RGPD vs. CCPA: Principais Diferenças Explicadas (2026)
O Regulamento (UE) 2016/679, o RGPD (conhecido internacionalmente pela sigla em inglês GDPR), exige uma base jurídica documentada antes do início de qualquer tratamento de dados pessoais, o que o torna um modelo de adesão prévia (opt-in). Já a CCPA da Califórnia, codificada no Cal. Civ. Code 1798.100, permite a coleta de dados por padrão e concede aos consumidores o direito de recusar (opt-out). Essa diferença estrutural define a divisão entre as duas leis.
O Regulamento Geral sobre a Proteção de Dados da UE (RGPD) e o regime de privacidade do consumidor da Califórnia, a California Consumer Privacy Act (CCPA), profundamente remodelada pela California Privacy Rights Act (CPRA), são os dois marcos de privacidade de dados mais influentes do mundo de língua inglesa. Ambos conferem aos indivíduos controle relevante sobre suas informações pessoais. Além desse alinhamento geral, as duas leis divergem fortemente quanto ao escopo, à filosofia, ao modelo de consentimento, aos mecanismos de fiscalização e às obrigações específicas que impõem às organizações.
Este guia compara todas as dimensões relevantes entre o RGPD e a CCPA/CPRA, incorpora a regulamentação da CPPA de setembro de 2025 sobre tomada de decisão automatizada e conclui com orientações práticas para empresas que precisam atender aos dois marcos simultaneamente.
Resposta Rápida
O RGPD é um marco de adesão prévia (opt-in) baseado em autorização, que abrange praticamente qualquer organização que trate dados de residentes da UE/EEE. A CCPA/CPRA é um marco de recusa (opt-out) que abrange empresas com fins lucrativos na Califórnia que atendam a determinados limites de porte. As penalidades do RGPD superam em muito as da CCPA em valores máximos absolutos, mas a agência dedicada de fiscalização da Califórnia, a CPPA, acelerou significativamente seu ritmo de aplicação desde 2024.
Os Dois Regimes em Resumo
| Característica | RGPD | CCPA/CPRA |
|---|---|---|
| Promulgação / vigência | 25 de maio de 2018 | 1º de janeiro de 2020 (CCPA); 1º de janeiro de 2023 (alterações da CPRA) |
| Alcance geográfico | UE/EEE + extraterritorial | Residentes da Califórnia + extraterritorial |
| Quem deve cumprir | Praticamente todos os controladores/operadores de dados | Empresas com fins lucrativos que atendam a determinados limites |
| Limite de receita | Nenhum | Receita bruta anual superior a US$ 25 milhões |
| Limite de volume de dados | Nenhum | 100.000 ou mais consumidores ou domicílios por ano |
| Limite de receita proveniente de vendas | Nenhum | 50% ou mais da receita anual proveniente da venda/compartilhamento de informações pessoais |
| Modelo de consentimento | Opt-in (exige base jurídica) | Opt-out |
| Encarregado de proteção de dados obrigatório | Sim (certas organizações) | Não |
| Notificação de violação | 72 horas à autoridade de supervisão | "O mais rápido possível" (lei estadual da Califórnia em separado) |
| Penalidade regulatória máxima | 20 milhões de euros ou 4% da receita global | US$ 7.500 por violação intencional |
| Direito de ação privada | Limitado, varia por Estado-membro | Sim, para violações de dados que se enquadrem nos requisitos |
| Agência dedicada de fiscalização | Autoridades de proteção de dados em mais de 27 Estados-membros da UE/EEE | California Privacy Protection Agency (CPPA) |
| Direito de recusa de ADMT | Direito à revisão humana (Art. 22) | Direito de recusar a ADMT (CPRA + regulamentações de 2025) |
Escopo e Quem Deve Cumprir
Alcance Territorial do RGPD
O RGPD se aplica a qualquer organização, independentemente de onde esteja constituída ou fisicamente localizada, que trate dados pessoais de indivíduos no Espaço Econômico Europeu. Uma empresa de SaaS sediada em Chicago com clientes na UE se enquadra no RGPD. Uma fabricante japonesa de eletrônicos cujo site é direcionado a consumidores da UE também se enquadra no RGPD. O Artigo 3 torna esse alcance extraterritorial explícito: o regulamento se aplica a organizações que ofereçam bens ou serviços a indivíduos do EEE ou que monitorem seu comportamento dentro do EEE.
Organizações fora da UE/EEE que se enquadrem no escopo do RGPD devem nomear um representante na UE nos termos do Artigo 27, salvo se se qualificarem para uma exceção restrita.
Modelo de Limiares da CCPA/CPRA
A CCPA, em vigor desde 1º de janeiro de 2020 e significativamente alterada pela CPRA (Proposição 24, aprovada pelos eleitores da Califórnia em novembro de 2020, com a maioria das alterações em vigor a partir de 1º de janeiro de 2023), aplica-se a empresas com fins lucrativos que coletam informações pessoais de residentes da Califórnia e atendem a pelo menos um dos três critérios:
- Receita bruta anual superior a US$ 25 milhões
- Compra, venda, recebimento ou compartilhamento, para fins comerciais, das informações pessoais de 100.000 ou mais consumidores ou domicílios por ano
- Obtenção de 50% ou mais da receita anual a partir da venda ou compartilhamento de informações pessoais de consumidores
Organizações sem fins lucrativos e órgãos governamentais ficam totalmente fora do escopo da CCPA/CPRA. O RGPD, por outro lado, abrange praticamente todas as organizações que tratam dados pessoais (incluindo entidades sem fins lucrativos, órgãos públicos e pequenas empresas), com exceções restritas apenas para atividades puramente pessoais ou domésticas.
Definições: Dados Pessoais versus Informações Pessoais
RGPD: Definição Ampla Centrada no Indivíduo
O RGPD define "dados pessoais" como qualquer informação relacionada a uma pessoa física identificada ou identificável. Essa definição, deliberadamente ampla, abrange nomes, números de identificação, dados de localização, identificadores online (endereços IP, identificadores de cookies) e fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social de uma pessoa. Dados agregados e anonimizados que não podem ser reidentificados ficam fora dessa definição; dados pseudonimizados, em geral, não.
O Artigo 9 cria uma categoria elevada de "categorias especiais" para dados que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos tratados para fins de identificação, dados de saúde e dados relativos à vida sexual ou à orientação sexual. O tratamento de dados de categoria especial exige consentimento explícito ou outro fundamento jurídico específico.
CCPA/CPRA: Escopo do Consumidor e do Domicílio
A CCPA define "informações pessoais" como informações que identificam, se relacionam, descrevem, podem razoavelmente ser associadas ou razoavelmente vinculadas a um consumidor ou domicílio específico. Diferenças notáveis em relação à definição do RGPD: a CCPA cobre explicitamente dados em nível domiciliar e exclui informações publicamente disponíveis que a empresa tenha motivos razoáveis para acreditar que o consumidor expôs voluntariamente ao público em geral.
As alterações da CPRA adicionaram uma categoria de "informações pessoais sensíveis" que espelha parcialmente as categorias especiais do RGPD. As informações pessoais sensíveis da CPRA abrangem números de seguro social, dados de contas financeiras, geolocalização precisa, origem racial ou étnica, convicções religiosas, conteúdo de comunicações, dados genéticos, dados biométricos tratados para identificação, informações de saúde e dados relativos à vida sexual ou orientação sexual. As regulamentações de 2025 da CPPA ampliaram ainda mais as informações sensíveis para incluir dados neurais e informações pessoais de consumidores que a empresa saiba terem menos de 16 anos.
| Conceito de Dado | RGPD | CCPA/CPRA |
|---|---|---|
| Dado central protegido | Dados pessoais (qualquer pessoa física identificada/identificável) | Informações pessoais (consumidor ou domicílio) |
| Dados domiciliares | Não incluído explicitamente | Incluído |
| Dados publicamente disponíveis | Ainda são dados pessoais se identificarem alguém | Excluídos da definição |
| Dados de funcionários e B2B | Totalmente cobertos | Cobertos (a CPRA removeu as isenções temporárias a partir de janeiro de 2023) |
| Categoria sensível elevada | Categorias especiais (Art. 9) | Informações pessoais sensíveis (CPRA) |
| Dados neurais | Cobertos como dados de saúde/biométricos | Adicionados explicitamente pelas regulamentações da CPPA de 2025 |
O Modelo de Consentimento: Adesão Prévia versus Recusa
Esta é a divergência filosófica mais nítida entre os dois marcos.
RGPD: Adesão Prévia Baseada em Autorização
O RGPD opera com um modelo baseado em autorização prévia. As organizações não podem tratar dados pessoais sem antes estabelecer uma das seis bases jurídicas previstas no Artigo 6: consentimento, execução de contrato, obrigação legal, interesses vitais, exercício de função pública ou interesses legítimos. A base jurídica deve ser identificada e documentada antes do início do tratamento.
Quando o consentimento é a base escolhida, o Artigo 7 exige que ele seja livre, específico, informado e inequívoco. Caixas pré-marcadas, o silêncio e consentimentos agrupados são inválidos. Para dados de categoria especial e dados de crianças, o RGPD exige consentimento explícito: uma declaração afirmativa, e não uma conduta que meramente sugira concordância.
CCPA/CPRA: Recusa Baseada na Atividade
A CCPA segue um modelo de recusa (opt-out) para a maior parte do tratamento. As empresas podem coletar e usar informações pessoais sem consentimento prévio, mas devem: (1) divulgar suas práticas de dados em um aviso de privacidade; (2) fornecer um link de "Não Vender ou Compartilhar Minhas Informações Pessoais"; e (3) atender às solicitações de recusa dos consumidores. A CPRA acrescentou o direito de limitar o uso de informações pessoais sensíveis, que funciona como uma recusa direcionada.
Existem duas exceções notáveis de adesão prévia: as empresas devem obter consentimento prévio antes de vender ou compartilhar as informações pessoais de consumidores que saibam ter menos de 16 anos (com consentimento dos pais ou responsáveis exigido para menores de 13 anos), e o consentimento prévio é necessário para reengajar um consumidor que tenha optado por sair por pelo menos 12 meses.
| Dimensão do Consentimento | RGPD | CCPA/CPRA |
|---|---|---|
| Postura padrão | Tratamento proibido até que se estabeleça uma base jurídica | Tratamento permitido; o consumidor pode recusar |
| Onde o consentimento é usado | Deve ser livre, específico, informado, inequívoco | Não exigido para a maior parte do tratamento |
| Crianças | Consentimento dos pais abaixo de 16 anos (Estados-membros podem reduzir para 13) | Adesão prévia exigida para venda/compartilhamento de dados de menores de 16 anos |
| Dados sensíveis | Consentimento explícito ou isenção específica exigida (Art. 9) | Direito de limitar o uso (modelo de recusa) |
| Reengajamento após recusa | Sem equivalente (a revogação deve ser tão fácil quanto conceder o consentimento) | Espera de 12 meses antes de solicitar novamente |
Comparação dos Direitos do Consumidor e do Titular dos Dados
Ambas as leis conferem aos indivíduos um conjunto de direitos de privacidade. Os direitos do RGPD são mais amplos, e os fundamentos para exceções são mais restritos.
| Direito | RGPD | CCPA/CPRA |
|---|---|---|
| Direito de saber / acesso | Sim (Art. 15) | Sim (ampliado pela CPRA para cobrir 12 meses) |
| Direito de exclusão / apagamento | Sim, "direito ao esquecimento" (Art. 17) | Sim, com mais exceções para as empresas |
| Direito de retificação | Sim (Art. 16) | Sem equivalente |
| Direito à portabilidade de dados | Sim (Art. 20) | Sim (adicionado pela CPRA) |
| Direito de limitar o tratamento | Sim (Art. 18) | Limitado a informações pessoais sensíveis |
| Direito de oposição | Sim (Art. 21) | Sem equivalente direto |
| Direito de recusar a venda | Sem conceito de "venda" | Sim, direito central da CCPA |
| Direito de recusar o compartilhamento | Sem conceito de "compartilhamento" | Sim (adicionado pela CPRA) |
| Direito de limitar o uso de dados sensíveis | Regido pelas restrições do Art. 9 | Sim (adicionado pela CPRA) |
| Direito à não discriminação | Princípios gerais de igualdade | Direito explícito; programas de incentivo permitidos com divulgação |
| Tomada de decisão automatizada | Direito à revisão humana; direito de contestar (Art. 22) | Direito de recusar a ADMT mais direito de acesso (CPRA e regulamentações de 2025) |
O direito do Artigo 22 do RGPD contra decisões exclusivamente automatizadas é mais forte em um aspecto: aplica-se por padrão e exige justificativa afirmativa para ser afastado. O direito da CCPA/CPRA de recusar a ADMT é um direito de recusa; as empresas que utilizam ADMT podem continuar a fazê-lo até que um consumidor exerça essa recusa.
Informações Pessoais Sensíveis
Ambos os marcos criam uma categoria elevada de dados que recebe proteção reforçada, embora a definam e regulem de forma diferente.
Segundo o RGPD, o tratamento de dados de "categorias especiais" é proibido por padrão. Para tratá-los, as organizações devem identificar tanto uma base jurídica nos termos do Artigo 6 quanto uma condição específica prevista no Artigo 9: como consentimento explícito, obrigações trabalhistas, interesses vitais quando o consentimento não puder ser obtido ou atividades legítimas de entidades sem fins lucrativos. Dados biométricos tratados com a finalidade de identificar unicamente indivíduos constituem uma categoria especial.
Segundo a CCPA/CPRA, os consumidores têm o direito de instruir uma empresa a limitar o uso e a divulgação de informações pessoais sensíveis à finalidade para a qual foram coletadas ou a outros usos especificamente permitidos. As empresas devem fornecer um link de "Limitar o Uso das Minhas Informações Pessoais Sensíveis" (que pode ser combinado com o link "Não Vender ou Compartilhar"). As regulamentações de 2025 da CPPA ampliaram as informações sensíveis para incluir dados neurais e passaram a incluir expressamente as informações pessoais de menores conhecidos de 16 anos.
Fiscalização e Penalidades
Fiscalização do RGPD
O RGPD é fiscalizado por autoridades de proteção de dados (APDs) independentes em cada Estado-membro da UE/EEE. O Artigo 83 estabelece uma estrutura de penalidades em duas camadas:
- Camada inferior (até 10 milhões de euros ou 2% do faturamento global anual): violações das obrigações de controladores e operadores, das regras de certificação e das regras dos organismos de monitoramento.
- Camada superior (até 20 milhões de euros ou 4% do faturamento global anual): violações dos princípios centrais de tratamento de dados, das condições de consentimento, dos direitos dos titulares dos dados e das regras de transferência internacional.
O total acumulado de multas do RGPD havia superado 5,8 bilhões de euros no início de 2025. Ações recentes de destaque incluem a multa de 1,2 bilhão de euros aplicada pela Comissão de Proteção de Dados da Irlanda contra a Meta, em maio de 2023, por transferências ilícitas de dados para os Estados Unidos (a maior multa individual do RGPD já registrada), e uma multa de 310 milhões de euros contra o LinkedIn, em outubro de 2024, por tratamento ilícito para fins de publicidade comportamental.
Fiscalização da CCPA/CPRA
O Procurador-Geral da Califórnia fiscalizou a CCPA desde sua data de início de vigência, em 1º de julho de 2020, até meados de 2023. A California Privacy Protection Agency (CPPA) assumiu a autoridade principal de fiscalização em julho de 2023, sendo a primeira agência estadual dedicada à fiscalização de privacidade nos Estados Unidos.
Penalidades sob a CCPA/CPRA:
- Até US$ 2.500 por violação não intencional
- Até US$ 7.500 por violação intencional, ou por violação envolvendo informações pessoais de um menor
- A CPPA ajusta os valores das penalidades em janeiro de anos ímpares para refletir mudanças no índice de preços ao consumidor
O ritmo de fiscalização da CPPA acelerou consideravelmente. Acordos de destaque de 2025 incluem:
- Tractor Supply Company: US$ 1,35 milhão por violações da CCPA
- American Honda Motor Co.: US$ 632.500 por violações da CCPA, a segunda maior multa da história da lei até o momento
- Todd Snyder, Inc.: US$ 345.178 por administrar de forma inadequada seu portal de privacidade, incluindo exigir que os consumidores verificassem sua identidade antes de exercer seus direitos de recusa
| Dimensão de Fiscalização | RGPD | CCPA/CPRA |
|---|---|---|
| Autoridade fiscalizadora | APDs nacionais (mais de 27 na UE/EEE) | Procurador-Geral da Califórnia mais CPPA |
| Multa regulatória máxima | 20 milhões de euros ou 4% da receita global anual | US$ 7.500 por violação intencional |
| Prazo de correção | Sem prazo obrigatório de correção | Correção de 30 dias (apenas na fiscalização pelo Procurador-Geral; não há direito de correção na fiscalização pela CPPA) |
| Mecanismo transfronteiriço | Balcão único por meio da APD líder | Apenas jurisdição da Califórnia |
| Direito de ação privada | Limitado (varia por Estado-membro; Art. 82) | Sim, para violações de dados que se enquadrem nos requisitos (Cal. Civ. Code 1798.150) |
O Direito de Ação Privada
Ambas as leis oferecem algum direito de ação individual, mas o escopo difere substancialmente.
Artigo 82 do RGPD
O Artigo 82 do RGPD garante a qualquer pessoa que tenha sofrido dano material ou imaterial em decorrência de uma infração ao RGPD o direito de receber indenização do controlador ou do operador. Na prática, a disponibilidade e o escopo de ações coletivas por danos do RGPD variam consideravelmente entre os Estados-membros; o direito da UE não impõe um mecanismo unificado de ação coletiva.
Seção 1798.150 da CCPA
O direito de ação privada da CCPA é mais restrito do que o direito geral de indenização do RGPD. Nos termos do California Civil Code 1798.150, os consumidores só podem processar em casos de violações de dados que se enquadrem nos requisitos, envolvendo informações pessoais não criptografadas ou não redigidas (ou endereços de e-mail combinados com senhas ou perguntas de segurança), resultantes da falha da empresa em implementar segurança razoável. Os danos legais variam de US$ 100 a US$ 750 por consumidor por incidente, ou danos reais, se superiores.
O direito de ação privada não se estende a violações dos direitos de acesso, exclusão, recusa ou outros direitos da CCPA fora do contexto de violação de dados. Essas violações são fiscalizadas exclusivamente pela CPPA ou pelo Procurador-Geral.
Em 2025, diversas decisões de tribunais distritais federais da Califórnia sinalizaram uma possível expansão do direito de ação privada para situações em que tecnologias de rastreamento de terceiros constituem divulgação não autorizada de informações pessoais. Esses casos vêm sendo acompanhados de perto por profissionais da área de privacidade.
As Regulamentações de 2025 da CPPA: ADMT, Avaliações de Risco e Auditorias de Cibersegurança
O Conselho da CPPA adotou regulamentações abrangentes em 24 de julho de 2025. O California Office of Administrative Law as aprovou e protocolou em 22 de setembro de 2025. Essas regulamentações representam a mais significativa expansão do marco de privacidade da Califórnia desde a entrada em vigor da CPRA.
Tecnologia de Tomada de Decisão Automatizada (ADMT)
As regulamentações de ADMT de 2025 implementam direitos dos consumidores introduzidos pela CPRA. ADMT designa qualquer tecnologia que trate informações pessoais e utilize computação para executar uma decisão, substituir a tomada de decisão humana ou facilitá-la substancialmente.
As regulamentações conferem aos consumidores dois direitos em relação a empresas que utilizam ADMT para decisões significativas:
- Direito de recusar o uso de ADMT pela empresa para tomar decisões significativas que afetem o consumidor, incluindo elegibilidade para emprego, decisões de crédito, moradia, tratamento de saúde e acesso à educação.
- Direito de acesso a informações sobre como a ADMT é utilizada, incluindo a lógica envolvida e a importância do resultado.
As empresas que utilizam ADMT para decisões significativas devem estar em conformidade a partir de 1º de janeiro de 2027. As empresas que utilizam ADMT para segmentação publicitária têm um cronograma de conformidade separado sob as regulamentações.
Esse direito é conceitualmente semelhante, mas estruturalmente diferente do direito previsto no Artigo 22 do RGPD: o Artigo 22 do RGPD proíbe decisões exclusivamente automatizadas que produzam efeitos jurídicos ou similarmente significativos, salvo se uma de três condições específicas for atendida; o direito da CCPA/CPRA é uma recusa que deixa a ADMT operacional até que o consumidor a invoque.
Avaliações de Risco
As empresas devem realizar avaliações de risco antes de se envolverem em determinadas atividades de tratamento que apresentem risco significativo à privacidade dos consumidores. As avaliações de risco funcionam como as tradicionais avaliações de impacto sobre a privacidade e devem ser documentadas, revisadas ao menos a cada três anos e atualizadas em até 45 dias após uma mudança material na atividade de tratamento. As empresas devem enviar uma declaração e um resumo das conclusões à CPPA até 1º de abril de 2028.
Auditorias de Cibersegurança
As empresas que atendam a determinados limites devem realizar auditorias anuais de cibersegurança. O envio das certificações à CPPA é escalonado:
- 1º de abril de 2028: empresas com receita anual superior a US$ 100 milhões
- 1º de abril de 2029: empresas com receita anual entre US$ 50 milhões e US$ 100 milhões
- 1º de abril de 2030: empresas com receita anual inferior a US$ 50 milhões
A exigência de auditoria de cibersegurança não tem equivalente direto no RGPD, embora o RGPD exija medidas técnicas e organizacionais apropriadas nos termos dos Artigos 25 e 32.
A data geral de entrada em vigor das quatro áreas regulatórias é 1º de janeiro de 2026, com a obrigação de conformidade de ADMT para decisões significativas adiada para 1º de janeiro de 2027.
Transferências Internacionais de Dados
O RGPD regula rigorosamente as transferências de dados pessoais para fora do EEE. As organizações só podem transferir dados para países com decisão de adequação da UE, ou por meio de mecanismos como as Cláusulas Contratuais-Tipo (SCCs), as Normas Corporativas Vinculativas (BCRs) ou o Data Privacy Framework UE-EUA. Para mais informações sobre o regime de transferência da UE, veja nosso guia sobre as leis de privacidade de dados da UE.
A CCPA/CPRA não impõe restrições às transferências internacionais de dados. Uma empresa da Califórnia pode transferir informações pessoais para qualquer país. As transferências que constituam "venda" ou "compartilhamento" continuam sujeitas aos direitos de recusa, e as regulamentações de avaliação de risco de 2025 se aplicam a determinadas transferências transfronteiriças que apresentem risco significativo à privacidade.
Encarregados de Proteção de Dados e Infraestrutura de Conformidade
O RGPD exige que determinadas organizações nomeiem um Encarregado de Proteção de Dados (Data Protection Officer, DPO) nos termos do Artigo 37: autoridades públicas, organizações cujas atividades principais envolvam monitoramento sistemático e em larga escala de indivíduos, e organizações que tratem dados de categoria especial em larga escala. O DPO deve se reportar à alta administração, ser independente e não pode ser penalizado por exercer suas funções.
A CCPA/CPRA não exige um papel equivalente. As empresas devem responder às solicitações dos consumidores dentro de prazos definidos (45 dias, com uma prorrogação de mais 45 dias), manter registros das solicitações por pelo menos 24 meses e adotar práticas razoáveis de segurança, mas não há uma estrutura interna obrigatória de governança de privacidade.
Ambas as leis exigem manutenção de registros. O Artigo 30 do RGPD exige Registros detalhados de Atividades de Tratamento (RoPAs). A CCPA/CPRA exige registros das solicitações dos consumidores e de como foram tratadas.
Notificação de Violação de Dados
Segundo o RGPD, as organizações devem notificar sua autoridade de supervisão em até 72 horas após tomarem conhecimento de uma violação de dados pessoais que represente risco aos direitos e liberdades dos indivíduos. Se a violação representar alto risco, a organização também deve notificar diretamente os indivíduos afetados. Nossa visão geral do RGPD detalha as exigências de notificação de violação.
A CCPA/CPRA não contém sua própria regra de notificação de violação. A Califórnia se apoia em sua lei preexistente de notificação de violações (Cal. Civ. Code 1798.82), que exige a notificação aos residentes afetados "no tempo mais rápido possível e sem atraso indevido". O direito de ação privada da CCPA, previsto na Seção 1798.150, está especificamente vinculado a violações de informações pessoais não criptografadas ou não redigidas.
O Panorama Mais Amplo da Privacidade nos EUA
A CCPA/CPRA não surgiu isoladamente, e não permaneceu única por muito tempo. No início de 2026, aproximadamente 20 estados americanos já haviam promulgado leis abrangentes de privacidade do consumidor. Indiana, Kentucky e Rhode Island têm leis que entram em vigor em 1º de janeiro de 2026. Embora nenhuma nova lei estadual abrangente de privacidade tenha sido promulgada em 2025 (a primeira lacuna desse tipo em cinco anos), o foco nos EUA mudou da legislação para a fiscalização e a regulamentação.
Nenhuma das outras leis estaduais se equipara à CCPA/CPRA em rigor, na amplitude dos direitos dos consumidores ou na presença de uma agência dedicada de fiscalização. Para empresas que operam nacionalmente, um programa em conformidade com a CCPA/CPRA oferece uma base sólida para a conformidade multiestadual, geralmente com ajustes para as definições, limites e mecanismos de recusa específicos de cada estado.
Não há lei federal abrangente de privacidade nos Estados Unidos até a data desta revisão.
Como Empresas Sujeitas a Ambas as Leis Devem Abordar a Conformidade
Organizações que atendem tanto o mercado da UE/EEE quanto o da Califórnia costumam construir um programa unificado de privacidade ancorado na conformidade com o RGPD. Como o RGPD é o marco mais rigoroso na maioria das áreas, a conformidade com ele geralmente já atende à maior parte das exigências básicas da CCPA/CPRA. O inverso não é verdadeiro.
Principais obrigações específicas da CCPA/CPRA que permanecem mesmo para organizações em conformidade com o RGPD:
- Link "Não Vender ou Compartilhar Minhas Informações Pessoais" na página inicial e na política de privacidade (sem equivalente no RGPD)
- Link "Limitar o Uso das Minhas Informações Pessoais Sensíveis" (ou um link combinado)
- Divulgações de incentivos financeiros: empresas que oferecem recompensas ou diferenças de preço vinculadas à coleta de dados devem explicar a base de valor
- Avisos de recusa e acesso à ADMT (em vigor a partir de 1º de janeiro de 2027 para decisões significativas)
- Avaliações de risco para determinadas atividades de tratamento de alto risco (em vigor a partir de 1º de janeiro de 2026)
- Auditorias anuais de cibersegurança, caso os limites de receita e de tratamento de dados sejam atingidos
- Contratos com prestadores de serviço usando terminologia específica da CCPA, além da linguagem dos acordos de operador do RGPD
Para o lado do RGPD em um programa de conformidade dupla, veja nossa visão geral das leis de privacidade de dados da UE e nosso guia sobre o que exige o RGPD.
Desenvolvimentos Recentes
Setembro de 2025: a CPPA finalizou as regulamentações de ADMT, auditoria de cibersegurança, avaliação de risco e atualização da CCPA. Data geral de vigência: 1º de janeiro de 2026. A conformidade de ADMT para decisões significativas foi adiada para 1º de janeiro de 2027.
Fiscalização da CPPA em 2025: a agência firmou acordos com a American Honda (US$ 632.500), a Tractor Supply Company (US$ 1,35 milhão) e a Todd Snyder (US$ 345.178), entre outras. A CPPA relatou centenas de investigações em andamento em seu relatório anual de 2025.
Outubro de 2024: a DPC da Irlanda multou o LinkedIn em 310 milhões de euros por tratamento ilícito para fins de publicidade comportamental. As multas acumuladas do RGPD superaram 5,8 bilhões de euros no início de 2025.
Janeiro de 2025: a CPPA ajustou os valores das multas da CCPA pela inflação do índice de preços ao consumidor. Dados neurais foram adicionados à definição de informações pessoais sensíveis.
1º de janeiro de 2026: as leis abrangentes de privacidade de Indiana, Kentucky e Rhode Island entram em vigor, elevando para aproximadamente 20 o número total de estados americanos com leis abrangentes de privacidade.
Frequently Asked Questions
A CCPA/CPRA se aplica a empresas fora da Califórnia?
Sim. A CCPA/CPRA se aplica a qualquer empresa com fins lucrativos que colete informações pessoais de residentes da Califórnia e atenda a pelo menos um dos três critérios (receita superior a US$ 25 milhões, dados de 100.000 ou mais consumidores por ano, ou 50% ou mais da receita proveniente da venda ou compartilhamento de dados), independentemente de onde a empresa esteja localizada. Uma empresa sem presença física na Califórnia, mas com clientes na Califórnia e um site que atenda aos critérios, pode estar sujeita à lei.
Uma empresa pode estar sujeita tanto ao RGPD quanto à CCPA/CPRA?
Sim. Qualquer empresa que trate dados pessoais de indivíduos da UE/EEE e colete informações pessoais de residentes da Califórnia que atendam aos limites da CCPA deve cumprir ambas as leis. Muitas empresas multinacionais constroem programas unificados de privacidade ancorados nas exigências do RGPD e, sobre eles, acrescentam as obrigações específicas da CCPA/CPRA.
Qual lei tem penalidades mais rigorosas?
O RGPD tem penalidades máximas muito mais altas: 20 milhões de euros ou 4% da receita global anual, o que for maior. As penalidades da CCPA/CPRA têm teto de US$ 7.500 por violação intencional. No entanto, ações coletivas com base no direito de ação privada da CCPA podem gerar danos agregados substanciais, e a fiscalização ativa da CPPA já resultou em acordos de sete dígitos.
O RGPD exige consentimento prévio para todo tratamento de dados?
Não. O consentimento é uma das seis bases jurídicas previstas no Artigo 6 do RGPD. As empresas também podem se apoiar na execução de contrato, obrigação legal, interesses vitais, exercício de função pública ou interesses legítimos. No entanto, quando o consentimento é a base escolhida, ele deve ser livre, específico, informado e inequívoco. Para dados de categoria especial, exige-se consentimento explícito, salvo se outra condição do Artigo 9 for aplicável.
O que é a regulamentação de ADMT da CPPA e quando entra em vigor?
A CPPA finalizou as regulamentações sobre tecnologia de tomada de decisão automatizada (ADMT) em 22 de setembro de 2025, com data geral de vigência em 1º de janeiro de 2026. As empresas que utilizam ADMT para tomar decisões significativas que afetem os consumidores (como elegibilidade para emprego, aprovação de crédito, moradia e decisões de saúde) devem cumprir os direitos de recusa e de acesso do consumidor a partir de 1º de janeiro de 2027. Empresas que utilizam ADMT para segmentação publicitária têm um cronograma de conformidade separado.
Qual é a maior diferença prática entre a conformidade com o RGPD e com a CCPA/CPRA?
O modelo de consentimento. O RGPD exige uma base jurídica documentada antes do início do tratamento de dados, o que geralmente significa obter consentimento prévio (opt-in) desde o início. A CCPA/CPRA permite a coleta de dados por padrão, mas exige que as empresas atendam às solicitações de recusa, publiquem um link de 'Não Vender ou Compartilhar Minhas Informações Pessoais' e (sob as regulamentações de 2025) ofereçam avisos de recusa e acesso à ADMT. Essa diferença fundamental molda o design do site, os banners de cookies, os avisos de privacidade e a governança interna de dados.
A conformidade com o RGPD atende às exigências da CCPA/CPRA?
Em grande parte, mas não totalmente. Um programa em conformidade com o RGPD atende à maioria das exigências básicas da CCPA/CPRA, já que o RGPD costuma ser o marco mais rigoroso. No entanto, várias obrigações específicas da CCPA/CPRA não têm equivalente no RGPD: o link 'Não Vender ou Compartilhar', as divulgações de incentivos financeiros, o direito de recusa de ADMT, as exigências de avaliação de risco e auditoria de cibersegurança das regulamentações de 2025, e a linguagem contratual específica da CCPA para prestadores de serviço.
Sources and References
- RGPD - Regulamento (UE) 2016/679, Texto Integral (EUR-Lex)(eur-lex.europa.eu).gov
- RGPD Artigo 3 - Âmbito de Aplicação Territorial(gdpr-info.eu)
- RGPD Artigo 6 - Licitude do Tratamento(gdpr-info.eu)
- RGPD Artigo 9 - Categorias Especiais de Dados Pessoais(gdpr-info.eu)
- RGPD Artigo 17 - Direito ao Apagamento(gdpr-info.eu)
- RGPD Artigo 22 - Decisões Individuais Automatizadas(gdpr-info.eu)
- RGPD Artigo 37 - Designação do Encarregado de Proteção de Dados(gdpr-info.eu)
- RGPD Artigo 83 - Condições Gerais para a Aplicação de Coimas(gdpr-info.eu)
- Comissão Europeia - Proteção de Dados na UE(commission.europa.eu).gov
- Comitê Europeu para a Proteção de Dados - Diretrizes(edpb.europa.eu).gov
- California Consumer Privacy Act - Texto Integral (Cal. Civ. Code 1798.100 e seguintes)(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.150 - Direito de Ação Privada(leginfo.legislature.ca.gov).gov
- Procurador-Geral da Califórnia - Informações sobre a CCPA/CPRA(oag.ca.gov).gov
- CPPA - Atualizações da CCPA, Auditorias de Cibersegurança, Avaliações de Risco, Regulamentações de ADMT(cppa.ca.gov).gov
- Comunicado da CPPA: Califórnia Finaliza Regulamentações para Reforçar a Privacidade dos Consumidores (22 de setembro de 2025)(cppa.ca.gov).gov
- CPPA: Honda Firma Acordo por Violações de Privacidade - Multa de US$ 632.500(cppa.ca.gov).gov
- CPPA Determina que a Todd Snyder Pague Multa de US$ 345.178 e Reformule suas Práticas de Privacidade(cppa.ca.gov).gov