CCPA e CPRA: O que as leis de privacidade da Califórnia significam para equipes de TI e MSPs

A Lei de Privacidade do Consumidor da Califórnia (CCPA), ampliada significativamente pela Lei de Direitos de Privacidade da Califórnia (CPRA), representa a legislação estadual mais abrangente dos Estados Unidos em matéria de privacidade até o momento. Frequentemente descrita como o “GDPR americano”, a estrutura de privacidade da Califórnia moldou a legislação de privacidade em todo o país e é agora utilizada como referência de conformidade por organizações que administram obrigações de privacidade em âmbito nacional.

De acordo com o Relatório Kaseya sobre a Situação dos MSPs em 2026, a conformidade regulatória e a prestação de contas estão entre as dez principais necessidades de serviço dos clientes de MSPs em 2026. A CPRA da Califórnia é um dos componentes mais rigorosamente analisados em qualquer programa de conformidade dos EUA. A plataforma da Kaseya auxilia os MSPs na gestão da conformidade em mais de 170 países, o que nos permite observar de perto onde as obrigações da CPRA geram mais atritos operacionais.

CCPA e CPRA: qual é a diferença?

A CCPA, promulgada em 2018 e em vigor desde janeiro de 2020, estabeleceu direitos fundamentais de privacidade do consumidor para os residentes da Califórnia. A CPRA, aprovada pelos eleitores em 2020 e com vigência total a partir de janeiro de 2023, ampliou significativamente esses direitos e criou uma agência específica para a fiscalização, a Agência de Proteção à Privacidade da Califórnia (CPPA).

Principais novidades da CPRA em relação à CCPA:

• Uma nova categoria de informações pessoais sensíveis (SPI) com proteções reforçadas, incluindo geolocalização precisa, origem racial ou étnica, dados de saúde, detalhes de contas financeiras, dados biométricos e conteúdo de comunicações.
• Novos direitos do consumidor: direito de corrigir informações pessoais incorretas; direito de limitar o uso e a divulgação de informações pessoais confidenciais.
• Requisitos reforçados de minimização de dados e limitação da finalidade.
• Órgão específico de fiscalização (CPPA) que atua em conjunto com o Procurador-Geral da Califórnia.

Para fins de conformidade, a CPRA substitui a CCPA. As organizações devem adotar as normas da CPRA, e não a linha de base original de 2020.

Quem deve cumprir

A CPRA se aplica a empresas com fins lucrativos que coletam informações pessoais de residentes da Califórnia e atendem a um ou mais dos seguintes critérios:

• A receita bruta anual ultrapassa US$ 25 milhões
• Comprar, vender, receber ou compartilhar anualmente, para fins comerciais, os dados pessoais de 100.000 ou mais consumidores ou famílias
• Obter 50% ou mais de sua receita anual com a venda ou o compartilhamento de informações pessoais dos consumidores

As organizações sem fins lucrativos geralmente estão isentas. Para empresas de tecnologia, incluindo provedores de SaaS, serviços em nuvem e MSPs com ampla base de clientes, o limite de 100.000 consumidores/famílias é o critério mais comumente acionado. A jurisdição é extraterritorial: uma empresa sediada em Nova York ou Londres que processe informações pessoais de 100.000 residentes da Califórnia deve cumprir a lei, independentemente de onde atue.

Vale ressaltar que a CCPA se aplica a contextos de emprego e B2B nos termos dos regulamentos de 2026. Os dados de funcionários, prestadores de serviços, candidatos a vagas de emprego e contatos comerciais estão sujeitos a avaliações de risco e outras obrigações. Essa é uma diferença significativa em relação a muitas outras leis estaduais de privacidade dos Estados Unidos.

Os direitos do consumidor e o que eles significam para os sistemas de TI

A CPRA concede aos consumidores da Califórnia vários direitos que estabelecem requisitos específicos para os sistemas de TI.

Direito à informação. Os consumidores podem solicitar a divulgação das informações pessoais que são coletadas, utilizadas, divulgadas ou vendidas. Os sistemas de TI devem ser capazes de gerar um panorama completo das informações pessoais existentes sobre um indivíduo específico. Isso requer um inventário de dados e capacidade de pesquisa em todos os sistemas, e não apenas no CRM ou ERP principal.

Direito à exclusão. Os consumidores podem solicitar a exclusão de seus dados pessoais. Os sistemas de TI devem localizar e excluir esses dados em todos os sistemas, incluindo backups e processadores terceirizados. Sem um programa estruturado de gestão de dados, isso se torna operacionalmente complexo. Um MSP de médio porte que gerencia dados em 30 ambientes de clientes, cada um com seu próprio sistema de tickets, plataforma de documentação e arquivo de backup, enfrenta um desafio operacional significativo sem ferramentas que mapeiem e controlem os fluxos de dados.

Direito à correção. Os consumidores podem solicitar a correção de informações pessoais incorretas. Os sistemas devem permitir a correção de registros em todos os bancos de dados relevantes, e não apenas na interface do usuário.

Direito de recusar a venda/compartilhamento. Os consumidores podem recusar a venda ou o compartilhamento de suas informações pessoais. Os sistemas devem respeitar as marcações de recusa em todos os fluxos de trabalho de processamento e compartilhamento de dados. Os pixels de marketing e as ferramentas de retargeting que compartilham dados com plataformas de publicidade são considerados “compartilhamento” nos termos da CPRA, mesmo sem pagamento direto.

Direito de limitar o uso de informações pessoais sensíveis. Os consumidores podem restringir a forma como as empresas utilizam essas informações. Os controles técnicos devem garantir o cumprimento dessas limitações no nível do sistema, e não apenas por meio de documentação de políticas.

Para responder às solicitações relacionadas aos direitos do consumidor dentro do prazo de 45 dias, são necessários três elementos: inventário de dados (saber onde as informações pessoais estão armazenadas), capacidade de pesquisa (localizar os dados de um indivíduo específico em todos os sistemas) e capacidade de exclusão/correção em todos os processadores.

Os requisitos de TI e segurança

A CPRA exige que as empresas implementem procedimentos e práticas de segurança razoáveis, adequados à natureza e à sensibilidade das informações pessoais. O Procurador-Geral da Califórnia indicou que a conformidade com o Controle IG1 do CIS representa uma interpretação razoável do padrão mínimo de “segurança razoável”.

Mais especificamente, a CPRA exige o seguinte.

Minimização de dados. Colete e conserve apenas o que for necessário para a finalidade declarada. Configure os sistemas para coletar o mínimo de dados pessoais exigido. Isso se aplica a campos de formulários, retenção de registros, ferramentas de análise e qualquer integração que transmita dados pessoais entre sistemas.

Limites de retenção. Retenha informações pessoais apenas pelo tempo razoavelmente necessário para a finalidade pretendida. A aplicação automatizada dos prazos de retenção (calendários de exclusão) é um requisito operacional, não apenas uma declaração de política. As organizações precisam de um calendário de retenção que identifique a categoria de dados, o sistema, o responsável, o prazo de retenção e o método de exclusão.

Avaliações de risco. Para atividades de tratamento que representem um risco significativo à privacidade do consumidor (tomada de decisão automatizada, criação de perfis em grande escala, compartilhamento de dados sensíveis), é necessária uma avaliação de risco documentada. De acordo com a regulamentação de 2026, novas atividades de tratamento iniciadas após 1º de janeiro de 2026 exigem uma avaliação de risco antes do início da atividade.

Auditorias de segurança cibernética. As empresas que representam um risco significativo à privacidade dos consumidores podem ser obrigadas a realizar auditorias anuais de segurança cibernética. Os prazos para envio à CPPA são escalonados de acordo com a receita: 1º de abril de 2028 para empresas com receita superior a US$ 100 milhões, 1º de abril de 2029 para empresas com receita entre US$ 50 milhões e US$ 100 milhões e 1º de abril de 2030 para empresas com receita inferior a US$ 50 milhões. Iniciar agora o processo de preparação para a auditoria é a abordagem correta, independentemente do prazo de envio.

O que mudou em 2026

A CPPA finalizou um importante pacote de alterações regulatórias em setembro de 2025, com vigência a partir de 1º de janeiro de 2026. Essas alterações representam a expansão mais significativa das obrigações de privacidade na Califórnia desde que a própria CPRA entrou em vigor.

Tecnologia de Tomada de Decisão Automatizada (ADMT). As empresas que utilizam sistemas automatizados para tomar decisões importantes sobre os consumidores (aprovação de crédito, seleção de pessoal, elegibilidade para serviços de saúde, cálculo de prêmios de seguro) devem fornecer um aviso prévio explicando como a tecnologia funciona, quais dados ela utiliza e seu impacto potencial sobre os consumidores. Os consumidores têm o direito de recusar o uso dessa tecnologia. Os avisos prévios relativos à ADMT devem ser implementados até 1º de janeiro de 2027 pela maioria das empresas.

Avaliações de risco obrigatórias. As novas atividades de tratamento iniciadas a partir de 1º de janeiro de 2026 exigem uma avaliação de risco documentada antes do seu início. No caso das atividades de tratamento já em vigor antes dessa data, as avaliações devem ser concluídas até 31 de dezembro de 2027.

Tratamento do Controle Global de Privacidade (GPC). Várias ações de fiscalização da CPPA têm visado empresas que não respeitaram os sinais do GPC nos navegadores, os quais funcionam como uma recusa automática à venda ou ao compartilhamento de dados. A configuração dos sistemas para respeitar os sinais do GPC é agora um requisito básico de conformidade, e não mais opcional.

Notificação de violação em 30 dias. A exigência de notificação de violação da Califórnia foi reduzida para 30 dias, com vigência a partir de 1º de janeiro de 2026.

Obrigações dos prestadores de serviços para MSPs

Nos termos da CPRA, um MSP que preste serviços a uma empresa abrangida pela CPRA é considerado um prestador de serviços, o equivalente a um subcontratado no âmbito do RGPD. As principais obrigações são:

• Trate os dados pessoais exclusivamente com o objetivo de prestar os serviços contratados.
• Não venda nem compartilhe informações pessoais recebidas da empresa cliente.
• Excluir ou devolver as informações pessoais ao término do contrato.
• Implemente medidas de segurança adequadas.
• Celebrar um contrato de prestação de serviços por escrito que especifique as obrigações previstas na CPRA.

Isso significa que todo MSP que atenda clientes abrangidos pela CPRA precisa de um adendo de proteção de dados com cláusulas adequadas da CPRA. Significa também que o MSP deve ser capaz de comprovar que seu próprio programa de segurança está implementado e documentado, pois um cliente que enfrente uma investigação regulatória solicitará evidências da postura de segurança do MSP, e não apenas um documento de política.

Descubra como Compliance Manager GRC na gestão da conformidade com a CCPA/CPRA

Aplicação da lei e sanções

Tanto o Procurador-Geral da Califórnia quanto a CPPA podem fazer cumprir a CPRA. Multas por violação para o período de 2025-2026, ajustadas pela inflação:

• Infrações não intencionais: US$ 2.663 por infração
• Infrações intencionais: US$ 7.988 por infração
• Violações envolvendo dados de menores: US$ 7.988 por violação

Cada consumidor afetado conta como uma violação separada, e é assim que as penalidades aumentam rapidamente. A maior multa aplicada pela CPPA até o momento foi de US$ 1,35 milhão, imposta à Tractor Supply em outubro de 2025, depois que o link “Não venda minhas informações pessoais” não conseguiu, na prática, impedir o compartilhamento de dados. No primeiro trimestre de 2026, foram tomadas medidas coercitivas contra a Disney, a Ford, a Honda e outras empresas, totalizando vários milhões de dólares em multas e ordens de correção obrigatórias.

Os consumidores individuais também têm o direito de entrar com uma ação judicial por violações de segurança decorrentes da falta de implementação de medidas de segurança razoáveis: de US$ 100 a US$ 750 por consumidor por incidente, ou o valor dos danos reais, se este for superior. Isso gera um risco significativo de ações coletivas para qualquer organização que sofra uma violação enquanto opera abaixo de um padrão de segurança defensável.

A CPPA declarou que pode investigar condutas que remontem a 1º de janeiro de 2020, data de entrada em vigor da lei. A postura de fiscalização está se intensificando, e não se moderando.

Como Compliance Manager GRC os programas da CPRA

Compliance Manager GRC os fluxos de trabalho de coleta, avaliação e documentação de evidências exigidos pela conformidade com a CPRA. Para MSPs que gerenciam a conformidade de vários clientes, ele substitui o acompanhamento manual baseado em planilhas por uma plataforma que monitora continuamente o status dos controles, encaminha as tarefas de avaliação aos responsáveis certos e gera documentação de conformidade pronta para análise regulatória ou pelos clientes.

As estruturas compatíveis incluem HIPAA, CMMC, PCI DSS, NIST CSF, CIS Controls e a Regra de Proteção da FTC, além de estruturas específicas da Califórnia e personalizadas. IT Glue envia automaticamente os relatórios de conformidade para a documentação de cada cliente, mantendo tudo atualizado sem a necessidade de ciclos manuais de exportação e upload.

Conheça Compliance Manager GRC