Sinais GPC no CCPA/CPRA: O que são e por que você precisa respeitá-los (ou não)

Índice de Conteúdos
O que é o sinal GPC e por que ele está dando o que falar?
Imagine que você entra em um site e, em vez de caçar o botão de "Não vender meus dados" escondido em um menu de 15 opções, seu navegador simplesmente avisa: "Esse usuário não quer ser rastreado". É exatamente isso que o Global Privacy Control (GPC) faz: um sinal enviado pelo navegador ou extensão que informa aos sites que o usuário optou por não ter seus dados vendidos ou compartilhados.
Mas a pergunta que não quer calar: sua empresa precisa respeitar esse sinal? A resposta curta é: depende. Se você está sob a jurisdição do CCPA/CPRA (Califórnia), sim, a partir de 2023, o GPC é considerado uma solicitação válida de opt-out. Mas calma, não é tão automático quanto parece.
O GPC é obrigatório? O que diz a lei?
O CCPA/CPRA estabelece que os consumidores têm o direito de optar pela não venda de seus dados pessoais. E, desde 2023, a lei reconhece explicitamente que sinais como o GPC são uma forma válida de exercer esse direito. Ou seja, se um usuário ativou o GPC no navegador, você deve tratá-lo como se ele tivesse clicado no botão "Não vender" no seu site.
Mas atenção: a lei não exige que você implemente suporte ao GPC se você já oferece um mecanismo de opt-out próprio. No entanto, se você receber o sinal e ignorá-lo, pode estar sujeito a multas e ações de fiscalização. O procurador-geral da Califórnia já deixou claro que vai fiscalizar o cumprimento.
Como implementar o respeito ao GPC sem surtar?
Primeiro, verifique se seu site ou aplicativo coleta dados pessoais e os vende ou compartilha (segundo a definição ampla do CCPA). Se sim, você precisa de um mecanismo para detectar o sinal GPC. Isso pode ser feito via JavaScript (navigator.globalPrivacyControl) ou cabeçalhos HTTP (Sec-GPC).
Depois, ao detectar o sinal, você deve aplicar o opt-out imediatamente, sem exigir que o usuário confirme ou faça login. E lembre-se: o opt-out deve ser persistente, ou seja, não pode ser resetado após 30 dias (a menos que o usuário revogue).
E se eu não respeitar? Quais os riscos?
Ignorar o GPC pode custar caro. O CCPA prevê multas de até $7.500 por violação intencional. E, com a fiscalização ativa, não é um risco que vale a pena correr. Além disso, o GPC está ganhando força globalmente: a União Europeia, através do ePrivacy Regulation, também está de olho.
Mas não se desespere: implementar o suporte ao GPC não é um bicho de sete cabeças. Muitas plataformas de CMP (Consent Management Platform) já oferecem integração nativa. Se você usa uma, provavelmente já está coberto.
FAQ
O GPC substitui o botão de opt-out no meu site?
Não. O GPC é um complemento. Você ainda deve oferecer um mecanismo próprio de opt-out, como um link "Não vender meus dados" no rodapé. O GPC apenas facilita para o usuário que já configurou o sinal no navegador.
Preciso respeitar o GPC mesmo se minha empresa não estiver na Califórnia?
Se você processa dados de residentes da Califórnia e se enquadra no CCPA (faturamento >$25M, ou coleta dados de >50k usuários, ou obtém >50% da receita com venda de dados), sim. Caso contrário, não é obrigatório, mas é uma boa prática de privacidade.
Como sei se meu site está recebendo o sinal GPC?
Você pode testar usando navegadores como Firefox ou Brave com a extensão GPC ativada, ou verificar os logs do servidor para o cabeçalho Sec-GPC. Ferramentas de desenvolvedor também mostram se o sinal está sendo enviado.

Comitê Editorial NakedPact
Artigo criado pela redação da NakedPact. Nossa missão é analisar, simplificar e expor cláusulas abusivas e riscos ocultos em contratos cotidianos para proteger cidadãos e consumidores.
Fontes e Referências Jurídicas

Você é proprietário de um site?
Quer comunicar aos seus utilizadores a sua transparência no tratamento de dados? Utilize dinamicamente o nosso selo e mostre a conformidade da sua plataforma.
Leituras Recomendadas

EDPB lança novas diretrizes: anonimização, web scraping para IA e blockchain – o que muda?

Cláusulas de Exclusividade Ocultas: A Armadilha Contratual que as Startups Devem Evitar

Agevolações IT: O 5% que virou armadilha fiscal para startups russas
🛡️ Proteja seus direitos com um clique
Não corra o risco de assinar cláusulas abusivas. Instale a extensão gratuita do NakedPact para Chrome ou Firefox e analise instantaneamente qualquer contrato na web.
Não confie, verifique.
Agora que conhece os riscos, não assine às cegas. Carregue o seu contrato no NakedPact e deixe a IA encontrar as cláusulas ocultas. É 100% gratuito.
Analise o seu Contrato Agora