Sell" do CCPA para incluir "sharing" — que visa especificamente o tipo de troca de dados que ocorre através de cookies de publicidade de terceiros. Quando um utilizador visita o seu site e os seus cookies enviam os dados de navegação para redes de publicidade, isso constitui sharing ao abrigo do CPRA, mesmo que nenhum dinheiro mude de mãos diretamente.

As suas obrigações incluem:

• Um link claro intitulado "Do Not Sell or Share My Personal Information" na sua página inicial e na sua política de privacidade.
• Um mecanismo para que os utilizadores exerçam esse direito facilmente, sem necessidade de criação de conta.
• Honrar o pedido no prazo de 15 dias úteis.
• Não discriminar utilizadores que exerçam esse direito (por exemplo, degradando a sua experiência).

Global Privacy Control (GPC)

O Global Privacy Control é um sinal ao nível do navegador que os utilizadores podem ativar para comunicar automaticamente a sua preferência de opt-out a todos os sites que visitam. Principais navegadores, incluindo Firefox e Brave, suportam o GPC nativamente, e extensões de navegador adicionam suporte ao Chrome e a outros.

Nos termos dos regulamentos do CPRA, as empresas devem honrar os sinais GPC como um pedido de opt-out válido. Isto tem implicações práticas significativas:

• O seu site deve ser capaz de detetar o cabeçalho HTTP Sec-GPC: 1 ou a propriedade JavaScript navigator.globalPrivacyControl.
• Quando detetado, você deve tratá-lo como equivalente ao clique do utilizador em "Do Not Sell or Share".
• Os cookies de terceiros utilizados para publicidade devem ser suprimidos para esses utilizadores.

A adoção do GPC está a crescer de forma constante. Estimativas sugerem que entre 5 e 10 por cento do tráfego web já transporta um sinal GPC, e essa percentagem é mais elevada entre utilizadores preocupados com a privacidade na Califórnia.

Quando é que você realmente precisa de um banner de cookies para a Califórnia?

É aqui que muitas empresas se confundem. Rigorosamente falando, o CCPA/CPRA não exige um banner de consentimento de cookies ao estilo europeu devido ao modelo de opt-out. No entanto, você precisa de:

• Um link "Do Not Sell or Share" facilmente acessível.
• Um mecanismo para suprimir a partilha de dados com terceiros quando um utilizador faz opt-out ou envia um sinal GPC.
• Uma política de privacidade que divulgue as categorias de informações pessoais recolhidas, as finalidades e os terceiros com quem os dados são partilhados.
• Para sites que também atendem visitantes europeus, um banner de consentimento compatível com a GDPR que possa coexistir com o mecanismo de opt-out do CCPA.

Na prática, a maioria dos sites que atendem públicos europeus e da Califórnia implementa uma interface de consentimento unificada que adapta o seu comportamento com base na localização do visitante. Isto evita a necessidade de manter dois sistemas de consentimento completamente separados.

Considerações práticas de implementação

Implementar conformidade com CCPA/CPRA juntamente com conformidade com GDPR cria um desafio de modo duplo. A sua plataforma de gestão de consentimento precisa de:

1. Detetar a localização do visitante com precisão usando geolocalização baseada em IP.
2. Aplicar o quadro jurídico correto — opt-in para visitantes do EEE/Reino Unido, opt-out para visitantes da Califórnia e, potencialmente, nenhuma exigência para visitantes de outras regiões.
3. Gerir o link "Do Not Sell or Share" para visitantes da Califórnia, seja dentro do banner ou como um elemento autónomo na página.
4. Detetar e honrar sinais GPC antes de qualquer cookie de terceiros ser definido.
5. Controlar o comportamento dos cookies em conformidade — bloqueando cookies de publicidade de terceiros para utilizadores que fizeram opt-out, enquanto permite que a análise de primeira parte continue.

A implementação técnica também deve ter em conta a distinção entre cookies de análise de primeira parte (geralmente permitidos ao abrigo do CCPA/CPRA como finalidade empresarial) e cookies de publicidade de terceiros (que constituem sharing e estão sujeitos a opt-out).

Geo-targeting da FlexyConsent para visitantes da Califórnia

A FlexyConsent lida com o desafio de modo duplo através de geo-targeting automático. Quando um visitante da Califórnia chega ao seu site, a FlexyConsent ajusta o seu comportamento para corresponder aos requisitos do CCPA/CPRA:

• Ativação do modo opt-out: Em vez de bloquear todos os cookies à partida, a FlexyConsent exibe de forma proeminente a opção exigida "Do Not Sell or Share My Personal Information".
• Deteção de sinal GPC: A FlexyConsent verifica automaticamente o sinal Global Privacy Control e, quando presente, suprime a partilha de dados com terceiros sem exigir qualquer interação do utilizador.
• Bloqueio sensível à categoria: Quando um utilizador da Califórnia faz opt-out, a FlexyConsent bloqueia seletivamente cookies de publicidade e de rastreamento entre sites, preservando a funcionalidade de análise de primeira parte que se enquadra na isenção de finalidade empresarial.
• Coexistência perfeita com a GDPR: A mesma instalação da FlexyConsent lida com ambos os quadros. Visitantes europeus veem um banner de opt-in compatível com a GDPR com controlos granulares por categoria. Visitantes da Califórnia veem o mecanismo de opt-out apropriado. Visitantes de regiões não reguladas recebem um aviso mínimo ou nenhum banner, dependendo da sua configuração.

Como CMP certificado pela Google com suporte a IAB TCF 2.3 e Consent Mode V2, a FlexyConsent garante que os sinais de consentimento são comunicados corretamente aos serviços da Google, independentemente de qual quadro jurídico se aplica. Isto significa que as suas configurações de Google Analytics e Google Ads funcionam corretamente tanto para utilizadores europeus que deram opt-in como para utilizadores da Califórnia que não fizeram opt-out.

Ponto-chave: O modelo de opt-out da Califórnia pode parecer menos restritivo do que a abordagem de opt-in da GDPR, mas os requisitos práticos — particularmente em torno de sinais GPC e da definição ampla de "sharing" — significam que a maioria dos sites suportados por publicidade precisa de uma solução sofisticada de gestão de consentimento. Implementar consentimento com geo-targeting que se adapta a ambos os quadros é muito mais fiável do que tentar aplicar uma abordagem única a nível global.