Caso Sephora: a proteção de dados na California e suas diferenças em relação às legislações brasileiras e europeia

A Procuradoria Geral da Califórnia instaurou investigação para verificar se empresas varejistas online estavam em conformidade com a California Consumers Protection Act 2018 (CCPA). O CCPA é o regulamento de proteção de dados mais abrangente da Califórnia e a primeira lei de privacidade dos Estados Unidos.

Identificadas irregularidades, a Procuradoria enviou mais de 100 notificações para que as empresas corrigissem as supostas violações antes da aplicação de penalidades, no prazo de 30 dias.

O procurador-geral Rob Bonta afirmou que, após as notificações, a “grande maioria” das empresas mudou suas práticas para cumprir a CCPA.

A Sephora, que pertence à gigante francesa de artigos de luxo LVMH Moët Hennessy Louis Vuitton SE, não se adequou dentro do período estabelecido, por isso se comprometeu a cumprir medidas corretivas, além de pagar uma multa de US$ 1,2 milhão. O acordo foi celebrado no dia 24 de agosto deste ano.

As irregularidades verificadas foram a não divulgação aos consumidores da venda de suas informações pessoais e o não processamento de solicitações de usuários para recusa dessa venda por meio de controles de privacidade.

O CCPA é de 2018, mas sua vigência teve início em 1º de maio de 2020, e visa resguardar consumidores, famílias e domicílios no estado da California, sendo aplicada a todos que fazem negócios na região. Ele difere da LGPD (Lei 13.709/2018 – válida em todo o território brasileiro e do GPDR (Regulamento Geral sobre a Proteção de Dados (RGPD) (UE) 2016/679 – válido em toda a União Europeia). Enquanto a LGPD e o GDPR se aplicam a todo tratamento de dados pessoais, com exceção do uso particular, o CCPA é aplicado apenas a empresas com receita bruta anual superior a 25 milhões de dólares, que recebam dados de mais de 50 mil consumidores, famílias ou dispositivos e que obtenham mais de 50% da renda através da venda de informações pessoais.

O CCPA também não prevê a criação de uma autoridade de proteção de dados, como a LGPD e o GDPR. No regulamento norte-americano, o Procurador-Geral do Estado da California é quem fiscaliza, instaura processo, confere prazo de 30 dias para atendimento dos requisitos do CCPA e, após, caso não atendido, aplica multas que podem chegar a valores significativos dependendo da quantidade de consumidores afetados.

Gabriella Gaida | Sócia de Di Ciero Advogados – Especialista em Direito do Trabalho, Direito Empresarial e Compliance