Um rascunho de projeto de lei federal bipartidário abrangente sobre privacidade Foi publicado na sexta-feira, 3 de junho. O projeto de lei proposto — intitulado “Lei Americana de Privacidade e Proteção de Dados” — visa “fornecer aos consumidores direitos fundamentais de privacidade, criar mecanismos de supervisão robustos e estabelecer uma aplicação efetiva da lei”.
O projeto de lei proposto contém uma série de definições, incluindo vários termos que têm sido tendência em notícias sobre privacidade, como "informação biométrica", "informação genética" e "publicidade direcionada".
Dividido em quatro seções, direitos do consumidor em relação aos dados incluiria o direito a:
- Aceder a determinados dados de uma entidade abrangida;
- Corrigir informações imprecisas ou incompletas nesses dados;
- Excluir dados protegidos; e
- Receba esses dados em um formato portátil.
O tempo que as entidades abrangidas terão para responder a uma solicitação individual do consumidor dependerá do porte da entidade (por exemplo, "grandes detentores de dados" terão 30 dias a partir da verificação da solicitação).
Além disso, as entidades abrangidas também precisarão cumprir o direito do consumidor de consentir e/ou se opor ao processamento de dados sensíveis, bem como fornecer mecanismos para que os consumidores optem por não participar das transferências de dados abrangidas e da publicidade direcionada.
Outras disposições cruciais que podem ser encontradas no Título II do projeto de lei proposto incluem o seguinte:
- Proteções de dados específicas para crianças e menores;
- Obrigações para entidades terceiras abrangidas;
- Instruções para avisos e políticas de privacidade;
- Requisitos para programas de segurança e proteção de dados; e
- Cláusulas relativas à proteção dos direitos civis e aos algoritmos, incluindo a necessidade de as entidades abrangidas realizarem avaliações de impacto dos algoritmos.
O Título III da proposta responsabilizaria as empresas e seus executivos por certificar à FTC (Comissão Federal de Comércio) que implementaram controles razoáveis, conforme exigido pela lei, e estruturas de reporte que garantam a conformidade com suas disposições. Alguns requisitos notáveis para as entidades abrangidas incluem:
- A designação de pelo menos um responsável pela privacidade e um responsável pela segurança de dados;
- A implementação de um programa de privacidade de dados e um programa de segurança de dados; e
- Estabelece requisitos adicionais para as entidades abrangidas que se qualificam como "grandes detentores de dados", conforme definido no projeto de lei.
Entidades que se qualificam como grandes detentoras de dados também seriam obrigadas a realizar avaliações de impacto na privacidade (“PIAs”) que consideram tecnologias emergentes, como blockchain ou outros avanços “usados [pelo grande detentor de dados] para proteger os dados abrangidos”.
De acordo com a versão atual do projeto de lei, a FTC (Comissão Federal de Comércio) receberia autoridade para fazer cumprir a lei e seria obrigada a criar um novo departamento para auxiliar nessa missão no prazo máximo de um ano após a promulgação da lei.
O Procurador-Geral dos EUA e os Procuradores-Gerais Estaduais (ou o chefe de proteção ao consumidor, dependendo do estado) também teriam permissão para iniciar ações civis contra entidades que violarem a Lei em nome de indivíduos e/ou residentes de seus respectivos estados. Tanto a FTC quanto o Procurador-Geral dos EUA seriam obrigados a depositar o valor de qualquer multa civil ou outra indenização relacionada em um fundo recém-criado no Departamento do Tesouro dos EUA, conhecido como "Fundo de Auxílio às Vítimas de Privacidade e Segurança".
O projeto de lei também prevê o direito de ação privada para processos individuais ou ações coletivas. No entanto, essa disposição específica só entrará em vigor quatro anos após a promulgação da lei.
Notavelmente, a lei federal impediria leis estaduais já abrangida por suas disposições, mas contém isenções para diversas leis federais e estaduais relacionadas à privacidade e segurança, incluindo o direito de instaurar uma ação civil em caso de violação da segurança de informações pessoais (1798.150, Proposição 24, Seção 16 (também conhecida como A “CPRA” da Califórnia).
Autor
