GDPR vs CCPA: O duelo de titãs da privacidade que sua empresa precisa entender (antes que os dados voem)

Qual é a diferença entre GDPR e CCPA?

O GDPR (Regulamento Geral de Proteção de Dados) é a lei de privacidade da União Europeia, em vigor desde maio de 2018, que protege dados pessoais de cidadãos europeus. O CCPA (California Consumer Privacy Act) é a lei californiana, em vigor desde janeiro de 2020, que dá aos residentes da Califórnia controle sobre suas informações pessoais. Ambos exigem transparência e direitos do titular, mas diferem em escopo, penalidades e definições.

O que é GDPR? (O professor suíço)

Imagine um professor rígido, de óculos e régua na mão, que exige que você explique cada dado que coleta. O GDPR é assim: define dados pessoais de forma ampla, exige consentimento explícito para processamento, e multa até 4% do faturamento global anual ou €20 milhões (o que for maior). Ele se aplica a qualquer empresa que processe dados de residentes da UE, independentemente de onde a empresa está.

O que é CCPA? (O segurança de Hollywood)

Agora pense em um segurança de boate em Los Angeles, de óculos escuros, que só pergunta: 'Você está na lista?'. O CCPA é mais focado em direitos do consumidor: saber quais dados são coletados, solicitar exclusão e opt-out da venda de dados. Multas de até $7.500 por violação intencional, mas apenas para empresas que atendem a certos critérios de receita ou volume de dados.

Comparação das leis de proteção de dados: O ringue

Escopo e aplicação

O GDPR é extraterritorial: qualquer empresa no mundo que processe dados de europeus está sujeita. O CCPA se aplica a empresas com sede na Califórnia ou que fazem negócios lá, desde que tenham receita bruta anual >$25 milhões, ou processem dados de >50.000 consumidores, ou obtenham >50% da receita com venda de dados pessoais.

Direitos dos titulares

Ambos dão direito de acesso, exclusão e portabilidade. Mas o GDPR adiciona o direito à retificação e à limitação do processamento. O CCPA foca no direito de opt-out da venda de dados (e, com a CPRA, emenda de 2020, também em correção e limitação de uso de dados sensíveis).

Consentimento vs. Opt-out

O GDPR exige consentimento explícito (opt-in) para a maioria dos processamentos. O CCPA opera com opt-out: você pode vender dados a menos que o consumidor diga 'não'. É como diferença entre 'pedir permissão' e 'pedir desculpas'.

Penalidades

GDPR: até €20 milhões ou 4% do faturamento global anual. CCPA: $2.500 por violação não intencional, $7.500 por intencional. Mas o CCPA também permite ações civis individuais em caso de vazamento de dados.

Como comparar GDPR e CCPA na prática?

Se você opera globalmente, precisa cumprir ambos. Mapeie seus dados, atualize políticas de privacidade, implemente mecanismos de consentimento e opt-out, e treine sua equipe. Para mais detalhes, consulte o texto oficial do GDPR e o site do Procurador-Geral da Califórnia.

Conclusão (sem clichês)

GDPR e CCPA são como dois idiomas diferentes: você precisa falar ambos para não ser mal interpretado. Invista em conformidade, ou prepare-se para multas que vão doer no bolso. E lembre-se: dados são o novo petróleo, mas vazar petróleo é caro.