A Lei de Privacidade do Consumidor da Califórnia (CCPA) impõe restrições rigorosas à coleta e ao processamento de informações sobre residentes da Califórnia. Se você está fazendo scraping de marketplaces, monitorando preços de concorrentes ou coletando dados públicos através de proxies, é importante entender os requisitos da lei e os métodos para cumpri-los.
Neste guia, abordaremos os aspectos práticos do trabalho com proxies no contexto do CCPA: quais dados podem ser coletados, como configurar processos para estar em conformidade com a lei e evitar multas de até $7.500 por violação.
O que é CCPA e a quem se aplica a lei
A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma legislação californiana que entrou em vigor em 1º de janeiro de 2020. É uma das leis de privacidade mais rigorosas nos EUA, frequentemente comparada ao GDPR europeu. Em 2023, a lei foi reforçada por emendas da CPRA (California Privacy Rights Act).
O CCPA se aplica a organizações comerciais que coletam dados pessoais de residentes da Califórnia e atendem a pelo menos um dos seguintes critérios:
- Receita anual superior a $25 milhões
- A empresa processa dados pessoais de 100.000+ consumidores, domicílios ou dispositivos por ano
- 50% ou mais da receita é proveniente da venda de dados pessoais dos consumidores
Um ponto importante: a lei se aplica a empresas independentemente de sua localização. Se você trabalha da Rússia, Cazaquistão ou Ucrânia, mas coleta dados de residentes da Califórnia — o CCPA se aplica à sua atividade.
Exemplo prático: Se você está fazendo scraping de dados de marketplaces americanos (Amazon, eBay, Walmart) ou coletando informações sobre preços de concorrentes nos EUA, há uma alta probabilidade de que entre esses dados haja informações sobre residentes da Califórnia.
Quais dados são considerados pessoais pelo CCPA
O CCPA define informações pessoais de forma muito ampla — são quaisquer dados que identificam, se referem a, descrevem ou podem ser razoavelmente associados a um consumidor ou domicílio específico. A lista inclui mais de 10 categorias de dados.
| Categoria de dados | Exemplos | Risco ao fazer scraping |
|---|---|---|
| Identificadores | Nome, email, telefone, endereço IP, ID de cookie | Alto |
| Informações comerciais | Histórico de compras, preferências de produtos | Médio |
| Dados de atividade na internet | Histórico de navegação, consultas de pesquisa, interação com o site | Alto |
| Dados de geolocalização | Localização física, coordenadas GPS | Médio |
| Dados biométricos | Impressões digitais, reconhecimento facial | Baixo |
| Informações profissionais | Cargo, empregador, histórico de emprego | Médio |
Ponto chave: mesmo que você não colete nomes e emails diretamente, endereços IP e cookies que são transmitidos ao usar proxies já são considerados identificadores pessoais pelo CCPA.
Como o uso de proxies se relaciona com os requisitos do CCPA
Proxies por si só não violam o CCPA — são uma ferramenta técnica para roteamento de tráfego. Os problemas surgem não do uso de proxies, mas do que você coleta através deles e como esses dados são processados.
Cenários típicos de uso de proxies onde surgem questões de conformidade com o CCPA:
1. Scraping de marketplaces e sites de e-commerce
Quando você coleta dados sobre produtos do Amazon, Walmart, eBay através de proxies residenciais, você pode inadvertidamente coletar informações pessoais: avaliações de clientes com nomes, classificações de usuários, perguntas de clientes. Se esses usuários são residentes da Califórnia, o CCPA se aplica.
2. Monitoramento de preços de concorrentes
Ao monitorar preços através de proxies, você pode ver preços personalizados, baseados em geolocalização e histórico do usuário. Coletar tais dados pode se enquadrar na definição de processamento de informações comerciais dos consumidores.
3. Coleta de dados de redes sociais
Scraping de perfis públicos do Instagram, Facebook, LinkedIn através de proxies para pesquisas de marketing é uma coleta direta de dados pessoais. Mesmo que os perfis sejam públicos, o CCPA exige que certas regras sejam seguidas.
O uso de proxies complica a situação, pois você mascara sua verdadeira identidade e localização. Do ponto de vista do CCPA, isso não é uma violação por si só, mas se você coleta dados pessoais de forma oculta e não oferece aos consumidores a opção de recusar a coleta — isso já é um problema.
Métodos legais de coleta de dados através de proxies
O CCPA não proíbe completamente a coleta de dados — a lei regula a transparência, o controle dos consumidores sobre seus dados e os propósitos do uso das informações. Aqui estão métodos que ajudam a permanecer dentro da lei ao trabalhar com proxies.
Método 1: Coletar apenas dados públicos não pessoais
Foque em dados que não identificam pessoas específicas:
- Preços de produtos sem associação a usuários
- Estatísticas agregadas (classificação média do produto, número de avaliações)
- Especificações técnicas dos produtos
- Disponibilidade de produtos em estoque
- Dados públicos sobre empresas (não sobre pessoas)
Ao fazer scraping de marketplaces através de proxies, configure os scripts para ignorar blocos de conteúdo do usuário: avaliações com nomes, perguntas de compradores, perfis de usuários.
Método 2: Anonimização e agregação de dados
Se você precisa coletar dados que podem conter informações pessoais, anonimize-os imediatamente:
- Remova nomes, emails, telefones dos dados coletados automaticamente
- Substitua endereços IP exatos por intervalos ou regiões
- Agregue dados: em vez de "o usuário John comprou o produto X" → "o produto X foi comprado 150 vezes"
- Use hashing para identificadores, se eles forem necessários para análise
Importante: a anonimização deve ser irreversível. Se você pode restaurar dados pessoais de um conjunto anonimizado — o CCPA ainda se aplica.
Método 3: Cumprimento do robots.txt e dos Termos de Serviço
Embora não seja um requisito direto do CCPA, seguir as regras dos sites demonstra boa-fé:
- Verifique o arquivo robots.txt antes de fazer scraping — muitos sites proíbem explicitamente a coleta de determinados dados
- Leia os Termos de Serviço dos sites-alvo — pode haver restrições sobre a coleta automática de dados
- Use atrasos razoáveis entre as solicitações através de proxies (rate limiting)
- Identifique seu bot através do User-Agent, se possível
Método 4: Transparência e documentação dos propósitos
O CCPA exige que as empresas sejam transparentes em relação à coleta de dados:
- Documente quais dados você coleta e para quais propósitos
- Se você tiver um site — publique uma Política de Privacidade descrevendo as práticas de coleta de dados
- Armazene dados apenas pelo tempo necessário para os propósitos declarados
- Não venda dados coletados a terceiros sem consentimento explícito
Dica prática: Se você usa proxies de data center para scraping, documente o processo: o que você está coletando, como filtra dados pessoais, quanto tempo armazena as informações. Isso ajudará em caso de auditoria.
Dados públicos vs informações pessoais: onde está a linha
Uma das perguntas mais frequentes: "Se os dados estão publicamente disponíveis na internet, posso coletá-los livremente?" O CCPA não faz exceções para dados públicos — se a informação identifica um residente da Califórnia, ela se enquadra na lei.
| Tipo de dados | Acesso público | Aplica-se o CCPA | Recomendação |
|---|---|---|---|
| Preços de produtos | Sim | Não | Seguro para scraping |
| Avaliações com nomes de usuários | Sim | Sim | Remover nomes ao coletar |
| Email de perfis públicos do LinkedIn | Sim | Sim | Alto risco, evitar |
| Estatísticas de vendas agregadas | Sim | Não | Seguro para scraping |
| Endereços IP de visitantes do site | Não (dados técnicos) | Sim | Requer Política de Privacidade |
| Postagens públicas no Instagram | Sim | Depende do conteúdo | Anonimizar autores |
Regra chave: a publicidade dos dados não anula seu status como informações pessoais. Se você coleta dados públicos que identificam pessoas, o CCPA se aplica. A diferença é que para dados públicos é mais fácil justificar "interesse legítimo" como base para o processamento.
Exceções ao CCPA
A lei prevê várias exceções em que os dados não são considerados informações pessoais:
- Informações publicamente disponíveis de fontes governamentais (registros públicos, registros judiciais)
- Dados desidentificados que não podem ser vinculados a um consumidor específico
- Informações agregadas sobre consumidores
- Dados coletados em pesquisas científicas, respeitando padrões éticos
Checklist de conformidade com o CCPA ao fazer scraping de dados
Use este checklist antes de iniciar qualquer projeto de coleta de dados através de proxies, se seu público-alvo ou fontes de dados estiverem relacionados à Califórnia:
✅ Etapa de planejamento
- Defina quais dados você realmente precisa e se são pessoais segundo o CCPA
- Avalie se sua empresa se enquadra no CCPA (critérios de receita, volume de dados)
- Documente a base legal para a coleta de dados (interesse legítimo, contrato, consentimento)
- Verifique os Termos de Serviço dos sites-alvo para restrições de scraping
✅ Etapa de configuração técnica
- Configure filtros para remoção automática de identificadores pessoais (nomes, email, telefones)
- Use proxies residenciais com rotação para minimizar rastros
- Implemente rate limiting para cumprir o robots.txt
- Configure a anonimização automática de endereços IP e outros identificadores
- Armazene os dados coletados de forma criptografada
✅ Etapa de documentação
- Crie uma Política de Privacidade descrevendo as práticas de coleta de dados (se você tiver um site ou serviço)
- Documente os procedimentos para processar solicitações de exclusão de dados dos consumidores
- Mantenha um registro do processamento de dados: o que foi coletado, quando, para qual finalidade
- Estabeleça prazos de retenção de dados e procedimentos de exclusão automática
✅ Etapa de operação
- Verifique regularmente os dados coletados em busca de informações pessoais
- Não venda ou transfira dados a terceiros sem consentimento explícito
- Atualize a Política de Privacidade ao alterar as práticas de coleta de dados
- Treine a equipe sobre os fundamentos do CCPA e os procedimentos de processamento de dados
- Configure um mecanismo para processar solicitações de consumidores para acesso/exclusão de dados
Configuração de proxies para minimizar riscos legais
A configuração correta de proxies não garante conformidade com o CCPA, mas ajuda a minimizar riscos e demonstra boa-fé em caso de auditoria.
Escolha do tipo de proxy dependendo da tarefa
| Tipo de proxy | Melhor para | Riscos do CCPA |
|---|---|---|
| Proxies residenciais | Scraping de marketplaces, coleta de dados públicos de redes sociais | Médios — parecem usuários comuns |
| Proxies móveis | Coleta de dados de aplicativos móveis, verificação de geotargeting | Médios — alta anonimidade |
| Proxies de data center | Scraping em massa de dados não pessoais (preços, disponibilidade) | Baixos — se não coletar dados pessoais |
Configurações de proxies para conformidade com a lei
1. Rotação de endereços IP: Use rotação automática de IP para distribuir a carga e evitar a vinculação dos dados coletados a um único identificador. Isso dificulta a criação de perfis de usuários.
2. Vinculação geográfica: Se você NÃO estiver lidando com dados de residentes da Califórnia, configure os proxies para excluir IPs californianos. A maioria dos provedores de proxies permite escolher regiões.
3. Registro de solicitações: Mantenha logs de todas as solicitações através de proxies com marcas de tempo. Isso ajudará a demonstrar conformidade com o rate limiting e a ausência de abusos em caso de auditoria.
4. User-Agent e identificação: Alguns advogados recomendam usar um User-Agent honesto que identifique seu scraper (por exemplo, "MyCompanyBot/1.0"). Isso demonstra transparência, embora possa aumentar o risco de bloqueios.
Importante: O uso de proxies móveis para contornar bloqueios não é uma violação do CCPA por si só, mas se você contorna a proteção para coletar dados pessoais sem consentimento — isso pode ser qualificado como violação.
Multas por violação do CCPA e casos reais
O CCPA prevê dois tipos de multas: administrativas (por parte do procurador-geral da Califórnia) e ações civis de consumidores.
Valores das multas
- Multas administrativas: até $2.500 por cada violação não intencional, até $7.500 por cada violação intencional
- Ações civis: $100-$750 por cada consumidor por cada incidente de vazamento de dados (ou danos reais, se forem maiores)
- Ações coletivas: em caso de vazamento de dados de milhares de usuários, o valor pode chegar a milhões de dólares
Casos reais de violações do CCPA
Sephora — $1,2 milhão de multa (2022)
A empresa vendeu dados pessoais de consumidores a terceiros sem oferecer a opção de recusa. Esta foi a primeira grande multa por violação do CCPA. Lição: se você coleta dados e os transfere para alguém — isso é "venda" segundo o CCPA, exigindo notificação.
DoorDash — ação coletiva (2020)
O vazamento de dados de 4,9 milhões de usuários levou a uma ação coletiva com base no CCPA. Embora o caso tenha sido resolvido fora do tribunal, mostrou que até startups podem enfrentar consequências sérias.
Clearview AI — investigações em andamento
A empresa coletou fotos de redes sociais (dados públicos) para criar um banco de dados de reconhecimento facial. Apesar da publicidade dos dados, várias ações foram movidas contra a Clearview, incluindo acusações de violação do CCPA. Lição: até a coleta de dados pessoais públicos pode levar a problemas.
Para pequenas e médias empresas, o risco de multas é real se você se enquadra nos critérios do CCPA. O procurador-geral da Califórnia investiga ativamente as reclamações dos consumidores, e desde 2023 foi criada uma agência especial, a California Privacy Protection Agency (CPPA), para supervisionar a conformidade com a lei.
Como reduzir o risco de multas
- Realize uma auditoria de dados: o que você coleta, como armazena, para quem transfere
- Implemente procedimentos para processar solicitações de consumidores (acesso, exclusão, recusa de venda de dados)
- Publique uma Política de Privacidade no site com descrição das práticas de coleta de dados
- Treine a equipe sobre os fundamentos do CCPA e os procedimentos de resposta a solicitações
- Considere um seguro de riscos cibernéticos que cubra multas por violações de privacidade
- Em caso de dúvida — consulte um advogado especializado em leis de privacidade
Conclusão
O CCPA impõe requisitos sérios às empresas que coletam dados pessoais de residentes da Califórnia, independentemente de você usar proxies ou não. Os princípios-chave de conformidade com a lei são: transparência nos propósitos de coleta de dados, minimização do volume de informações pessoais, fornecimento de controle aos consumidores sobre seus dados e armazenamento seguro.
O uso de proxies para coleta de dados é legal se você se concentrar em informações não pessoais ou anonimizar imediatamente os dados pessoais. Documente os processos, cumpra os Termos de Serviço das plataformas-alvo e esteja preparado para justificar a legalidade de suas ações.
Lembre-se: as multas por violação do CCPA podem chegar a milhões de dólares, mas a maioria dos problemas pode ser evitada com a configuração correta dos processos de coleta e processamento de dados. Investimentos em conformidade com a lei se pagam com a proteção contra riscos legais e a confiança dos usuários.
Se você planeja coletar dados de fontes americanas, recomendamos o uso de proxies residenciais com a capacidade de escolher a geografia — isso permitirá excluir IPs californianos da rotação ou, inversamente, coletar dados de forma específica por regiões, de acordo com suas necessidades de negócios e requisitos legais.