TermsBox
PreçosBlog
EntrarComeçar
PreçosBlogEntrar
Começar
  1. Home
  2. Blog
  3. GDPR vs CCPA: As principais diferenças explicadas
Legal Compliance

GDPR vs CCPA: As principais diferenças explicadas

Compare as leis de privacidade GDPR e CCPA. Conheça as principais diferenças em âmbito, modelos de consentimento, direitos dos consumidores e penalidades para garantir que o seu negócio permaneça em conformidade.

TermsBox Team|January 17, 202513 min read

Se recolhe dados pessoais de consumidores, precisa de compreender as duas leis de privacidade mais influentes do mundo: o GDPR e a CCPA. Embora ambas tenham como objetivo proteger a privacidade do consumidor, adotam abordagens diferentes e têm requisitos distintos.

Neste guia completo, vamos comparar o GDPR e a CCPA lado a lado, explicar as principais diferenças e ajudá-lo a determinar quais leis se aplicam ao seu negócio.

O que é o GDPR?

O Regulamento Geral de Proteção de Dados (GDPR) é a lei abrangente de privacidade de dados da União Europeia, que entrou em vigor a 25 de maio de 2018. Aplica-se a qualquer organização que processe dados pessoais de residentes da UE, independentemente de onde a empresa esteja localizada.

O GDPR é considerado o padrão de excelência das leis de privacidade, com requisitos rigorosos de consentimento, transparência e direitos dos utilizadores.

Factos essenciais do GDPR:

  • Jurisdição: União Europeia e Espaço Económico Europeu
  • Data de aplicação: 25 de maio de 2018
  • Modelo de consentimento: Opt-in (consentimento explícito exigido antes do processamento)
  • Multa máxima: Até 20 milhões de euros ou 4% da receita anual global
  • Âmbito: Aplica-se a todas as empresas que processam dados de residentes da UE

O que é a CCPA?

A California Consumer Privacy Act (CCPA) é a lei de privacidade de dados da Califórnia, que entrou em vigor a 1 de janeiro de 2020. Foi reforçada pela California Privacy Rights Act (CPRA) em 2023, que acrescentou novas proteções e criou a California Privacy Protection Agency.

A CCPA é a lei de privacidade mais forte ao nível estadual nos Estados Unidos e inspirou leis semelhantes noutros estados.

Factos essenciais da CCPA:

  • Jurisdição: Califórnia, Estados Unidos
  • Data de aplicação: 1 de janeiro de 2020 (CPRA: 1 de janeiro de 2023)
  • Modelo de consentimento: Opt-out (os consumidores podem recusar a venda de dados)
  • Multa máxima: 7.500 dólares por violação intencional, 2.500 dólares por não intencional
  • Âmbito: Aplica-se a empresas com fins lucrativos que cumprem limiares de receita ou dados

GDPR vs CCPA: Comparação lado a lado

Aspeto GDPR CCPA/CPRA
Âmbito geográfico Residentes da UE/EEE em todo o mundo Residentes da Califórnia
Quem deve cumprir Qualquer empresa que processe dados da UE Empresas que cumprem limiares de receita/dados na Califórnia
Modelo de consentimento Opt-in (consentimento explícito exigido) Opt-out (aviso e direito de recusa)
Definição de dados pessoais Quaisquer dados relativos a uma pessoa identificada ou identificável Informação que identifica, está relacionada ou pode ser associada a uma pessoa ou agregado familiar
Direitos dos utilizadores Acesso, retificação, apagamento, portabilidade, restrição, oposição, decisões automatizadas Saber, eliminar, corrigir, recusar a venda/partilha, limitar o uso de dados sensíveis
Idade de consentimento 16 (ou 13-16 se o Estado-Membro permitir) 13 para direitos de recusa, 16 para venda de dados
Notificação de violação de dados 72 horas à autoridade de supervisão Sem atraso injustificado ao AG da Califórnia e aos consumidores
Penalidades máximas 20 milhões de euros ou 4% da receita global 7.500 dólares por violação intencional, 2.500 dólares por não intencional
Direito de ação privada Não (exceto Reino Unido após o Brexit) Sim, para violações de dados (100 a 750 dólares por consumidor por incidente)
Autoridade reguladora Autoridades de Proteção de Dados em cada país da UE California Privacy Protection Agency (CPPA)
Encarregado de Proteção de Dados Exigido para certas organizações Não exigido
Avaliações de impacto Exigidas para processamento de alto risco Exigidas para processamento de alto risco (CPRA)

Precisa de uma política de privacidade em conformidade? Gere uma política de privacidade que cobre os requisitos do GDPR e da CCPA em minutos.

Principais diferenças explicadas

1. Consentimento Opt-in vs. Opt-out

Esta é a diferença mais fundamental entre as duas leis.

GDPR (Opt-in)

  • Deve obter consentimento explícito antes de recolher ou processar dados pessoais
  • Caixas pré-selecionadas não são permitidas
  • O consentimento deve ser dado livremente, ser específico, informado e inequívoco
  • Os utilizadores devem realizar uma ação afirmativa (clicar, tocar, escrever)
  • Mais restritivo para as empresas

CCPA (Opt-out)

  • Pode recolher e usar dados pessoais sem consentimento prévio
  • Deve disponibilizar um link "Do Not Sell or Share My Personal Information"
  • Os consumidores podem recusar a qualquer momento
  • Deve honrar os pedidos de recusa no prazo de 15 dias
  • Abordagem mais favorável às empresas

2. Quem deve cumprir

GDPR

  • Aplica-se a qualquer organização que processe dados pessoais de residentes da UE
  • Sem limiar de receita
  • Sem número mínimo de titulares de dados
  • Alcance extraterritorial em todo o mundo

CCPA/CPRA

  • Aplica-se a empresas com fins lucrativos que cumpram pelo menos um dos seguintes:
    • Receita bruta anual superior a 25 milhões de dólares
    • Comprar, vender ou partilhar dados pessoais de mais de 100.000 residentes da Califórnia anualmente
    • Obter 50% ou mais da receita anual da venda ou partilha de dados pessoais
  • Aplica-se apenas a empresas que operam na Califórnia

3. Direitos do consumidor

Ambas as leis concedem direitos significativos aos consumidores, mas existem diferenças:

Direitos do GDPR

  • Direito de acesso
  • Direito de retificação (correção)
  • Direito ao apagamento (direito a ser esquecido)
  • Direito à portabilidade dos dados
  • Direito de restringir o processamento
  • Direito de se opor ao processamento
  • Direito de não ser sujeito a decisões automatizadas

Direitos da CCPA/CPRA

  • Direito de saber quais dados pessoais são recolhidos
  • Direito de saber se os dados são vendidos ou partilhados
  • Direito de eliminar dados pessoais
  • Direito de corrigir dados incorretos (CPRA)
  • Direito de recusar a venda ou partilha
  • Direito de limitar o uso de informações pessoais sensíveis (CPRA)
  • Direito à não discriminação por exercer direitos

4. Definição de dados pessoais

GDPR

  • Definição mais ampla
  • Inclui quaisquer dados que possam identificar uma pessoa direta ou indiretamente
  • Inclui endereços IP, IDs de dispositivos, cookies, dados de localização
  • Categorias especiais para dados sensíveis (saúde, raça, religião, etc.)

CCPA

  • Inclui informação que identifica, está relacionada ou pode ser associada a um consumidor ou agregado familiar
  • Também abrange dados ao nível do agregado familiar (exclusivo da CCPA)
  • 11 categorias específicas de informação pessoal
  • A informação pessoal sensível tem proteções especiais (CPRA)

5. Penalidades e aplicação

Penalidades do GDPR

  • Sistema de dois níveis
  • Nível inferior: Até 10 milhões de euros ou 2% da receita global
  • Nível superior: Até 20 milhões de euros ou 4% da receita global
  • Os reguladores consideram a intenção, a cooperação e os esforços de mitigação
  • Sem direito de ação privada (exceto Reino Unido)

Penalidades da CCPA

  • 2.500 dólares por violação não intencional
  • 7.500 dólares por violação intencional
  • Período de correção de 30 dias para resolver violações antes das multas
  • Direito de ação privada para violações de dados: 100 a 750 dólares por consumidor por incidente
  • Aplicação pelo Procurador-Geral

6. Requisitos de proteção de dados

GDPR

  • Avaliações de Impacto sobre a Proteção de Dados (AIPD) para processamento de alto risco
  • Encarregado de Proteção de Dados (EPD) exigido para certas organizações
  • Registos das atividades de processamento
  • Privacidade desde a conceção e por defeito
  • Base legal exigida para todo o processamento

CCPA/CPRA

  • Avaliações de risco para processamento de alto risco (CPRA)
  • Sem exigência de EPD
  • Deve manter registos dos pedidos dos consumidores
  • Privacidade desde a conceção incentivada, mas não obrigatória
  • Requisitos de aviso no momento da recolha ou antes dela

Qual lei de privacidade é mais rigorosa?

O GDPR é geralmente considerado mais abrangente e rigoroso por várias razões:

  1. Consentimento: O GDPR exige consentimento opt-in à partida, enquanto a CCPA permite opt-out
  2. Âmbito: O GDPR aplica-se a todas as empresas, enquanto a CCPA tem limiares de receita
  3. Penalidades: As multas do GDPR podem ser muito mais elevadas (4% da receita global vs. multas por violação)
  4. Direitos: O GDPR concede direitos mais amplos aos titulares dos dados
  5. Requisitos: O GDPR tem requisitos mais rigorosos de segurança, documentação e responsabilização

No entanto, a CCPA tem vantagens únicas para os consumidores:

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app. Create yours in minutes with TermsBox.

Generate Now
  • Direito de ação privada para violações de dados
  • Aplicação mais rápida com períodos de correção mais curtos
  • Direito de recusar a "partilha" de dados (mais ampla do que a "venda")

Proteja o seu negócio: Crie uma política de privacidade abrangente que aborde os requisitos do GDPR e da CCPA.

Precisa de cumprir ambas?

Se tem clientes tanto na UE como na Califórnia, sim.

Muitas empresas adotam uma de duas abordagens:

Abordagem 1: Dupla conformidade

  • Criar uma política de privacidade que aborde explicitamente tanto o GDPR como a CCPA
  • Implementar os requisitos mais rigorosos (normalmente o consentimento opt-in do GDPR)
  • Manter processos de conformidade separados para cada regulamento
  • Mais complexa, mas potencialmente mais económica

Abordagem 2: Padrão global de privacidade

  • Aplicar os requisitos mais rigorosos (GDPR) a todos os utilizadores em todo o mundo
  • Simplifica a conformidade e a documentação
  • Proporciona uma experiência consistente ao utilizador
  • Pode limitar algumas oportunidades de recolha de dados

A maioria das empresas escolhe a Abordagem 2 porque:

  • É mais simples de implementar e manter
  • Prepara para futuras leis de privacidade
  • Cria confiança nos consumidores
  • Reduz o risco legal

Dicas práticas de conformidade

Para conformidade com o GDPR:

  1. Implemente o consentimento opt-in para todos os cookies e rastreamentos não essenciais
  2. Crie uma política de privacidade abrangente com as divulgações exigidas
  3. Estabeleça processos para tratar os pedidos dos titulares dos dados (acesso, eliminação, portabilidade)
  4. Realize AIPD para processamento de dados de alto risco
  5. Nomeie um EPD se for exigido
  6. Documente tudo: a sua base legal, registos de consentimento, atividades de processamento

Para conformidade com a CCPA:

  1. Adicione o link "Do Not Sell or Share My Personal Information" ao rodapé do seu site
  2. Atualize a sua política de privacidade com as divulgações exigidas pela CCPA
  3. Crie um formulário de pedido de dados para os consumidores exercerem os seus direitos
  4. Forme a sua equipa sobre os requisitos da CCPA e como tratar os pedidos
  5. Mantenha registos dos pedidos e respostas dos consumidores
  6. Reveja os contratos com terceiros para garantir que os fornecedores cumprem

Para ambas:

  1. Realize uma auditoria de dados: saiba o que recolhe, porquê e para onde vai
  2. Implemente segurança forte: encriptação, controlos de acesso, auditorias regulares
  3. Use um gerador de política de privacidade para garantir que todos os elementos exigidos estão incluídos
  4. Crie um banner de consentimento de cookies com controlos granulares
  5. Estabeleça políticas de retenção: não guarde dados por mais tempo do que o necessário
  6. Acompanhe as atualizações: ambas as leis estão a evoluir

Cenários comuns

Cenário 1: Pequena empresa dos EUA

  • Receita: 5 milhões de dólares anuais
  • Clientes: 95% dos EUA, 5% internacionais, incluindo alguns visitantes da UE
  • Conformidade: O GDPR aplica-se (visitantes da UE), a CCPA pode não se aplicar (abaixo do limiar de receita)

Cenário 2: Site de comércio eletrónico da Califórnia

  • Receita: 30 milhões de dólares anuais
  • Clientes: 80% da Califórnia, 20% de outros estados dos EUA
  • Conformidade: A CCPA aplica-se (limiar de receita atingido), o GDPR pode não se aplicar (sem clientes da UE)

Cenário 3: Plataforma SaaS

  • Receita: 50 milhões de dólares anuais
  • Clientes: Globais, incluindo a UE e a Califórnia
  • Conformidade: Tanto o GDPR como a CCPA se aplicam: dupla conformidade exigida

Cenário 4: Aplicação móvel

  • Receita: 15 milhões de dólares anuais
  • Utilizadores: 150.000 downloads na Califórnia
  • Conformidade: A CCPA aplica-se (excede o limiar de 100.000 residentes da Califórnia)

O futuro das leis de privacidade

Tanto o GDPR como a CCPA inspiraram uma onda de novas leis de privacidade:

Leis estaduais dos EUA

  • Virginia Consumer Data Protection Act (VCDPA)
  • Colorado Privacy Act (CPA)
  • Connecticut Data Privacy Act (CTDPA)
  • Utah Consumer Privacy Act (UCPA)
  • E mais em desenvolvimento

Leis internacionais

  • LGPD do Brasil
  • Atualizações da PIPEDA do Canadá
  • PIPL da China
  • Lei de proteção de dados proposta na Índia

A tendência é clara: os regulamentos de privacidade estão a tornar-se mais rigorosos e mais difundidos. As empresas que implementarem práticas de privacidade sólidas agora estarão melhor posicionadas para os futuros regulamentos.

Perguntas frequentes

Qual é a principal diferença entre o GDPR e a CCPA?

A principal diferença é o modelo de consentimento. O GDPR exige consentimento opt-in antes de recolher dados pessoais, enquanto a CCPA usa um modelo opt-out em que as empresas podem recolher dados, mas devem permitir que os consumidores recusem a sua venda.

Qual é mais rigoroso, o GDPR ou a CCPA?

O GDPR é geralmente considerado mais rigoroso. Tem um âmbito mais amplo, exige consentimento explícito à partida, concede mais direitos aos utilizadores e impõe penalidades mais elevadas. A CCPA é mais favorável às empresas com a sua abordagem opt-out.

Preciso cumprir tanto o GDPR como a CCPA?

Se tem clientes tanto na UE como na Califórnia, sim. O GDPR aplica-se aos residentes da UE, e a CCPA aplica-se aos residentes da Califórnia. Muitas empresas criam uma única política de privacidade que aborda ambos os regulamentos.

Quais são as penalidades por violar o GDPR vs a CCPA?

As multas do GDPR podem chegar a 20 milhões de euros ou 4% da receita anual global. As multas da CCPA são de até 7.500 dólares por violação intencional e 2.500 dólares por violação não intencional, além de ações judiciais privadas por violações de dados.

A CCPA aplica-se ao meu negócio?

A CCPA aplica-se se fizer negócios na Califórnia e cumprir um destes critérios: receita anual superior a 25 milhões de dólares, comprar/vender dados pessoais de mais de 100.000 residentes da Califórnia, ou obter 50% ou mais da receita da venda de dados pessoais.

Conclusão

Embora o GDPR e a CCPA partilhem o mesmo objetivo, proteger a privacidade do consumidor, adotam abordagens diferentes. O GDPR é mais abrangente e rigoroso com o seu modelo de consentimento opt-in, enquanto a CCPA oferece mais flexibilidade com direitos de recusa, mas inclui um direito de ação privada para violações.

Para empresas que servem clientes tanto da UE como da Califórnia, a melhor abordagem é implementar práticas de privacidade que satisfaçam ambas as leis. Isto normalmente significa seguir os requisitos mais rigorosos do GDPR, que cobrirão automaticamente também a CCPA.

A chave para a conformidade é a transparência, o respeito pelos direitos dos consumidores e práticas robustas de segurança de dados. Comece com uma política de privacidade abrangente que explique claramente as suas práticas de dados, e construa o seu programa de conformidade a partir daí.

Pronto para criar uma política de privacidade que cobre tanto o GDPR como a CCPA? Use o nosso gerador gratuito para criar uma política em conformidade em minutos, com complementos profissionais para ambos os regulamentos.

Related Tools

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app

Related Articles

Ecommerce

Requisitos da política de privacidade para comércio eletrônico: o que as lojas online devem incluir

Guia completo dos requisitos de política de privacidade para sites de comércio eletrônico. Saiba quais divulgações as lojas online precisam para pagamentos, envio e marketing.

January 17, 202511 min read
Mobile Apps

Requisitos de política de privacidade para apps móveis: guia de conformidade iOS e Android

Conheça os requisitos de política de privacidade para apps móveis. Abrange as regras da Apple App Store, da Google Play Store e a conformidade legal para apps iOS e Android.

January 16, 202513 min read
CCPA

O que é a CCPA? A lei de privacidade da Califórnia explicada

Saiba o que a CCPA significa para a sua empresa. Guia completo que cobre os requisitos da CCPA, os direitos do consumidor, as atualizações da CPRA e como criar uma política de privacidade em conformidade.

January 16, 202514 min read

Ready to Create Your Legal Documents?

Generate professional privacy policies, terms of service, and more in minutes. Free to start, no credit card required.

View All Generators

On This Page

  • O que é o GDPR?
  • Factos essenciais do GDPR:
  • O que é a CCPA?
  • Factos essenciais da CCPA:
  • GDPR vs CCPA: Comparação lado a lado
  • Principais diferenças explicadas
  • 1. Consentimento Opt-in vs. Opt-out
  • 2. Quem deve cumprir
  • 3. Direitos do consumidor
  • 4. Definição de dados pessoais
  • 5. Penalidades e aplicação
  • 6. Requisitos de proteção de dados
  • Qual lei de privacidade é mais rigorosa?
  • Precisa de cumprir ambas?
  • Abordagem 1: Dupla conformidade
  • Abordagem 2: Padrão global de privacidade
  • Dicas práticas de conformidade
  • Para conformidade com o GDPR:
  • Para conformidade com a CCPA:
  • Para ambas:
  • Cenários comuns
  • Cenário 1: Pequena empresa dos EUA
  • Cenário 2: Site de comércio eletrónico da Califórnia
  • Cenário 3: Plataforma SaaS
  • Cenário 4: Aplicação móvel
  • O futuro das leis de privacidade
  • Perguntas frequentes
  • Conclusão
TermsBox

Analise o seu site, gere documentos jurídicos automaticamente, adicione um banner de consentimento e mantenha a conformidade. Uma plataforma para tudo.

Produto

  • Scanner de cookies
  • Banner de consentimento
  • Gerador de política de cookies
  • Preços

Geradores

  • Gerador de política de privacidade
  • Gerador de termos e condições
  • Gerador de EULA
  • Gerador de aviso legal
  • Gerador de política de devolução e reembolso

Empresa

  • Sobre
  • Contato
  • Política de privacidade
  • Termos de serviço
  • Política de cookies
GDPR
ePrivacy
CCPA
LGPD
Google Consent Mode v2
IAB TCF 2.2
© 2026 TermsBox. Todos os direitos reservados.