O cenário da privacidade de dados nos EUA tem sido frequentemente caracterizado por sua constante evolução. Na ausência de uma lei federal abrangente, legisladores estaduais em todo o país estão trabalhando para promulgar leis de privacidade de dados, na esperança de proteger melhor os direitos de privacidade de dados dos consumidores americanos e dar-lhes mais controle sobre como as empresas coletam e usam seus dados pessoais.
Atualmente, nove estados implementaram leis abrangentes de privacidade de dados. Somente em 2023, oito estados adicionais apresentaram projetos de lei sobre privacidade que abrangem diversos aspectos, como a proteção de identificadores biométricos e dados de saúde. Mantenha-se atualizado sobre as mais recentes legislações estaduais de privacidade neste guia.
Leis estaduais atualmente em vigor
Califórnia
A Califórnia saiu na frente ao se tornar o primeiro estado a promulgar uma legislação abrangente sobre privacidade de dados por meio da Lei de Privacidade do Consumidor da Califórnia (CCPA) e o Lei de Direitos de Privacidade da Califórnia (CPRA). O CCPA A Lei de Privacidade do Consumidor da Califórnia (CCPA) foi sancionada em 8 de junho de 2018 e entrou em vigor em 1º de janeiro de 2020. Ela estabelece direitos de privacidade para os californianos e impõe requisitos comerciais à coleta e venda de suas informações pessoais. Em 3 de novembro de 2020, os eleitores da Califórnia aprovaram a Lei de Proteção da Privacidade do Consumidor da Califórnia (CPRA), que alterou e expandiu a CCPA. Embora a CPRA tenha entrado em vigor em 16 de dezembro de 2020, a maioria de suas revisões à CCPA só entrou em vigor em 1º de janeiro de 2023.
Virgínia
Em 21 de março de 2021, a Virgínia tornou-se o segundo estado a aprovar uma legislação abrangente sobre privacidade de dados, com a promulgação da Lei de Proteção de Dados Pessoais (Data Privacy Protection Act - DPA). Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA)A lei entrou em vigor em 1º de janeiro de 2023, concedendo aos virginianos o direito de acessar seus dados e solicitar que suas informações pessoais sejam excluídas pelas empresas. Ela também exige que as empresas realizem avaliações de proteção de dados para processar dados pessoais para fins de publicidade e vendas direcionadas.
Colorado
O Colorado entrou como o terceiro estado, passando Lei de Privacidade do Colorado (CPA) Em 8 de junho de 2021, com vigência a partir de 1º de julho de 2023, a Lei de Proteção ao Consumidor do Colorado (CPA) define cinco direitos fundamentais para os consumidores do Colorado: direito de acesso, direito de retificação, direito de exclusão, direito à portabilidade de dados e direito de optar por não participar. Essa legislação protege informações pessoais que podem ser vinculadas a um indivíduo específico, excluindo dados anonimizados e informações publicamente disponíveis.
Utah
Em 24 de março, o governador Spencer Cox, de Utah, assinou o Lei de Privacidade do Consumidor de Utah (UCPA) ao torná-la lei, fazendo de Utah o quarto estado a implementar uma legislação abrangente sobre privacidade do consumidor. UCPA entrará em vigor em 31 de dezembro de 2023.
Embora a UCPA se inspire e incorpore elementos de suas antecessoras na área de privacidade, ela adota uma abordagem mais favorável aos negócios em relação à privacidade do consumidor. A UCPA se aplica a controladores ou processadores que realizam negócios em Utah ou que têm como alvo residentes de Utah, com limites específicos de receita e dados do consumidor a serem atendidos.
Connecticut
Connecticut juntou-se ao grupo em 10 de maio de 2022, tornando-se o quinto estado a introduzir um Lei abrangente de privacidade de dados. O Lei de Privacidade de Dados Pessoais e Monitoramento Online de ConnecticutA lei, com entrada em vigor prevista para 1º de julho de 2023, concede aos consumidores de Connecticut opções relativas aos dados pessoais coletados por empresas que operam no estado. Além disso, a lei impõe responsabilidades adicionais às empresas que lidam com os dados dos consumidores de Connecticut.
Iowa
Em 29 de março de 2023, Iowa se juntou ao grupo dos estados americanos, tornando-se o sexto estado a aprovar uma lei abrangente de privacidade. Lei de Proteção de Dados do Consumidor de Iowa Entra em vigor em 1º de janeiro de 2025. A lei de privacidade de Iowa aplica-se a empresas que controlam ou processam dados pessoais de pelo menos 100.000 consumidores de Iowa ou que obtêm mais de 501.000 dólares de receita bruta com a venda de dados pessoais e controlam ou processam dados pessoais de pelo menos 25.000 consumidores de Iowa. Esta lei estabelece um limite com base no número de consumidores e na receita gerada com a venda de dados pessoais.
Indiana
Indiana tornou-se o sétimo estado a aprovar uma lei abrangente de privacidade, seguindo de perto Iowa, em 1º de maio deste ano. Lei de Proteção de Dados do Consumidor de IndianaA legislação de Indiana compartilha semelhanças com as leis de privacidade do Colorado, Connecticut e Virgínia em relação a direitos e requisitos. No entanto, Indiana se diferencia por conceder às organizações mais de dois anos e meio para se adequarem, visto que a lei entrará em vigor em 1º de janeiro de 2026. O escopo da lei se aplica a empresas que operam em Indiana ou que atendem residentes do estado, com limites específicos para o controle ou processamento de dados pessoais. A lei abrange dados pessoais vinculados a um indivíduo identificável, excluindo dados anonimizados, agregados ou publicamente disponíveis.
Tennessee
O governador Bill Lee assinou o Lei de Proteção de Informações do Tennessee (TIPA) transformada em lei em 11 de maio, tornando Tennessee O Tennessee é o oitavo estado a implementar uma lei abrangente de privacidade. A Lei de Proteção da Privacidade do Interesse Público (TIPA, na sigla em inglês) entrará em vigor em 1º de julho de 2024, antes das datas de implementação em Indiana e Iowa. Ela se aplica a indivíduos que realizam negócios no Tennessee ou que têm como alvo residentes do Tennessee, com limites semelhantes às leis de privacidade da Virgínia, Iowa e Indiana. A TIPA inclui isenções para entidades governamentais, instituições financeiras sob a Lei Gramm-Leach-Bliley, empresas em conformidade com a HIPAA, organizações sem fins lucrativos e instituições de ensino superior. Ela também isenta tipos específicos de dados, incluindo informações de saúde protegidas e dados relacionados ao emprego.
Montana
Montana tornou-se recentemente o nono estado a promulgar uma lei abrangente de privacidade do consumidor, com a assinatura da Lei de Privacidade de Dados do Consumidor de Montana Em 19 de maio de 2023, com vigência a partir de 1º de outubro de 2024, a lei se aplica a indivíduos ou empresas que atuam no estado de Montana e exige que consumidores entre 13 e 16 anos autorizem a venda de seus dados pessoais e o recebimento de publicidade direcionada. A "venda" de dados pessoais é definida como a troca de informações pessoais por contrapartida monetária ou outra forma de valor, realizada pela empresa a terceiros. Os consumidores de Montana têm o direito de confirmar, acessar, excluir, obter uma cópia e optar por não participar de determinadas atividades de processamento de dados.
Texas no horizonte
O Senado do Texas aprovou o projeto de lei HB 4, também conhecido como o Lei de Privacidade e Segurança de Dados do TexasA lei, que deverá tornar o Texas o décimo estado a promulgar uma legislação abrangente sobre privacidade, é inspirada na Lei de Proteção de Dados do Consumidor da Virgínia, mas também incorpora elementos das leis do Colorado e de Connecticut. A lei será apresentada em breve ao governador do Texas, Greg Abbott, e, se sancionada, entrará em vigor em 1º de março de 2024.
A lei proposta aplica-se a empresas que operam no Texas ou que fornecem produtos/serviços a residentes do Texas, sem exigência de receita mínima ou processamento de dados. O projeto de lei concede aos consumidores diversos direitos, incluindo o direito de confirmar se seus dados estão sendo processados, corrigir imprecisões, excluir dados pessoais, obter uma cópia de seus dados e optar por não participar de determinadas atividades de processamento. Os controladores de dados são obrigados a responder às solicitações dos consumidores em até 45 dias e devem realizar avaliações de proteção de dados para tipos específicos de atividades de processamento que representem riscos aos consumidores.
Outras disposições importantes incluem a minimização de dados, o consentimento para o processamento de dados sensíveis, a não discriminação, os requisitos de aviso de privacidade, a publicidade direcionada, os princípios de privacidade desde a concepção e as avaliações de proteção de dados — com sanções aplicáveis até £7.500 por violação.
Isso estabelece um tom mais rigoroso em comparação com leis de privacidade mais favoráveis aos negócios em outros estados, como Utah e Iowa.
Estados com projetos de lei ativos em disputa
O cenário regulatório está em constante mudança, com alguns estados apresentando projetos de lei, incluindo:
Delaware
Em 12 de maio de 2023, Delaware apresentou o Lei de Privacidade de Dados Pessoais de Delaware (HB154) Estabelece os direitos do consumidor em relação aos dados pessoais. A lei garante aos residentes de Delaware o direito de acessar, corrigir e solicitar a exclusão de suas informações pessoais mantidas por empresas no estado. O Departamento de Justiça de Delaware realizará uma campanha de divulgação pública para informar consumidores e empresas sobre a lei, pelo menos seis meses antes de sua entrada em vigor.
Louisiana
Apresentado em 4 de abril de 2023, o Lei de Privacidade do Consumidor da Louisiana Aplica-se a empresas no estado ou que tenham como alvo seus residentes, com receita anual de 1,4 a 25 milhões de dólares ou mais. Exige conformidade de entidades que controlam ou processam dados pessoais de pelo menos 100.000 residentes da Louisiana ou que obtêm mais de 501 a 300 dólares em receita com a venda de dados pessoais e processam dados de pelo menos 25.000 residentes. Concede aos consumidores direitos como acessar, corrigir e excluir seus dados pessoais, optar por não receber publicidade direcionada e impedir a venda de dados.
Maine
O Lei de Privacidade do Consumidor do Maine (LD 1973) Aplica-se a empresas no Maine ou que tenham como público-alvo residentes do Maine, com limites específicos para o processamento de dados e a receita proveniente da venda de dados pessoais. Inclui isenções para certas entidades e tipos de dados regulamentados por outras leis de privacidade. A lei garante ao consumidor o direito de acessar, corrigir, excluir e obter seus dados pessoais. Proíbe certas atividades de processamento sem o consentimento prévio do consumidor e enfatiza princípios de privacidade desde a concepção, como a limitação da finalidade e as práticas de segurança de dados.
Massachusetts
Massachusetts está analisando um projeto de lei abrangente sobre privacidade de dados chamado Lei de Privacidade e Segurança da Informação de Massachusetts (MIPSA), um projeto de lei apresentado em fevereiro de 2022. Se aprovado, o MIPSA se aplicaria a empresas com faturamento anual igual ou superior a 1,25 milhão de dólares ou que processem informações pessoais de pelo menos 100.000 indivíduos. Ele amplia os direitos dos residentes e introduz regulamentações sobre dados biométricos e sensíveis.
Nova Hampshire
Apresentado em 19 de janeiro de 2023— Projeto de lei SB 255 de New HampshireA lei foi criada para alinhar as leis de privacidade e segurança cibernética do estado com as de outros estados e países. Os residentes de New Hampshire obteriam direitos como serem informados sobre o tratamento de suas informações pessoais, acessar e corrigir seus dados, optar por não participar da coleta e uso de dados, solicitar a exclusão de dados e proteção contra discriminação por exercerem seus direitos de privacidade.
Nova Jersey
O projeto de lei A505 da Assembleia, conhecido como o Lei de Transparência e Responsabilidade de Nova JerseyO projeto de lei, intitulado "Projeto de Lei de Proteção de Dados e Uso Responsável", foi apresentado na Assembleia Geral do Estado de Nova Jersey. O objetivo é estabelecer requisitos para o processamento e a divulgação de informações de identificação pessoal e criar o Escritório de Proteção de Dados e Uso Responsável. Inclui disposições para a obtenção de consentimento, garantia de transparência, concessão de direitos aos titulares dos dados, regulamentação da tomada de decisões automatizada, segurança dos dados pessoais do consumidor e multas de até £1.000.000.
Nova Iorque
O projeto de lei do Senado SB 365, conhecido como o Lei de Privacidade de Nova YorkO projeto de lei, intitulado "Lei de Proteção de Dados Pessoais", foi reapresentado no Senado do Estado de Nova York em 6 de janeiro de 2022. Ele concede novos direitos aos consumidores, como acesso, correção e contestação de decisões automatizadas. Além disso, impõe obrigações às empresas, como fornecer avisos claros, manter a segurança dos dados, obter consentimento, realizar avaliações regulares e notificar os consumidores sobre possíveis danos.
Carolina do Norte
A proposta Lei de Privacidade do Consumidor da Carolina do Norte (CPA) Foi introduzida em 2021. Se promulgada, a CPA se aplicaria a empresas que operam na Carolina do Norte ou que têm como alvo esse mercado e que processam dados pessoais de um determinado número de consumidores. Existem isenções para certas entidades e tipos de dados, principalmente protegidos por leis federais como a HIPAA.
Oregon
No início de janeiro de 2023, o Oregon introduziu SB 619 — que, se promulgada, se aplicará a residentes que exercem atividades não comerciais e a empresas que operam no Oregon ou prestam serviços a residentes do Oregon e que processam dados pessoais de consumidores. As principais disposições incluem o direito de solicitar informações aos controladores, corrigir imprecisões, excluir dados e o consentimento explícito obrigatório para dados pessoais sensíveis.
Pensilvânia
A Lei de Proteção de Dados do Consumidor da Pensilvânia, apresentada como HB 708 em 20 de janeiro de 2022, visa garantir aos consumidores direitos como acesso, exclusão, correção, recusa e portabilidade de seus dados pessoais. Ela também estabelece princípios de processamento de dados, exige práticas de segurança, aplica contratos entre controladores e processadores, requer avaliações de proteção de dados e designa o Procurador-Geral da Pensilvânia para fiscalização.
Rhode Island
Em 23 de março de 2023, o projeto de lei SB754 foi apresentado como o Lei de Transparência de Dados e Proteção da Privacidade de Rhode IslandO projeto de lei concederia aos consumidores de Rhode Island novas e importantes proteções, incluindo o direito de saber quais informações as empresas coletaram sobre eles, o direito de acessar, corrigir e excluir essas informações, bem como a possibilidade de exigir que as empresas respeitem as solicitações de exclusão de agentes autorizados.
Para ver como a BigID pode ajudar você a se manter à frente da legislação de privacidade em constante evolução— Agende uma demonstração individual hoje mesmo.
Autor
