TermsBox
PreçosBlog
EntrarComeçar
PreçosBlogEntrar
Começar
  1. Home
  2. Blog
  3. O que é a CCPA? A lei de privacidade da Califórnia explicada
CCPA

O que é a CCPA? A lei de privacidade da Califórnia explicada

Saiba o que a CCPA significa para a sua empresa. Guia completo que cobre os requisitos da CCPA, os direitos do consumidor, as atualizações da CPRA e como criar uma política de privacidade em conformidade.

TermsBox Team|January 16, 202514 min read

Se gere uma empresa que serve residentes da Califórnia, a California Consumer Privacy Act (CCPA) pode aplicar-se a si. Esta lei de privacidade marcante reformulou a forma como as empresas tratam os dados pessoais nos Estados Unidos, e compreendê-la é crucial para a conformidade.

Neste guia, vamos explicar tudo o que precisa de saber sobre a CCPA em termos claros e práticos: desde a quem se aplica, aos direitos que concede aos consumidores, até como pode garantir a conformidade.

O que é a CCPA?

A California Consumer Privacy Act (CCPA) é uma lei estadual de privacidade de dados que dá aos residentes da Califórnia maior controlo sobre as informações pessoais que as empresas recolhem sobre eles. Entrou em vigor a 1 de janeiro de 2020, com a aplicação a começar a 1 de julho de 2020.

A CCPA é frequentemente chamada de "GDPR dos Estados Unidos" porque foi a primeira lei abrangente de privacidade na América, embora tenha diferenças significativas em relação à sua congénere europeia.

CCPA vs. CPRA: o que mudou?

Em novembro de 2020, os eleitores da Califórnia aprovaram a Proposição 24, que criou a California Privacy Rights Act (CPRA). A CPRA é essencialmente a CCPA 2.0: emenda e amplia a lei original.

Principais alterações da CPRA que entraram em vigor a 1 de janeiro de 2023:

  • Criação de uma nova agência de aplicação: a California Privacy Protection Agency (CPPA)
  • Introdução da categoria de "informações pessoais sensíveis" com proteções adicionais
  • Ampliação do direito de corrigir dados imprecisos
  • Aumento do período de consulta retroativa para pedidos de dados de 12 para 15 meses
  • Triplicou o limite de receita de $25 million para $25 million (ajustado pela inflação)
  • Adição de novas restrições à tomada de decisões automatizada
  • Introdução de avaliações de risco para o processamento de dados de alto risco

Quando as pessoas se referem à "CCPA" hoje, geralmente querem dizer a lei conforme emendada pela CPRA.

A quem se aplica a CCPA?

A CCPA aplica-se a empresas com fins lucrativos que operam na Califórnia e cumprem pelo menos um destes limites:

Limite de receita

Receitas brutas anuais superiores a $25 million (ajustadas anualmente pela inflação: atualmente $26.45 million para 2025)

Limite de dados de consumidores

Comprar, vender ou partilhar as informações pessoais de 100,000 ou mais consumidores ou agregados familiares da Califórnia por ano

Receita da venda de dados

Obter 50% ou mais da receita anual com a venda ou partilha de informações pessoais de consumidores

Não tem a certeza se a CCPA se aplica a si? Crie uma política de privacidade em conformidade com a CCPA para garantir que está coberto independentemente do tamanho da sua empresa.

Notas importantes

  • Não precisa de estar localizado na Califórnia: servir residentes da Califórnia é suficiente
  • As organizações sem fins lucrativos estão geralmente isentas
  • Os prestadores de serviços e os contratantes têm obrigações diferentes
  • A lei aplica-se a informações pessoais recolhidas tanto online como offline

Que informações pessoais protege a CCPA?

A CCPA tem uma definição ampla de informações pessoais. Abrange qualquer informação que identifique, se relacione com ou possa razoavelmente ser associada a um determinado consumidor ou agregado familiar da Califórnia.

Categorias de informações pessoais

  1. Identificadores

    • Nome real, alias, morada postal, email, número de telefone
    • Identificador pessoal único, endereço IP, nome de conta
    • Número da segurança social, carta de condução, número de passaporte

  2. Registos de clientes

    • Histórico de compras, informações de pagamento
    • Informações de emprego
    • Informações de educação

  3. Classificações protegidas

    • Idade, raça, género, orientação sexual
    • Estado civil, estatuto de veterano
    • Estatuto de incapacidade

  4. Informações comerciais

    • Produtos ou serviços adquiridos
    • Históricos de compra ou consumo
    • Tendências ou preferências

  5. Informações biométricas

    • Impressões digitais, dados de reconhecimento facial
    • Impressões vocais, leituras da íris
    • Padrões comportamentais

  6. Atividade na Internet

    • Histórico de navegação, histórico de pesquisa
    • Informações sobre a interação do consumidor com sites ou aplicações
    • Dados de fluxo de cliques

  7. Dados de geolocalização

    • Dados de localização precisos
    • Padrões de movimento

  8. Dados sensoriais

    • Informações de áudio, eletrónicas, visuais ou semelhantes

  9. Informações profissionais

    • Histórico de emprego atual ou passado
    • Avaliações de desempenho

  10. Inferências

    • Perfil que reflete preferências, características, comportamento, atitudes

Informações pessoais sensíveis (ao abrigo da CPRA)

A CPRA criou uma categoria especial que exige proteções adicionais:

  • Números da segurança social, carta de condução, passaporte
  • Credenciais de conta com palavras-passe
  • Geolocalização precisa
  • Origem racial ou étnica, crenças religiosas, filiação sindical
  • Conteúdos de correio, email e mensagens de texto
  • Dados genéticos
  • Dados biométricos para identificação
  • Informações de saúde
  • Vida sexual ou orientação sexual

Direitos do consumidor ao abrigo da CCPA

A CCPA concede aos consumidores da Califórnia vários direitos com força executória:

Direito de saber

Os consumidores podem solicitar:

  • Que categorias de informações pessoais recolheu
  • Peças específicas de informações pessoais que detém
  • Fontes dessa informação
  • Finalidades comerciais da recolha
  • Terceiros com quem partilhou dados

Deve responder no prazo de 45 dias (com uma possível prorrogação de 45 dias).

Direito de eliminação

Os consumidores podem solicitar a eliminação das suas informações pessoais, com certas exceções (por exemplo, conclusão de transações, obrigações legais, fins de segurança).

Direito de optar por não participar na venda/partilha

Os consumidores podem optar por não participar na venda ou partilha das suas informações pessoais. Deve fornecer um link claro de "Não Vender nem Partilhar as Minhas Informações Pessoais" no seu site.

Direito de correção

Ao abrigo da CPRA, os consumidores podem solicitar a correção de informações pessoais imprecisas.

Direito de limitar a utilização de informações pessoais sensíveis

A CPRA permite que os consumidores limitem a utilização e divulgação das suas informações pessoais sensíveis ao que é necessário para fornecer bens ou serviços.

Direito à não discriminação

As empresas não podem discriminar os consumidores por exercerem os seus direitos ao abrigo da CCPA. No entanto, pode oferecer incentivos financeiros para a recolha de dados, se devidamente divulgados.

Obrigações das empresas ao abrigo da CCPA

Se a CCPA se aplica à sua empresa, deve:

1. Fornecer uma política de privacidade

A sua política de privacidade deve incluir:

  • Categorias de informações pessoais recolhidas
  • Fontes de informações pessoais
  • Finalidades comerciais da recolha
  • Categorias de terceiros com quem partilha dados
  • Direitos do consumidor ao abrigo da CCPA
  • Como exercer esses direitos
  • Categorias de informações vendidas ou partilhadas (se aplicável)
  • Categorias de informações pessoais sensíveis recolhidas

2. Adicionar os links necessários

Deve fornecer:

  • Um link claro e visível intitulado "Não Vender nem Partilhar as Minhas Informações Pessoais" (se vender/partilhar dados)
  • Um link para "Limitar a Utilização das Minhas Informações Pessoais Sensíveis" (se aplicável ao abrigo da CPRA)
  • Links na sua política de privacidade para solicitar acesso/eliminação de dados

3. Honrar os pedidos dos consumidores

Estabeleça um processo para:

  • Verificar a identidade do consumidor
  • Responder aos pedidos no prazo de 45 dias
  • Fornecer dados num formato portátil e de fácil utilização
  • Manter registos dos pedidos durante 24 meses

4. Formar os funcionários

Garanta que os funcionários que tratam de consultas ou pedidos de consumidores recebem formação sobre os requisitos da CCPA e os direitos do consumidor.

5. Atualizar contratos com prestadores de serviços

Os contratos com prestadores de serviços devem:

  • Proibir a venda de informações pessoais
  • Proibir a retenção ou utilização fora do contrato
  • Exigir a certificação de conformidade

6. Realizar avaliações de risco (CPRA)

Para atividades de processamento de alto risco, realize e submeta auditorias de cibersegurança e avaliações de risco à CPPA.

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app. Create yours in minutes with TermsBox.

Generate Now

Pronto para cumprir? Gere uma política de privacidade em conformidade com a CCPA que cubra todas as divulgações necessárias.

Penalidades e aplicação da CCPA

A CCPA tem aplicação tanto regulatória como por direito de ação privada:

Penalidades administrativas

O Procurador-Geral da Califórnia (e agora a CPPA ao abrigo da CPRA) pode impor:

  • Até $2,500 por violação
  • Até $7,500 por violação intencional

Os reguladores normalmente concedem um período de correção de 30 dias para as primeiras violações antes de impor multas.

Direito de ação privada (violações de dados)

Os consumidores podem processar diretamente por violações de dados que envolvam:

  • Informações pessoais não encriptadas ou não ocultadas
  • Indemnizações legais de $100 a $750 por consumidor, por incidente
  • Danos reais, se forem superiores

Ações de aplicação notáveis da CCPA

  • Sephora - Acordo de $1.2 million por não divulgar a venda de informações pessoais e não honrar os pedidos de exclusão
  • DoorDash - Acordo por aviso inadequado sobre vendas de dados
  • Retalhistas - Vários acordos por falta de links "Não Vender"

A CPPA começou a aplicação ativa em 2023 e sinalizou uma ação mais agressiva no futuro.

Como cumprir a CCPA

Aqui está um roteiro prático para a conformidade com a CCPA:

Passo 1: Determinar se a CCPA se aplica

Calcule:

  • Receita anual
  • Número de consumidores da Califórnia cujos dados processa
  • Percentagem de receita proveniente de vendas de dados

Passo 2: Mapeamento de dados

Realize um inventário de dados:

  • Que informações pessoais recolhe?
  • De que fontes?
  • Para que finalidades?
  • Com quem as partilha?
  • Durante quanto tempo as mantém?

Passo 3: Atualizar a sua política de privacidade

Garanta que a sua política inclui:

  • Todas as divulgações exigidas pela CCPA
  • Linguagem clara e simples
  • Localização de fácil acesso (link no rodapé)
  • Ciclo de atualização de 12 meses

Passo 4: Implementar mecanismos de direitos do consumidor

Configure:

  • Formulário web para pedidos de acesso/eliminação
  • Número de telefone gratuito (para empresas com presença online)
  • Contacto de email para pedidos
  • Processo de verificação de identidade
  • Fluxo de resposta com acompanhamento do prazo de 45 dias

Passo 5: Adicionar os links necessários

No seu site:

  • Link "Não Vender nem Partilhar as Minhas Informações Pessoais" (se aplicável)
  • Link "Limitar a Utilização das Minhas Informações Pessoais Sensíveis" (se aplicável)
  • Link da política de privacidade no rodapé

Passo 6: Rever as relações com terceiros

Para os prestadores de serviços:

  • Atualize os contratos com a linguagem da CCPA
  • Obtenha certificações de conformidade
  • Audite as práticas de partilha de dados

Passo 7: Formar a sua equipa

Garanta que o pessoal compreende:

  • O que é a CCPA e a quem se aplica
  • Os direitos do consumidor ao abrigo da CCPA
  • Como tratar os pedidos
  • O que constitui uma "venda" de dados

Passo 8: Implementar controlos técnicos

Configure:

  • Gestão de consentimento de cookies (para a exclusão de vendas)
  • Fluxos de trabalho de eliminação de dados
  • Ferramentas de portabilidade de dados
  • Reconhecimento de sinais de exclusão (Global Privacy Control)

Precisa de ajuda com cookies? Crie uma política de cookies que explique as suas práticas de rastreamento e honre os pedidos de exclusão.

CCPA vs. GDPR: principais diferenças

Embora ambas as leis protejam a privacidade do consumidor, têm diferenças importantes:

Aspeto CCPA GDPR
Âmbito Residentes da Califórnia Residentes da UE
Tamanho da empresa Limites de receita/dados Todas as empresas que processam dados da UE
Modelo de consentimento Exclusão (exceto menores) Inclusão obrigatória
Venda de dados Deve permitir a exclusão Geralmente proibida
Penalidades Até $7,500/violação Até 4% da receita global
Encarregado de Proteção de Dados Não obrigatório Obrigatório para alguns
Base jurídica Não obrigatória Deve ser estabelecida para cada finalidade
Aplicação Procurador-Geral estadual, CPPA, consumidores Autoridades de supervisão

Conclusão principal

O GDPR é geralmente mais abrangente e rígido. Se já estiver em conformidade com o GDPR, está bem encaminhado para a conformidade com a CCPA, mas ainda terá de abordar requisitos específicos da CCPA, como o link "Não Vender" e a linguagem de divulgação da CCPA.

Erros comuns de conformidade com a CCPA

Evite estes erros frequentes:

  1. Falta do link "Não Vender" - Exigido mesmo que afirme que não "vende" dados no sentido tradicional
  2. Política de privacidade inadequada - Deve incluir todas as 11 categorias de divulgações exigidas
  3. Sem processo de verificação - Deve verificar a identidade do consumidor antes de responder aos pedidos
  4. Cobrar pelos pedidos - Não pode cobrar taxas pelos dois primeiros pedidos por ano
  5. Discriminar quem faz pedidos - Não pode negar serviço nem cobrar preços diferentes aos consumidores que exercem direitos
  6. Ignorar agentes autorizados - Deve honrar os pedidos de agentes autorizados pelos consumidores
  7. Não honrar o Global Privacy Control - A CPRA exige o reconhecimento de sinais de exclusão baseados no navegador
  8. Falta de atualizações de contratos - Os acordos com prestadores de serviços devem incluir linguagem específica da CCPA

A CCPA e outras leis estaduais de privacidade

A CCPA inspirou leis semelhantes em todos os Estados Unidos:

  • Virgínia (VCDPA) - Em vigor a 1 de janeiro de 2023
  • Colorado (CPA) - Em vigor a 1 de julho de 2023
  • Connecticut (CTDPA) - Em vigor a 1 de julho de 2023
  • Utah (UCPA) - Em vigor a 31 de dezembro de 2023
  • Iowa, Montana, Oregon, Tennessee, Texas - Várias datas de entrada em vigor em 2024-2025

Muitas empresas adotam uma abordagem a nível nacional usando a CCPA como base para evitar manter programas de conformidade separados para cada estado.

Começar com a conformidade com a CCPA

O primeiro passo mais importante é criar uma política de privacidade em conformidade que:

  1. Divulgue as suas práticas de dados claramente - O que recolhe, porquê e como
  2. Explique os direitos do consumidor - Todos os direitos disponíveis ao abrigo da CCPA/CPRA
  3. Forneça mecanismos de contacto - Como os consumidores podem exercer os seus direitos
  4. Liste as vendas/partilhas de dados - Se aplicável, que categorias vende ou partilha
  5. Atualize anualmente - Reveja e atualize pelo menos uma vez a cada 12 meses

A partir daí, implemente os processos técnicos e operacionais para honrar os direitos do consumidor e manter a conformidade.

Perguntas frequentes

O que significa a sigla CCPA?

CCPA significa California Consumer Privacy Act (Lei de Privacidade do Consumidor da Califórnia). É uma lei abrangente de privacidade de dados que entrou em vigor em 1 de janeiro de 2020, dando aos residentes da Califórnia controlo sobre as suas informações pessoais.

A quem se aplica a CCPA?

A CCPA aplica-se a empresas com fins lucrativos que operam na Califórnia e cumprem pelo menos um destes limites: receita anual superior a $25 million, compra/venda de informações pessoais de mais de 100,000 consumidores da Califórnia, ou obtenção de mais de 50% da receita com a venda de informações pessoais.

Quais são as penalidades por violações da CCPA?

As violações da CCPA podem resultar em multas até $2,500 por violação ou $7,500 por violação intencional. As violações por violação de dados podem dar origem a processos judiciais de consumidores com indemnizações de $100-$750 por incidente, por consumidor.

Qual é a diferença entre a CCPA e a CPRA?

A CPRA (California Privacy Rights Act) é uma emenda à CCPA que entrou em vigor em 1 de janeiro de 2023. Amplia os direitos do consumidor, cria a California Privacy Protection Agency e introduz requisitos mais rígidos para informações pessoais sensíveis.

Preciso de cumprir tanto a CCPA como o GDPR?

Se serve tanto residentes da Califórnia como residentes da UE, precisa de cumprir ambas as leis. A CCPA é geralmente menos rígida do que o GDPR, por isso, se já estiver em conformidade com o GDPR, provavelmente está perto da conformidade com a CCPA.

Conclusão

A CCPA representa uma mudança significativa na lei de privacidade dos EUA, dando aos consumidores da Califórnia um controlo significativo sobre as suas informações pessoais. Embora a conformidade exija esforço, atualizar políticas, implementar mecanismos de pedidos, formar o pessoal, o princípio fundamental é simples: seja transparente sobre as práticas de dados e respeite as escolhas dos consumidores.

Para a maioria das empresas, o maior desafio é o trabalho inicial de conformidade. Depois de atualizar a sua política de privacidade, implementar fluxos de trabalho de pedidos e adicionar os links necessários, a conformidade contínua torna-se rotina.

O importante é começar agora. Com a CPPA a aplicar ativamente a lei e os consumidores cada vez mais conscientes dos seus direitos, a conformidade com a CCPA já não é opcional para as empresas que servem residentes da Califórnia.

Pronto para criar a sua política de privacidade em conformidade com a CCPA? Use o nosso gerador gratuito para criar uma política abrangente que cubra todos os requisitos da CCPA em minutos.

Related Tools

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app

Cookie Policy Generator

Create a cookie policy for GDPR compliance

Related Articles

Ecommerce

Requisitos da política de privacidade para comércio eletrônico: o que as lojas online devem incluir

Guia completo dos requisitos de política de privacidade para sites de comércio eletrônico. Saiba quais divulgações as lojas online precisam para pagamentos, envio e marketing.

January 17, 202511 min read
Legal Compliance

GDPR vs CCPA: As principais diferenças explicadas

Compare as leis de privacidade GDPR e CCPA. Conheça as principais diferenças em âmbito, modelos de consentimento, direitos dos consumidores e penalidades para garantir que o seu negócio permaneça em conformidade.

January 17, 202513 min read
Mobile Apps

Requisitos de política de privacidade para apps móveis: guia de conformidade iOS e Android

Conheça os requisitos de política de privacidade para apps móveis. Abrange as regras da Apple App Store, da Google Play Store e a conformidade legal para apps iOS e Android.

January 16, 202513 min read

Ready to Create Your Legal Documents?

Generate professional privacy policies, terms of service, and more in minutes. Free to start, no credit card required.

View All Generators

On This Page

  • O que é a CCPA?
  • CCPA vs. CPRA: o que mudou?
  • A quem se aplica a CCPA?
  • Limite de receita
  • Limite de dados de consumidores
  • Receita da venda de dados
  • Notas importantes
  • Que informações pessoais protege a CCPA?
  • Categorias de informações pessoais
  • Informações pessoais sensíveis (ao abrigo da CPRA)
  • Direitos do consumidor ao abrigo da CCPA
  • Direito de saber
  • Direito de eliminação
  • Direito de optar por não participar na venda/partilha
  • Direito de correção
  • Direito de limitar a utilização de informações pessoais sensíveis
  • Direito à não discriminação
  • Obrigações das empresas ao abrigo da CCPA
  • 1. Fornecer uma política de privacidade
  • 2. Adicionar os links necessários
  • 3. Honrar os pedidos dos consumidores
  • 4. Formar os funcionários
  • 5. Atualizar contratos com prestadores de serviços
  • 6. Realizar avaliações de risco (CPRA)
  • Penalidades e aplicação da CCPA
  • Penalidades administrativas
  • Direito de ação privada (violações de dados)
  • Ações de aplicação notáveis da CCPA
  • Como cumprir a CCPA
  • Passo 1: Determinar se a CCPA se aplica
  • Passo 2: Mapeamento de dados
  • Passo 3: Atualizar a sua política de privacidade
  • Passo 4: Implementar mecanismos de direitos do consumidor
  • Passo 5: Adicionar os links necessários
  • Passo 6: Rever as relações com terceiros
  • Passo 7: Formar a sua equipa
  • Passo 8: Implementar controlos técnicos
  • CCPA vs. GDPR: principais diferenças
  • Conclusão principal
  • Erros comuns de conformidade com a CCPA
  • A CCPA e outras leis estaduais de privacidade
  • Começar com a conformidade com a CCPA
  • Perguntas frequentes
  • Conclusão
TermsBox

Analise o seu site, gere documentos jurídicos automaticamente, adicione um banner de consentimento e mantenha a conformidade. Uma plataforma para tudo.

Produto

  • Scanner de cookies
  • Banner de consentimento
  • Gerador de política de cookies
  • Preços

Geradores

  • Gerador de política de privacidade
  • Gerador de termos e condições
  • Gerador de EULA
  • Gerador de aviso legal
  • Gerador de política de devolução e reembolso

Empresa

  • Sobre
  • Contato
  • Política de privacidade
  • Termos de serviço
  • Política de cookies
GDPR
ePrivacy
CCPA
LGPD
Google Consent Mode v2
IAB TCF 2.2
© 2026 TermsBox. Todos os direitos reservados.