Blog

CPA (Colorado Privacy Act): Guia de Requisitos + Conformidade para Sites

Entenda as regras da Colorado Privacy Act, os prazos de aplicação e como gerenciar corretamente scripts de terceiros.

Jan 16, 2026 • 17 min read

Juan Combariza Growth Marketer

Blog: CPA - Colorado Privacy Act - Requisitos e Conformidade para Sites

Resumo Rápido

O que é a CPA? A Colorado Privacy Act (CPA) é uma lei estadual abrangente de privacidade (a terceira do país, após Califórnia e Virgínia) que garante aos residentes do Colorado direitos sobre seus dados pessoais e exige consentimento opt-in para informações sensíveis.
A quem a CPA se aplica? A CPA se aplica a entidades (incluindo organizações sem fins lucrativos) que fazem negócios no Colorado ou direcionam produtos ou serviços a residentes do Colorado e processam dados de mais de 100.000 consumidores por ano, ou coletam receita com a venda de dados e processam dados de mais de 25.000 consumidores. Não há limite de receita.
O que diferencia a CPA de outras leis estaduais? O Colorado foi o primeiro estado a exigir que empresas reconhecessem mecanismos universais de opt-out, como o Global Privacy Control. A lei também consolida as avaliações de proteção de dados e adota padrões de consentimento no estilo GDPR que rejeitam práticas de consentimento obscuras.
Por que o lado do cliente importa para a CPA? Sob a CPA, a conformidade com opt-out e o tratamento de dados sensíveis são prioridades de fiscalização. Scripts de terceiros em execução no seu site representam um risco de privacidade e segurança que pode levar ao descumprimento da CPA.
Por que a CPA importa para as empresas? Empresas elegíveis sob a Colorado Privacy Act que não cumprirem os requisitos podem enfrentar penalidades financeiras de até US$ 20.000 ou ações legais de reguladores estaduais. A CPA reflete uma mudança dos consumidores em direção à valorização da privacidade. Ignorar essa expectativa arrisca perder a fidelidade e a confiança do consumidor.

Checklist Visual: Colorado Privacy Act - A CPA se aplica à minha organização?

O Colorado não esperou para ver como a regulação de privacidade se desenvolveria em outros estados. Em julho de 2021, o estado se tornou o terceiro nos EUA a promulgar uma lei abrangente de privacidade. E em alguns aspectos, foi além da Califórnia ou da Virgínia.

A lei torna obrigatório que as empresas reconheçam sinais universais de opt-out — uma primeira entre os estados americanos quando foi aprovada. Ela exige um consentimento no estilo GDPR que proíbe explicitamente dark patterns. E, ao contrário da maioria das leis estaduais de privacidade, abrange organizações sem fins lucrativos.

Consequentemente, esses requisitos criam um desafio para os operadores de sites: visibilidade sobre como os dados são processados quando os usuários visitam seu site.

Scripts de terceiros, pixels de rastreamento e ferramentas de análise operam fora do seu controle. No entanto, sob a CPA, você continua sendo responsável pelo que eles coletam e se respeitam as solicitações de opt-out.

Este guia aborda a quem a CPA se aplica, o que ela exige e onde e como a visibilidade do lado do cliente se encaixa na conformidade.

O que é a Colorado Privacy Act?

A Colorado Privacy Act [SB 21-190] estabelece direitos de privacidade para os residentes do Colorado e obrigações correspondentes para as empresas que coletam seus dados. O governador Jared Polis a sancionou em 7 de julho de 2021, embora a maioria das disposições tenha entrado em vigor em 1º de julho de 2023.

A lei concede aos consumidores cinco direitos principais:

Acesso - Confirmar se uma empresa possui seus dados e obter uma cópia
Correção - Corrigir dados pessoais imprecisos
Exclusão - Solicitar a remoção de seus dados pessoais
Portabilidade - Receber seus dados em um formato utilizável
Opt-out - Recusar publicidade direcionada, venda de dados e determinados tipos de perfilamento

Como todos os outros frameworks de privacidade, a CPA espera que as empresas demonstrem transparência, minimização de dados, limitação de finalidade e segurança no processamento de dados pessoais. Isso inclui exibir avisos de privacidade claros, obter consentimento válido antes de processar dados sensíveis, realizar avaliações de risco para o processamento de dados sensíveis e respeitar solicitações de opt-out, como as que vêm de sinais universais do navegador.

As violações podem ser aplicadas como práticas comerciais enganosas sob a lei do Colorado. As penalidades chegam a US$ 20.000 por violação e podem ser muito maiores se o caso envolver uma série de violações.

Como saber se a CPA se aplica à minha organização?

A CPA se aplica a qualquer entidade (com ou sem fins lucrativos) que atenda às duas condições a seguir:

1) Vínculo com o Colorado

Você realiza negócios no Colorado ou produz ou entrega produtos ou serviços comerciais intencionalmente direcionados a residentes do Colorado.

2) Limite de volume de dados (atender a qualquer um)

Você processa dados pessoais de 100.000 ou mais consumidores do Colorado por ano
Você coleta receita (ou recebe descontos) com a venda de dados pessoais e processa dados de 25.000 ou mais consumidores

Alguns pontos importantes a observar:

Não há limite de receita. Ao contrário da CCPA da Califórnia, que isenta empresas com receita anual inferior a US$ 25 milhões, a CPA não tem esse piso. Uma pequena empresa que processa dados suficientes de consumidores está dentro do escopo.
Organizações sem fins lucrativos estão cobertas. A maioria das leis estaduais de privacidade isenta organizações sem fins lucrativos; o Colorado não.
O Consumidor é definido de forma restrita. A CPA protege residentes do Colorado que atuam em capacidade pessoal ou doméstica; não funcionários, candidatos a emprego ou contatos B2B.

Isenções à CPA

Agências governamentais ou instituições de ensino superior, como universidades
Entidades já regulamentadas pela GLBA (instituições financeiras), HIPAA (saúde) ou pela Fair Credit Reporting Act
Transportadoras aéreas sob regulamentação da FAA
Dados já regidos pela COPPA, FERPA ou determinadas proteções federais de pesquisa

As isenções se aplicam no nível dos dados. Se sua organização lida com dados sob múltiplos regimes regulatórios, você ainda pode ter obrigações sob a CPA para dados de consumidores que não estejam cobertos por outros frameworks regulatórios.

Quais são os principais requisitos da CPA?

1. Avisos de privacidade claros e informativos

A CPA exige um aviso de privacidade "razoavelmente acessível, claro e significativo". Linguagem genérica não será suficiente.

Seu aviso deve incluir:

Categorias de dados pessoais que você coleta
Finalidades do processamento
Como os consumidores podem exercer seus direitos (e recorrer de negativas)
Categorias de dados compartilhados com terceiros
Quem são esses terceiros, por categoria

Você deve divulgar claramente se vende dados ou os utiliza para publicidade direcionada, bem como explicar como os consumidores podem fazer opt-out.

2. Consentimento explícito para coleta de dados sensíveis

Antes de processar dados sensíveis, você precisa de consentimento opt-in. A CPA considera dados como "sensíveis" se revelarem:

Origem racial ou étnica,
Crenças religiosas,
Condições de saúde mental ou física,
Vida sexual ou orientação sexual,
Cidadania ou status de imigração,
Dados genéticos,
Identificadores biométricos para identificação, e
Dados de crianças menores de 13 anos.

O consentimento sob a CPA deve ser "livremente dado, específico, informado e inequívoco". Essa linguagem é emprestada do GDPR.

Aceitar os termos gerais de serviço não constitui consentimento. Tampouco passar o cursor, silenciar ou fechar conteúdo.

Isso é mais rigoroso do que a maioria das leis estaduais dos EUA. Sob a CPA, caixas pré-marcadas, interfaces confusas ou divulgações enterradas no texto não fornecerão base legal para o processamento de informações sensíveis.

3. Sistemas universais de opt-out

Desde 1º de julho de 2024, os controladores devem respeitar sinais universais de opt-out, como o Global Privacy Control (GPC).

Quando o navegador de um usuário envia um sinal GPC, você deve tratá-lo como uma solicitação válida de opt-out para publicidade direcionada ou venda de dados pessoais.

O Departamento de Direito do Colorado mantém uma lista de mecanismos de opt-out reconhecidos. As empresas são obrigadas a explicar como lidam com esses sinais em seu aviso de privacidade.

4. Avaliações de proteção de dados

Você deve realizar e documentar uma avaliação de proteção de dados para atividades de processamento consideradas de alto risco. A avaliação deve ser feita antes do início de qualquer processamento.

A avaliação deve ponderar os benefícios em relação aos possíveis danos e documentar as salvaguardas implementadas. Esses registros devem ser mantidos e podem ser solicitados pelo Procurador-Geral durante uma investigação.

5. Contratos com processadores

A maioria dos sites modernos utiliza fornecedores (processadores) para lidar com dados pessoais. Isso inclui chatbots, ferramentas de análise, ferramentas de publicidade e até bibliotecas de desenvolvimento que os desenvolvedores adicionam a um site. Para esses processadores, você precisa de contratos escritos que especifiquem:

A natureza e a finalidade do processamento
O tipo de dados envolvidos
A duração do processamento
Obrigações de confidencialidade, segurança e gestão de subprocessadores

A maioria das ferramentas de sites (Meta, Google Analytics, Cloudflare) possui "DPAs" ou Acordos de Processamento de Dados padronizados que você pode acessar sem precisar criar contratos individuais para cada um. Ainda assim, é sua responsabilidade garantir que essas ferramentas de site estejam se comportando da forma como afirmam, o que nem sempre é o caso devido a injeções de código malicioso ou configurações incorretas.

O lado do cliente é uma superfície de risco moderna para a CPA

Visual: Riscos de privacidade no lado do cliente para a CPA - cside — Visual: Riscos de privacidade no lado do cliente do site para a CPA

O lado do cliente é uma superfície de risco primária para violações da Colorado Privacy Act (CPA), pois a maior parte da coleta de dados pessoais ocorre diretamente no navegador do usuário, fora do alcance dos softwares tradicionais de gestão de privacidade.

Scripts de terceiros são um risco de conformidade de privacidade sob a CPA:

Sob a CPA, você é o Controlador dos scripts no seu site. Isso coloca a responsabilidade sobre você em relação a todas as ferramentas que você adiciona ao seu site. Espera-se que você demonstre compreensão e controle sobre como esses scripts interagem com dados pessoais.

Sites modernos servem vários scripts de terceiros aos seus usuários: chatbots, ferramentas de análise, bibliotecas de desenvolvimento que carregam nos navegadores, entre outros.
Esses scripts geralmente são executados sem qualquer revisão de privacidade ou segurança, coletando endereços IP, identificadores, entradas de formulários ou sinais comportamentais que se enquadram como dados pessoais.
Sob a CPA, a organização é o "controlador" porque decide usar esses scripts e se beneficia deles.
Se os scripts coletam dados além do que está divulgado no aviso de privacidade, sua organização está violando as regras de limitação de finalidade e transparência da CPA, incluindo "publicidade direcionada" ou "venda de dados" não intencionais.

Ataques no lado do cliente são um risco de violação de dados sob a CPA

Ataques no lado do cliente (como Magecart ou injeção de código JavaScript) ameaçam diretamente a conformidade com a CPA, pois roubam dados pessoais.
A CPA exige explicitamente "práticas razoáveis de segurança de dados administrativas, técnicas e físicas". Deixar de monitorar o lado do cliente descumpre esse requisito legal.
Multas importantes por violação de privacidade, como a multa de £20 milhões aplicada à British Airways pelo GDPR, foram resultado de uma violação de dados em um site.
A segurança do seu servidor, a criptografia e os controles de acesso internos não protegem contra ataques no lado do cliente. Esse vetor de ataque envolve a injeção de código no seu site que exfiltra dados para servidores de atacantes sem que as ferramentas de segurança tradicionais percebam.

Banners de cookies são suficientes para a conformidade com a Colorado Privacy Act?

Não. Banners são uma peça importante na conformidade de privacidade de sites, mas sozinhos não satisfazem todos os requisitos. Banners de cookies não monitoram como scripts de terceiros se comportam em tempo de execução e têm capacidades de aplicação limitadas. Além disso, ferramentas de gestão de consentimento não foram criadas para se defender contra ataques no lado do cliente nem para servir como salvaguardas técnicas contra violações de dados.

Onde as falhas de conformidade com a CPA costumam ocorrer

Infográfico: Falhas comuns de conformidade com a CPA - Colorado Privacy Act

Ignorar opt-outs baseados no navegador

A falha mais comum em frameworks de privacidade como a CPA ocorre quando sites oferecem opções de opt-out, mas na prática não interrompem a coleta de dados quando essas opções são exercidas.

Isso tende a acontecer por configuração técnica incorreta, e não por má intenção do proprietário do site.

Quando um usuário ativa o GPC, seu banner de cookies pode detectá-lo e registrá-lo, mas seus pixels de anúncios e scripts de terceiros continuam sendo executados mesmo assim, porque não foram configurados para respeitar o sinal.

Isso conta como uma violação sob a CPA.

Um exemplo a observar é o acordo de US$ 1,2 milhão da Califórnia com a Sephora em 2022, que girou exatamente em torno dessa questão. Isso foi sob a CPRA (uma lei californiana diferente), mas as expectativas legais subjacentes são as mesmas. A Sephora informou aos usuários que podiam fazer opt-out da venda de dados, mas continuou compartilhando dados com parceiros de publicidade independentemente. O Colorado aplica o mesmo princípio.

Vazamento de dados sensíveis por meio de scripts

Informações de saúde, dados de localização e outras categorias sensíveis frequentemente acabam em lugares onde não deveriam. Na maioria das vezes, não porque alguém as compartilhou intencionalmente, mas porque um pixel de rastreamento capturou entradas de formulários ou um script de terceiros acessou conteúdo da página que não deveria.

As ações da FTC contra a GoodRx e a BetterHelp mostram o padrão. Ambas as empresas usavam pixels de publicidade padrão em suas plataformas, mas esses pixels capturavam informações relacionadas à saúde e as transmitiam para redes de anúncios. Nenhuma das empresas pretendia isso, mas ambas enfrentaram ações de fiscalização e penalidades significativas.

Sob a CPA, o processamento de dados sensíveis sem consentimento é uma violação independentemente da intenção. Você é responsável se scripts no seu site estiverem capturando informações sensíveis.

Avisos de privacidade incompletos ou enganosos

Você não quer que seu aviso de privacidade diga que coleta apenas dados para análises necessárias enquanto seu gerenciador de tags carrega dezenas de scripts que rastreiam usuários pela web.

Essa discrepância cria dois problemas:

Seu aviso não descreve com precisão suas práticas de dados (violação de transparência)
Você pode estar processando dados para finalidades às quais os consumidores nunca concordaram (violação de limitação de finalidade)

A CPA exige que suas divulgações correspondam à realidade. A maioria das equipes de sites não sabe quais scripts de terceiros têm acesso a dados ou como se comportam nos bastidores.

Scripts de terceiros mudam seu comportamento com frequência à medida que os fornecedores atualizam o código. Infelizmente, você não vê essas mudanças diretamente. O escopo do processamento de dados no seu site pode mudar, tornando suas divulgações de privacidade imprecisas sem que sua equipe perceba.

Recursos oficiais da CPA e links governamentais

Procurador-Geral do Colorado - Página Principal da CPA - Visão geral, perguntas frequentes, cartas de fiscalização e mecanismos universais de opt-out reconhecidos
Colorado Revised Statutes § 6-1-1301 et seq. - Texto legal completo
Regras da CPA (4 CCR 904-3) - Regulamentos de implementação com especificações técnicas

Lista de Mecanismos Universais de Opt-Out - Mecanismos reconhecidos que os controladores devem respeitar

Como o cside ajuda organizações a se adequarem à Colorado Privacy Act

O cside Privacy Watch monitora uma superfície de risco que os softwares tradicionais de gestão de privacidade ignoram: o que realmente é executado no navegador do usuário. A coleta de dados por fornecedores terceiros é monitorada de perto e sua equipe é alertada no momento em que ocorre uma mudança que pode levar a uma violação de privacidade ou exposição a uma violação de dados.

Supervisão de Ferramentas de Terceiros

Muitas falhas de conformidade têm origem em fornecedores terceiros. O cside valida que os scripts de terceiros se comportam da forma pretendida dentro das suas expectativas de privacidade.

Visibilidade sobre a Coleta de Dados do Site

O cside oferece uma visão clara de quais scripts operam no seu site, quais dados eles acessam e para onde esses dados são enviados. Isso ajuda as equipes a manter registros precisos de coleta de dados e apoia divulgações de privacidade claras e atualizadas.

Minimização de Dados e Limitação de Finalidade

À medida que as ferramentas de terceiros mudam ao longo do tempo, elas podem começar a coletar mais dados do que o originalmente pretendido. O código do fornecedor é atualizado sem que sua equipe perceba. O cside detecta essas mudanças, permitindo que você identifique coletas de dados desnecessárias.

Comprovação de Salvaguardas de Segurança Razoáveis

A CPA exige que as organizações implementem medidas razoáveis para proteger dados pessoais. O cside monitora comportamentos suspeitos de scripts, alterações não autorizadas e padrões de exfiltração de dados para prevenir vazamentos de dados causados por ataques no lado do cliente.

Preparação de Documentação com Assistência de IA

O cside mantém registros detalhados de atividade de scripts, alterações de configuração e comportamento de tratamento de dados. A IA é usada para reduzir a documentação manual das equipes de conformidade, moldando esses dados em formatos específicos para cada regulação.

Você pode começar com nosso plano gratuito ou agendar uma demonstração para ver como a visibilidade do lado do cliente apoia seu programa de conformidade com a CPA.

Como o cside ajuda organizações a se adequarem à Colorado Privacy Act

Captura de tela: Software de Conformidade de Privacidade para Sites cside

Supervisão de Ferramentas de Terceiros

Muitas falhas de conformidade têm origem em fornecedores terceiros. O cside valida que os scripts de terceiros se comportam da forma pretendida dentro das suas expectativas de privacidade.

Visibilidade sobre a Coleta de Dados do Site

O cside oferece uma visão clara de quais scripts operam no seu site, quais dados eles acessam e para onde esses dados são enviados. Isso ajuda as equipes a manter registros precisos de coleta de dados e apoia divulgações de privacidade claras e atualizadas.

Minimização de Dados e Limitação de Finalidade

À medida que as ferramentas de terceiros mudam ao longo do tempo, elas podem começar a coletar mais dados do que o originalmente pretendido. O código do fornecedor é atualizado sem que sua equipe perceba. O cside detecta essas mudanças, permitindo que você identifique coletas de dados desnecessárias.

Comprovação de Salvaguardas de Segurança Razoáveis

A CPA exige que as organizações implementem medidas razoáveis para proteger dados pessoais. O cside monitora comportamentos suspeitos de scripts, alterações não autorizadas e padrões de exfiltração de dados para prevenir vazamentos de dados causados por ataques no lado do cliente.

Preparação de Documentação com Assistência de IA

O cside mantém registros detalhados de atividade de scripts, alterações de configuração e comportamento de tratamento de dados. A IA é usada para reduzir a documentação manual das equipes de conformidade, moldando esses dados em formatos específicos para cada regulação.

Conformidade Automatizada de Privacidade para Sites com o cside

Você pode começar com nosso plano gratuito ou agendar uma demonstração para ver como a visibilidade do lado do cliente apoia seu programa de conformidade com a CPA.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Sim. A Colorado Privacy Act se aplica independentemente de onde sua empresa esteja localizada, desde que você direcione produtos ou serviços a residentes do Colorado e atinja os limites de volume de dados aplicáveis.

A CPA difere da CCPA em vários aspectos importantes. Ela não inclui um limite de receita, exige o cumprimento de mecanismos universais de opt-out, se aplica a organizações sem fins lucrativos e exige consentimento opt-in para dados sensíveis, em vez de um modelo de opt-out. A CPA também proíbe explicitamente o uso de dark patterns para obter consentimento.

Dados sensíveis sob a CPA incluem informações que revelam origem racial ou étnica, crenças religiosas, condições de saúde, orientação sexual ou vida sexual, status de cidadania, dados genéticos, identificadores biométricos e dados pessoais de crianças menores de 13 anos.

Violações da CPA são tratadas como práticas comerciais enganosas, com penalidades que variam de US$ 2.000 a US$ 20.000 por violação. Embora um período de correção de 60 dias tenha sido aplicado anteriormente, a partir de 1º de janeiro de 2025 o Procurador-Geral do Colorado pode iniciar ações de fiscalização imediatamente, sem oferecer um período de correção.

Sim. Desde 1º de julho de 2024, os sites são obrigados a reconhecer os sinais do Global Privacy Control como solicitações válidas de opt-out, removendo os usuários afetados da publicidade direcionada e da venda de dados pessoais.

As avaliações de proteção de dados são obrigatórias se sua organização vende dados pessoais, realiza publicidade direcionada ou cria perfis de consumidores de formas que possam resultar em danos, como perfilamento com base em características étnicas ou religiosas.

Plataformas como o cside podem ajudar organizações a se adequarem à CPA identificando e monitorando riscos de privacidade em sites. O cside descobre riscos introduzidos por fornecedores terceiros, detecta vulnerabilidades de segurança no lado do cliente que podem levar a violações de dados e ajuda a formatar evidências de conformidade em formatos específicos para cada regulação.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.

Detetar e bloquear o Perplexity Shopper no seu site — blog cside

Como bloquear o Perplexity Shopper no seu site

O Perplexity Shopper navega e compra em sites de retalho em nome de utilizadores Pro. Aprenda a detetar os seus sinais e a governar esse tráfego.

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.