O cenário de privacidade de dados nos EUA tem sido frequentemente caracterizado por seu constante estado de evolução. Na ausência de uma lei federal abrangente, legisladores estaduais em todo o mundo estão trabalhando para promulgar leis de privacidade de dados na esperança de proteger melhor os direitos de privacidade de dados dos consumidores americanos e dar-lhes mais controle sobre como as empresas coletam e usam seus dados pessoais.
Atualmente, nove estados implementaram leis abrangentes de privacidade de dados. Somente em 2023, oito estados adicionais apresentaram projetos de lei de privacidade que abrangem diversos aspectos, como a proteção de identificadores biométricos e dados de saúde. Fique por dentro de todas as legislações estaduais de privacidade mais recentes neste guia.
Leis estaduais atualmente promulgadas
Califórnia
A Califórnia assumiu a liderança ao se tornar o primeiro estado a promulgar uma legislação abrangente sobre privacidade de dados por meio da Lei de Privacidade do Consumidor da Califórnia (CCPA) e o Lei de Direitos de Privacidade da Califórnia (CPRA). O CCPA foi sancionada em 8 de junho de 2018 e entrou em vigor em 1º de janeiro de 2020. Ela estabelece direitos de privacidade para os californianos e impõe requisitos comerciais sobre a coleta e venda de suas informações pessoais. Em 3 de novembro de 2020, os eleitores da Califórnia aprovaram a CPRA, que alterou e expandiu a CCPA. Embora a CPRA tenha entrado em vigor em 16 de dezembro de 2020, a maioria de suas revisões à CCPA só entrou em vigor em 1º de janeiro de 2023.
Virgínia
Em 21 de março de 2021, a Virgínia se tornou o segundo estado a aprovar uma legislação abrangente sobre privacidade de dados, com a promulgação de Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA)A lei entrou em vigor em 1º de janeiro de 2023, concedendo aos virginianos o direito de acessar seus dados e solicitar que suas informações pessoais sejam excluídas pelas empresas. Ela também exige que as empresas realizem avaliações de proteção de dados para processar dados pessoais para fins de publicidade e vendas direcionadas.
Colorado
O Colorado entrou como o terceiro estado, passando Lei de Privacidade do Colorado (CPA) em 8 de junho de 2021, com data de vigência em 1º de julho de 2023. O CPA descreve cinco direitos fundamentais para os consumidores do Colorado, que incluem o direito de acesso, o direito de correção, o direito de exclusão, o direito à portabilidade de dados e o direito de optar por não participar. Esta legislação protege informações pessoais que podem ser vinculadas a um indivíduo específico, excluindo dados desidentificados e informações publicamente disponíveis.
Utah
Em 24 de março, o governador Spencer Cox de Utah assinou o Lei de Privacidade do Consumidor de Utah (UCPA) em lei, tornando Utah o quarto estado a implementar uma legislação abrangente sobre privacidade do consumidor. UCPA entrará em vigor em 31 de dezembro de 2023.
Embora a UCPA se inspire e incorpore elementos de suas leis de privacidade antecessoras, a UCPA adota uma abordagem mais favorável às empresas em relação à privacidade do consumidor. Ela se aplica a controladores ou processadores que conduzem negócios em Utah ou têm como alvo residentes de Utah, com limites específicos de receita e dados do consumidor a serem atingidos.
Connecticut
Connecticut juntou-se às fileiras em 10 de maio de 2022, tornando-se o quinto estado a introduzir uma ampla lei de privacidade de dados. O Lei de Privacidade de Dados Pessoais e Monitoramento Online de Connecticut, com entrada em vigor prevista para 1º de julho de 2023 — concede aos consumidores de Connecticut opções em relação aos dados pessoais coletados por empresas que operam no estado. Além disso, a lei impõe responsabilidades adicionais às empresas que lidam com dados de consumidores de Connecticut.
Iowa
Em 29 de março de 2023, Iowa se tornou o sexto estado a aprovar uma lei abrangente de privacidade. Lei de Proteção de Dados do Consumidor de Iowa entra em vigor em 1º de janeiro de 2025. A lei de privacidade de Iowa se aplica a empresas que controlam ou processam dados pessoais de pelo menos 100.000 consumidores de Iowa ou que obtêm mais de 50% de receita bruta com a venda de dados pessoais e controlam ou processam dados pessoais de pelo menos 25.000 consumidores de Iowa. Esta lei estabelece um limite com base no número de consumidores e na receita gerada com a venda de dados pessoais.
Indiana
Indiana tornou-se o sétimo estado a aprovar uma lei abrangente de privacidade, logo atrás de Iowa em 1º de maio deste ano. Lei de Proteção de Dados do Consumidor de Indiana, compartilha semelhanças com as leis de privacidade do Colorado, Connecticut e Virgínia em relação a direitos e requisitos. No entanto, Indiana se diferencia por dar às organizações mais de dois anos e meio para atingir a conformidade, já que a lei entrará em vigor em 1º de janeiro de 2026. O escopo da lei se aplica a empresas que operam em Indiana ou atendem residentes de Indiana, com limites específicos para controle ou processamento de dados pessoais. A lei abrange dados pessoais vinculados a um indivíduo identificável, excluindo dados desidentificados, agregados ou publicamente disponíveis.
Tennessee
O governador Bill Lee assinou o Lei de Proteção de Informações do Tennessee (TIPA) em lei em 11 de maio, tornando Tennessee O oitavo estado a implementar uma lei abrangente de privacidade. A TIPA entrará em vigor em 1º de julho de 2024, antes das datas de implementação para Indiana e Iowa. Ela se aplica a indivíduos que conduzem negócios no Tennessee ou têm como alvo residentes do Tennessee, com limites semelhantes às leis de privacidade da Virgínia, Iowa e Indiana. A TIPA inclui isenções para entidades governamentais, instituições financeiras sob a Lei Gramm-Leach-Bliley, empresas em conformidade com a HIPAA, organizações sem fins lucrativos e instituições de ensino superior. Também isenta tipos específicos de dados, incluindo informações de saúde protegidas e dados relacionados ao emprego.
Montana
Montana tornou-se recentemente o nono estado a promulgar uma lei abrangente de privacidade do consumidor, com a assinatura do Lei de Privacidade de Dados do Consumidor de Montana em 19 de maio de 2023, com data de vigência em 1º de outubro de 2024. Aplica-se a indivíduos ou empresas que operam em Montana e exige que consumidores entre 13 e 16 anos optem pela venda de dados pessoais e publicidade direcionada. A "venda" de dados pessoais é definida como a troca de informações pessoais por uma empresa a terceiros em troca de dinheiro ou outro valor. Os consumidores de Montana têm o direito de confirmar, acessar, excluir, obter uma cópia e optar por não participar de determinadas atividades de processamento.
Texas no horizonte
O Senado do Texas aprovou o HB 4, também conhecido como Lei de Privacidade e Segurança de Dados do Texas, que deverá tornar o Texas o décimo estado a promulgar uma legislação abrangente sobre privacidade. O projeto de lei segue o modelo da Lei de Proteção de Dados do Consumidor da Virgínia, mas também incorpora elementos das leis do Colorado e de Connecticut. A lei será apresentada em breve ao governador do Texas, Abbott, e — se assinada — entrará em vigor em 1º de março de 2024.
A lei proposta se aplica a empresas que operam no Texas ou que fornecem produtos/serviços a residentes do Texas, sem receita mínima ou requisito de processamento de dados. O projeto de lei concede aos consumidores diversos direitos, incluindo o direito de confirmar se seus dados estão sendo processados, corrigir imprecisões, excluir dados pessoais, obter uma cópia de seus dados e optar por não participar de determinadas atividades de processamento. Os controladores de dados são obrigados a responder às solicitações dos consumidores em até 45 dias e devem realizar avaliações de proteção de dados para tipos específicos de atividades de processamento que representem riscos aos consumidores.
Outras disposições importantes incluem minimização de dados, consentimento para processamento de dados sensíveis, não discriminação, requisitos de aviso de privacidade, publicidade direcionada, princípios de privacidade desde a concepção e avaliações de proteção de dados — com violações passíveis de até $7.500 cada.
Ela estabelece um tom mais forte em comparação às leis de privacidade mais favoráveis aos negócios em outros estados, como Utah e Iowa.
Estados com projetos de lei ativos em disputa
O cenário regulatório está em constante mudança, com alguns estados contestando projetos de lei apresentados, incluindo:
Delaware
Em 12 de maio de 2023, Delaware introduziu o Lei de Privacidade de Dados Pessoais de Delaware (HB154) para estabelecer os direitos do consumidor em relação a dados pessoais. Ela concede aos residentes de Delaware o direito de acessar, corrigir e solicitar a exclusão de suas informações pessoais mantidas por empresas locais. O Departamento de Justiça de Delaware realizará ações de conscientização pública para educar consumidores e empresas sobre a Lei, com início pelo menos seis meses antes de sua entrada em vigor.
Luisiana
Lançado em 4 de abril de 2023, o Lei de Privacidade do Consumidor da Louisiana Aplica-se a empresas no estado ou que tenham como alvo seus residentes com receita anual igual ou superior a $25 milhões. Exige conformidade por parte de entidades que controlam ou processam dados pessoais de pelo menos 100.000 residentes da Louisiana ou que obtêm mais de 50% de receita com a venda de dados pessoais e processam dados de pelo menos 25.000 residentes. Concede aos consumidores direitos como acessar, corrigir e excluir seus dados pessoais, optar por não receber publicidade direcionada e vendas de dados.
Maine
O Lei de Privacidade do Consumidor do Maine (LD 1973) Aplica-se a empresas no Maine ou que tenham como alvo residentes do Maine, com limites específicos para processamento de dados e receita proveniente da venda de dados pessoais. Inclui isenções para determinadas entidades e tipos de dados regulamentados por outras leis de privacidade. A lei concede aos consumidores direitos de acesso, correção, exclusão e obtenção de dados pessoais. Proíbe certas atividades de processamento sem a autorização do consumidor e enfatiza os princípios de privacidade desde a concepção, como limitação de finalidade e práticas de segurança de dados.
Massachusetts
Massachusetts está considerando um projeto de lei abrangente sobre privacidade de dados, denominado Lei de Privacidade e Segurança de Informações de Massachusetts (MIPSA), um projeto de lei apresentado em fevereiro de 2022. Se promulgado, o MIPSA se aplicaria a empresas com receita anual igual ou superior a $25 milhões ou que processassem informações pessoais de pelo menos 100.000 pessoas. Ele expande os direitos dos residentes e introduz regulamentações sobre dados biométricos e sensíveis.
Nova Hampshire
Apresentado em 19 de janeiro de 2023— Projeto de lei SB 255 de New Hampshire, foi criado para alinhar as leis de privacidade e segurança cibernética do estado com as de outros estados e países. Os residentes de New Hampshire ganhariam direitos como ser informados sobre o tratamento de suas informações pessoais, acessar e corrigir seus dados, optar por não participar da coleta e uso de dados, solicitar a exclusão de dados e proteção contra discriminação pelo exercício de direitos de privacidade.
Nova Jersey
Projeto de Lei A505, conhecido como Lei de Divulgação e Transparência de Responsabilidade de Nova Jersey, foi apresentado na Assembleia Geral do Estado de Nova Jersey. O projeto de lei visa estabelecer requisitos para o processamento e divulgação de informações de identificação pessoal e criar o Escritório de Proteção de Dados e Uso Responsável. Inclui disposições para obtenção de consentimento, garantia de transparência, concessão de direitos aos titulares dos dados, regulamentação da tomada de decisões automatizada, proteção de dados pessoais de consumidores e multas de até $20.000.
Nova York
Projeto de Lei do Senado SB 365, conhecido como Lei de Privacidade de Nova York, foi reapresentado no Senado do Estado de Nova York em 6 de janeiro de 2022. O projeto de lei concede aos consumidores novos direitos, como acesso, correção e contestação de decisões automatizadas. Também impõe obrigações às empresas de fornecer aviso claro, manter a segurança dos dados, obter consentimento, realizar avaliações regulares e notificar os consumidores sobre danos previsíveis.
Carolina do Norte
A proposta Lei de Privacidade do Consumidor da Carolina do Norte (CPA) foi introduzido em 2021. Se promulgado, o CPA se aplicaria a empresas que operam na Carolina do Norte ou têm como alvo o processamento de dados pessoais de um determinado número de consumidores. Há exceções para determinadas entidades e tipos de dados, protegidos principalmente por leis federais como a HIPAA.
Oregon
No início de janeiro de 2023, o Oregon introduziu SB 619 — que, se promulgada, se aplicará a residentes que exerçam atividades e empresas não comerciais que operem no Oregon ou que prestem serviços a residentes do Oregon que processem dados pessoais de consumidores. As principais disposições incluem o direito de solicitar informações aos controladores, corrigir imprecisões, excluir dados e a obrigatoriedade de consentimento para dados pessoais sensíveis.
Pensilvânia
A Lei de Proteção de Dados do Consumidor da Pensilvânia, introduzida como HB 708 em 20 de janeiro de 2022, visa conceder aos consumidores direitos como acesso, exclusão, correção, opt-out e portabilidade de seus dados pessoais. Ela também estabelece princípios de processamento de dados, exige práticas de segurança, aplica contratos entre controladores e processadores, exige avaliações de proteção de dados e designa o Procurador-Geral da Pensilvânia para a execução.
Rhode Island
Em 23 de março de 2023, o SB754 foi introduzido como Lei de Transparência de Dados e Proteção de Privacidade de Rhode Island. O projeto de lei daria aos consumidores de Rhode Island novas proteções importantes, incluindo o direito de saber as informações que as empresas coletaram sobre eles, o direito de acessar, corrigir e excluir essas informações, bem como a capacidade de exigir que as empresas honrem as solicitações de cancelamento de inscrição de agentes autorizados.
Para ver como o BigID pode ajudar você a se manter à frente da evolução da legislação de privacidade — agende uma demonstração individual hoje mesmo.