Um rascunho de um projeto de lei federal bipartidário abrangente sobre privacidade foi publicado na sexta-feira, 3 de junho. O projeto de lei — intitulado “Lei Americana de Privacidade e Proteção de Dados” — “proporcionaria aos consumidores direitos fundamentais de privacidade, criaria mecanismos de supervisão robustos e estabeleceria uma aplicação efetiva”.
O projeto de lei proposto contém uma série de definições, que incluem uma série de termos que têm sido tendências nas notícias sobre privacidade, como “informações biométricas”, “informações genéticas” e “publicidade direcionada”.
Dividido em quatro seções, direitos de dados do consumidor incluiria o direito de:
- Acessar determinados dados de uma entidade coberta;
- Corrigir informações imprecisas ou incompletas dentro desses dados;
- Excluir dados cobertos; e
- Receba esses dados em um formato portátil.
O tempo que as entidades cobertas terão para responder a uma solicitação individual do consumidor dependerá do tamanho da entidade (por exemplo, “grandes detentores de dados” terão 30 dias a partir da verificação da solicitação).
Além disso, as entidades cobertas também precisarão cumprir o direito do consumidor de consentir e/ou se opor ao processamento de dados confidenciais, bem como precisarão fornecer mecanismos para que os consumidores optem por não participar de transferências de dados cobertos e publicidade direcionada.
Algumas outras disposições cruciais que podem ser encontradas no Título II do projeto de lei proposto incluem o seguinte:
- Proteções de dados específicas para crianças e menores;
- Obrigações para entidades terceiras cobertas;
- Instruções para avisos e políticas de privacidade;
- Requisitos para programas de segurança e proteção de dados; e
- Cláusulas referentes à proteção de direitos civis e algoritmos, incluindo a necessidade de entidades cobertas conduzirem avaliações de impacto de algoritmos.
O Título III do projeto de lei responsabilizaria as empresas e seus executivos por certificar à FTC que implementaram controles razoáveis, conforme exigido pela lei, e estruturas de relatórios que garantam o cumprimento de suas disposições. Alguns requisitos importantes para entidades abrangidas incluem:
- A designação de pelo menos um responsável pela privacidade e um responsável pela segurança de dados;
- A implementação de um programa de privacidade de dados e de um programa de segurança de dados; e
- Estabelece requisitos adicionais para entidades cobertas que se qualificam como “grandes detentores de dados”, conforme definido no projeto de lei.
As entidades que se qualificam como grandes detentores de dados também seriam obrigadas a realizar avaliações de impacto na privacidade (“PIAs”) que consideram tecnologias emergentes, como blockchain ou outros avanços “usados [pelo grande detentor de dados] para proteger dados protegidos”.
De acordo com o rascunho atual, a FTC teria autoridade para aplicar a Lei e seria obrigada a estabelecer um novo departamento para auxiliar na missão no máximo um ano após a promulgação do projeto de lei.
O Procurador-Geral dos EUA e os Procuradores-Gerais dos Estados Unidos (ou o principal responsável pela proteção do consumidor, dependendo do estado) também teriam permissão para iniciar ações civis contra entidades que violassem a Lei em nome de indivíduos e/ou residentes de seus respectivos estados. Tanto a FTC quanto o Procurador-Geral dos EUA seriam obrigados a depositar o valor de qualquer multa civil ou outra indenização relacionada a um fundo recém-criado no Departamento do Tesouro dos EUA, conhecido como "Fundo de Auxílio às Vítimas de Privacidade e Segurança".
O projeto também prevê um direito privado de ação para ações individuais ou coletivas. No entanto, essa disposição específica só entrará em vigor quatro anos após a promulgação do projeto de lei.
Notavelmente, a lei federal iria impedir leis estaduais já coberto por suas disposições, mas contém isenções para uma série de leis federais e estaduais relacionadas à privacidade e segurança, incluindo o direito de instituir uma ação civil em caso de violação de segurança de informações pessoais (1798.150, Proposição 24, Seção 16 (também conhecido como “CPRA” da Califórnia).
Autor
