emailr_
Todos os artigos
explainer·8 min

Guia de conformidade de e-mail com a CCPA

complianceccpalegal

Resumo

A CCPA dá aos residentes da Califórnia direitos sobre seus dados pessoais, incluindo endereços de e-mail. Você deve divulgar quais dados coleta, permitir opt-out de venda de dados e excluir dados mediante solicitação. A não conformidade pode resultar em multas significativas.

Quando a CCPA entrou em vigor em 2020, uma empresa de e-commerce de médio porte descobriu que não tinha ideia de onde todos os endereços de e-mail de seus clientes estavam. O Marketing tinha uma lista. Vendas tinha outra. Atendimento ao cliente tinha mais uma. O data warehouse tinha cópias de tudo. Responder a um único pedido de exclusão significava coordenar sete sistemas diferentes.

Conformidade com a CCPA não é só adicionar um link para a política de privacidade. Exige entender onde os dados pessoais vivem na sua organização e construir processos para honrar os direitos do consumidor. Para profissionais de e-mail marketing, isso significa repensar como você coleta, armazena e usa endereços de e-mail.

O que a CCPA exige

A California Consumer Privacy Act concede aos residentes da Califórnia direitos específicos sobre seus dados pessoais.

O direito de saber significa que os consumidores podem solicitar quais informações pessoais você coletou sobre eles, de onde vieram, para que você as utiliza e com quem foram compartilhadas. Para e-mail, isso inclui o endereço de e-mail, histórico de engajamento e quaisquer dados derivados da atividade de e-mail.

O direito de excluir significa que os consumidores podem solicitar que você exclua suas informações pessoais. Com algumas exceções, você deve cumprir. Isso vai além de cancelar a inscrição — significa remover os dados deles dos seus sistemas por completo.

O direito de opt-out de venda significa que os consumidores podem dizer para você não vender suas informações pessoais. Se você compartilha listas de e-mail com parceiros ou vende dados para terceiros, os consumidores podem impedir isso.

O direito à não discriminação significa que você não pode penalizar os consumidores por exercerem seus direitos. Você não pode cobrar mais nem prestar um serviço pior porque alguém optou pelo opt-out de venda de dados.

Esses direitos se aplicam aos residentes da Califórnia independentemente de onde sua empresa esteja localizada. Se você tem clientes na Califórnia, a CCPA provavelmente se aplica a você.

Para quem a CCPA se aplica

A CCPA se aplica a empresas com fins lucrativos que coletam informações pessoais de residentes da Califórnia E atendem a qualquer um destes critérios:

Receita bruta anual acima de $25 milhões. A maioria das empresas de médio porte e maiores se enquadra.

Comprar, vender ou compartilhar informações pessoais de 100.000 ou mais residentes, domicílios ou dispositivos da Califórnia por ano. Muitas listas de e-mail excedem esse limite.

Obter 50% ou mais da receita anual vendendo informações pessoais de residentes da Califórnia. Corretores de dados e algumas empresas de marketing se enquadram aqui.

Se você não cumpre esses limites, a CCPA não se aplica a você — mas outras leis de privacidade podem, e seguir os princípios da CCPA é boa prática de qualquer forma.

Requisitos de conformidade específicos para e-mail

Para e-mail marketing, a conformidade com a CCPA envolve várias considerações específicas.

Divulgação na coleta: Quando você coleta endereços de e-mail, deve informar aos consumidores quais categorias de informações pessoais está coletando e como você as usará. Seus formulários de inscrição precisam de divulgações de privacidade claras.

Requisitos de política de privacidade: Sua política de privacidade deve descrever as categorias de informações pessoais coletadas, os propósitos da coleta, os direitos do consumidor sob a CCPA e como enviar solicitações. Deve ser atualizada pelo menos anualmente.

Inventário de dados: Você precisa saber onde os endereços de e-mail e dados relacionados estão armazenados em toda a sua organização. CRM, plataforma de e-mail, ferramentas de analytics, data warehouse, backups — tudo isso. Você não consegue cumprir pedidos de exclusão se não sabe onde os dados vivem.

Tratamento de solicitações: Você deve fornecer pelo menos dois métodos para os consumidores enviarem solicitações (normalmente formulário na web e número gratuito). Deve verificar a identidade de quem solicita. Deve responder em até 45 dias (prorrogáveis para 90 em alguns casos).

Acordos com provedores de serviço: Se você usa provedores de serviços de e-mail, precisa de contratos especificando que são provedores de serviço sob a CCPA e restringindo como podem usar os dados.

Como lidar com pedidos de exclusão

Pedidos de exclusão requerem tratamento cuidadoso para garantir conformidade.

Verifique a identidade antes de excluir. Você precisa de verificação razoável de que quem solicita é quem diz ser. Para solicitações relacionadas a e-mail, isso pode envolver enviar uma confirmação para o endereço de e-mail em questão.

Exclua de todos os sistemas. Cancelar a inscrição não basta. Você deve excluir o endereço de e-mail e os dados associados da sua plataforma de e-mail, CRM, analytics, data warehouse e de qualquer outro lugar onde existam. Documente o que foi excluído.

Existem exceções. Você pode reter dados necessários para concluir transações, detectar incidentes de segurança, cumprir obrigações legais ou para certos usos internos. Mas essas exceções são estreitas — em caso de dúvida, exclua.

Notifique os provedores de serviço. Se você compartilhou os dados com provedores de serviço, deve instruí-los a excluí-los também. Seus contratos devem exigir que cumpram.

Responda por escrito. Confirme ao consumidor quais ações você tomou. Mantenha registros de solicitações e respostas para documentação de conformidade.

Requisitos de opt-out de venda

Se você “vende” informações pessoais, requisitos adicionais se aplicam.

“Venda” é definida de forma ampla pela CCPA. Inclui compartilhar dados por compensação monetária, mas também compartilhar por outra consideração valiosa. Se você compartilha listas de e-mail com parceiros que fornecem algo em troca (mesmo não monetário), isso pode ser uma venda.

Link Não Venda Minhas Informações Pessoais: Se você vende informações pessoais, seu site deve ter um link claro “Não Venda Minhas Informações Pessoais”. Isso deve ser fácil de encontrar e usar.

Honrar opt-outs: Quando alguém opta por não vender, você deve parar de vender suas informações. Isso pode significar removê-la de listas compartilhadas, interromper fluxos de dados para parceiros ou excluí-la de programas de monetização de dados.

Muitos profissionais de e-mail marketing não vendem dados no sentido da CCPA. Se você usa endereços de e-mail apenas para seu próprio marketing e os compartilha apenas com provedores de serviço que atuam em seu nome, provavelmente você não está vendendo. Mas revise seus fluxos de dados com cuidado.

Passos práticos de implementação

Incorporar a conformidade com a CCPA no seu programa de e-mail exige esforço sistemático.

Audite seus fluxos de dados. Mapeie de onde vêm os endereços de e-mail, onde são armazenados, quem tem acesso e para onde vão. Esse inventário é essencial para responder a solicitações e identificar vendas.

Atualize pontos de coleta. Garanta que formulários de inscrição, fluxos de checkout e outros pontos de coleta incluam as divulgações exigidas. Vincule à sua política de privacidade. Seja claro sobre como você usará os dados.

Atualize sua política de privacidade. Inclua todas as divulgações exigidas pela CCPA. Descreva os direitos do consumidor e como exercê-los. Revise e atualize anualmente.

Construa processos de tratamento de solicitações. Crie mecanismos de entrada (formulário na web, número de telefone). Estabeleça procedimentos de verificação. Defina fluxos de trabalho para cumprir solicitações em todos os sistemas. Treine a equipe que lida com as solicitações.

Revise contratos com fornecedores. Garanta que provedores de serviços de e-mail e outros fornecedores tenham disposições adequadas da CCPA. Eles devem ser classificados como provedores de serviço com restrições de uso de dados.

Documente tudo. Mantenha registros dos esforços de conformidade, solicitações recebidas e ações tomadas. Essa documentação é sua defesa se surgirem questionamentos.

Penalidades e fiscalização

Violações da CCPA podem ser custosas.

O Procurador-Geral da Califórnia pode impor multas de até $2.500 por violação não intencional e $7.500 por violação intencional. Com milhares de consumidores afetados, as multas acumulam rápido.

Existe direito de ação privada para incidentes de violação de dados. Se uma violação expõe informações pessoais por falha em implementar segurança razoável, os consumidores afetados podem processar por $100-$750 por incidente ou danos reais, o que for maior.

A fiscalização tem sido ativa. O Procurador-Geral tem movido ações contra empresas por políticas de privacidade inadequadas, falha em honrar pedidos de opt-out e outras violações. Isso não é um risco teórico.

As emendas da CPRA (efetivas em 2023) criaram uma agência dedicada à fiscalização e expandiram os requisitos. A conformidade está se tornando mais importante, não menos.

CCPA vs GDPR

Se você já está em conformidade com o GDPR, tem uma vantagem com a CCPA, mas elas não são idênticas.

O GDPR exige consentimento para a maioria dos tratamentos de dados. A CCPA permite o tratamento, mas exige divulgação e direitos de opt-out. Os modelos de consentimento diferem significativamente.

O GDPR se aplica a todos os titulares de dados na UE. A CCPA se aplica apenas a residentes da Califórnia. O escopo geográfico difere.

O GDPR tem direitos individuais mais amplos. Os direitos da CCPA são mais limitados, mas ainda substanciais.

Muitas organizações constroem programas de privacidade unificados que atendem a ambos, optando pelo requisito mais rigoroso em cada área. Isso costuma ser mais prático do que manter programas de conformidade separados.

Frequently asked questions

A CCPA se aplica se eu não estou baseado na Califórnia?

Sim, se você faz negócios na Califórnia e atende aos critérios. A CCPA se aplica com base de onde estão seus clientes, não onde você está localizado.

Cancelar a inscrição é o mesmo que um pedido de exclusão?

Não. Cancelar a inscrição interrompe e-mails futuros, mas não exclui dados existentes. Um pedido de exclusão pela CCPA exige remover os dados do consumidor dos seus sistemas, não apenas interromper a comunicação.

Preciso excluir cópias de backup?

Em geral, sim, embora haja alguma flexibilidade para sistemas arquivados ou de backup se a exclusão for tecnicamente difícil. Você deve excluir dos sistemas ativos e ter um processo para exclusão ou expiração de backups.

E se eu não conseguir verificar a identidade de quem solicitou?

Você pode negar solicitações que não consegue verificar. Mas seu processo de verificação deve ser razoável — você não pode torná-lo tão difícil que pedidos legítimos fiquem efetivamente bloqueados.

e_

Escrito pela equipe emailr

Construindo infraestrutura de email para desenvolvedores

Continue lendo

explainer

O que faz os e-mails irem para o spam?

10 minexplainer

O que é SPF? Guia completo para desenvolvedores

8 minexplainer

O que é spoofing de email e como preveni-lo

8 min

Pronto para começar a enviar?

Obtenha sua chave API e envie seu primeiro email em menos de 5 minutos. Não é necessário cartão de crédito.

Começar gratuitamenteFalar com vendas