Loading…
O GDPR e o CCPA/CPRA são as duas estruturas de privacidade mais referenciadas do mundo. À primeira vista parecem semelhantes, mas divergem fortemente em alcance extraterritorial, base legal para o tratamento, arquitetura de opt-in vs opt-out, prazos de notificação de violações e gravidade das penalidades. Este guia oferece a comparação lado a lado precisa que toda equipe de privacidade vai buscar.
| Dimensão | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| Instrumento legal | Regulamento (UE) 2016/679 | Cal. Civ. Code § 1798.100 e seguintes (CCPA, conforme alterada pela CPRA, 2020) |
| Data de vigência | 25 de maio de 2018 | CCPA: 1º de jan. de 2020; reforço da CPRA: 1º de jan. de 2023 |
| Escopo territorial | Qualquer um que trate dados pessoais de indivíduos na UE (Art. 3 — extraterritorial) | Empresas com fins lucrativos que operam na Califórnia e atingem os limites (§1798.140(d)) |
| Limite de aplicabilidade Qualquer um dos gatilhos | Qualquer controlador/operador — sem piso de receita/volume | US$25M de receita OU 100 mil+ consumidores/domicílios da CA OU 50%+ da receita proveniente de venda/compartilhamento de PI |
| Modelo de consentimento | Opt-in para a maioria dos tratamentos (Art. 6) | Opt-out de venda ou compartilhamento; opt-in para menores de 16 anos |
| Base legal exigida | Sim — uma de seis (Art. 6) ou condição de categoria especial (Art. 9) | Sem base legal formal; "finalidade comercial" + aviso na coleta |
| Dados sensíveis | Dados de categoria especial (Art. 9) exigem consentimento explícito + salvaguardas | PI sensível (CPRA §1798.140(ae)) — direito de limitar, não restrição absoluta |
| Notificação de violação | 72 horas à Autoridade de Supervisão (Art. 33); titulares dos dados afetados sem demora injustificada se houver alto risco | Sem prazo específico; "no menor tempo possível" nos termos do Cal. Civ. Code §1798.82 |
| Multa máxima | €20M ou 4% do faturamento global anual, o que for maior (Art. 83(5)) | US$2.500 por violação não intencional / US$7.500 por violação intencional ou envolvendo menores (por registro) |
| Regulador | 27 DPAs de Estados-Membros da UE + EDPB (balcão único) | Agência de Proteção da Privacidade da Califórnia (CPPA) + Procurador-Geral da Califórnia |
| Exigência de DPO | Obrigatório em casos definidos (Art. 37) | Não obrigatório; exigência de avaliação de risco para SDFs |
| Representante local | Representante da UE do Artigo 27 exigido para controladores/operadores fora da UE | Não exigido; presença física não é obrigatória |
| Prazo de resposta a DSAR | 1 mês + prorrogação de 2 meses para solicitações complexas (Art. 12(3)) | 45 dias, prorrogáveis por mais 45 (§1798.130) |
| Transferência internacional | Restrita — SCCs/BCR/adequação exigidos (Capítulo V) | Sem restrição explícita; salvaguardas contratuais sob lei setorial |
| Direito de ação privada | Sim — Art. 79 (limitado) + Art. 82 indenizações | Apenas para violações de dados nos termos do §1798.150 |
| Dados de crianças | Idade padrão de consentimento abaixo de 16 anos (Estados-Membros podem reduzir para 13) | Opt-in para venda/compartilhamento de menores de 16; menores de 13 exigem responsável |
| Direito de exclusão | Direito ao apagamento (Art. 17) com exceções | Direito de exclusão (§1798.105) com exceções |
| Direito de saber/acessar | Art. 15 — confirmação + cópia | §1798.110 + §1798.115 — divulgação de categorias e PI específica |
| Direito de opt-out | Opor-se ao tratamento baseado em legítimo interesse ou marketing direto (Art. 21) | Opt-out de venda ou compartilhamento de PI (§1798.120); o GPC deve ser respeitado |
| Direito à portabilidade | Art. 20 — estruturado, de uso comum, legível por máquina | Direito de receber em formato portável (§1798.100(d)) |
Sim, se você atende tanto indivíduos da UE quanto consumidores da Califórnia. Eles têm requisitos centrais sobrepostos (aviso, acesso, exclusão), mas divergem em consentimento, prazos de violação e territorialidade. Um único conjunto de controles mapeado funciona para ambos.
Substancialmente, sim. O GDPR exige uma base legal para cada atividade de tratamento, determina notificação de violação em 72 horas, restringe transferências internacionais e tem multas baseadas em receita sem limite máximo. O CCPA/CPRA tem caráter mais voltado para opt-out e penalidades por violação em vez de baseadas em faturamento — mas o acordo de US$1,2 bilhão da Meta mostra que a exposição agregada pode igualar a do GDPR.
Não. O Artigo 3 do GDPR se aplica de forma extraterritorial. Se você oferece bens ou serviços a pessoas na UE ou monitora seu comportamento, está no escopo e deve nomear um Representante da UE do Artigo 27.
Não há equivalente formal. O CCPA não exige um representante local designado. No entanto, dados financeiros ou de saúde sensíveis podem invocar regimes federais paralelos (HIPAA, GLBA) com seus próprios requisitos de ponto de contato.
GDPR: 72 horas à Autoridade de Supervisão principal. CCPA: "no menor tempo possível", sem prazo fixo — embora os advogados de demandantes em ações coletivas do §1798.150 argumentem que qualquer coisa acima de poucos dias é irrazoável.
Sim — e deveria. Construa um único pipeline verificável de solicitações de consumidores e mapeie as saídas tanto para as divulgações do Artigo 15 do GDPR quanto do §1798.110 do CCPA. Apenas mantenha o prazo no menor período (1 mês para residentes da UE, 45 dias para residentes da Califórnia).
Mapeie os controles uma vez e cumpra duas. A RegulatoryBridge oferece um único pipeline de DSAR, um único DPO, um único runbook de violações — cobrindo ambas as estruturas.