A gigante de cosméticos Sephora é a primeira a ser multada por violar a Lei de Privacidade do Consumidor da Califórnia

A Sephora terá que pagar US$ 1,2 milhão em multas, informar aos clientes da Califórnia que vende seus dados pessoais e oferecer a eles maneiras de optar por não participar.

A gigante internacional de cosméticos Sephora é a primeira empresa a ser multada publicamente por violar a Lei de Privacidade do Consumidor da Califórnia. Em um comunicado de imprensa enviado na quarta-feira, 24 de agosto, o procurador-geral da Califórnia, Rob Bonta, anunciou um acordo com a Sephora sobre alegações de violação da CA, exigindo que a empresa pague US$ 1,2 milhão em multas e cumpra certos termos.

Após sua investigação, o escritório do procurador-geral da Califórnia disse que descobriu que a Sephora não informou aos clientes que estava vendendo seus dados pessoais, que negligenciou o processamento de solicitações de usuários que optaram por não vender seus dados e que não resolveu esses problemas. violações dentro do período de 30 dias permitido pela CA.

Aprovada em 2018, a CA foi criada para dar aos consumidores direitos específicos sobre o uso e a venda de seus dados pessoais por empresas que fazem negócios na Califórnia. Os regulamentos afirmam que os consumidores têm o direito de saber sobre os dados que uma empresa coleta sobre eles e como seus dados são usados ​​e compartilhados. Eles têm o direito de remover os dados coletados sobre eles, com certas exceções. E eles têm o direito de optar por não vender seus dados pessoais.

As empresas estão enfrentando consequências por violar a CA

Além de concordar em pagar a multa de US$ 1,2 milhão, a Sephora deve seguir outros remédios. A empresa é obrigada a esclarecer sua política de privacidade online para indicar que vende dados pessoais. Também deve fornecer meios para que os consumidores optem por não vender seus dados. bem como adaptar seus contratos de provedor de serviços para estar em conformidade com os requisitos da CA. E a empresa deve fornecer relatórios ao escritório do Procurador Geral da Califórnia relacionados à venda de dados pessoais, o status de seus relacionamentos com provedores de serviços e seus esforços para honrar a especificação Global Privacy Control (GPC).

Como um sinal de que a Califórnia está levando a CA a sério, o procurador-geral Bonta também enviou avisos a várias outras empresas que violam o regulamento, especificamente por não atenderem às solicitações de exclusão de consumidores feitas por meio de controles de privacidade como o GPC. Disponível por meio de navegadores da Web, o GPC permite que os usuários desativem todas as vendas on-line transmitindo um sinal de “não venda” para todos os sites que visitam. As empresas que tiverem recebido notificações de suas infrações devem resolver a reclamação em até 30 dias ou enfrentar ação da Procuradoria Geral da República.

VEJA: Como escolher o software de privacidade de dados certo para o seu negócio (TechRepublic)

“A recente multa aplicada à Sephora pelo estado da Califórnia é um alerta brutal para as organizações que não levam a sério as regulamentações de privacidade de dados em rápida evolução”, disse Jeff Sizemore, diretor de governança da empresa de segurança e conformidade Egnyte. “Em particular, as empresas precisam: 1) Ter processos eficazes para processar solicitações de opt-out; 2) Gerenciar as solicitações dos consumidores que são feitas por meio da tecnologia global de controle de privacidade; 3) Informar os consumidores quando seus dados estiverem sendo vendidos; e 4) Manter suas políticas de privacidade atualizadas.”

Mudanças na política de privacidade para fornecer mais transparência

Sizemore também aconselhou as empresas que fazem negócios na Califórnia, Virgínia, Colorado, Utah ou Connecticut a se prepararem para uma legislação nova e atualizada que entrará em vigor em 2023.

“A multa da Sephora deve servir como um lembrete para as organizações revisarem as políticas de privacidade com os funcionários e realizarem auditorias de conformidade”, disse Sam Humphries, chefe de estratégia de segurança da EMEA para a empresa de segurança cibernética Exabeam. “Isso pode tranquilizar funcionários e consumidores céticos de que suas contas estão protegidas e que sua privacidade é mantida, além de proteger os dados organizacionais”.

Humphries aconselhou as empresas a serem transparentes sobre o monitoramento de dados e a criar políticas para funcionários facilmente íveis por meio de papel ou treinamento digital. As políticas devem evitar jargões complexos e indicar aos funcionários uma pessoa de contato apropriada para responder a quaisquer perguntas.

Além disso, Humphries sugeriu que mesmo as organizações que não são obrigadas a cumprir os regulamentos de privacidade de dados, como a CA, devem se fazer as cinco perguntas a seguir para orientar sua proteção de dados:

• Seu monitoramento de dados é legal, justo e transparente?
• Os dados pessoais que você coleta serão usados ​​para uma finalidade específica?
• Você está tomando todas as medidas razoáveis ​​para apagar ou corrigir dados imprecisos ou incompletos?
• Você exclui dados pessoais quando não precisa mais deles?
• Os dados que você coleta estão devidamente protegidos?