O panorama das leis de privacidade de dados dos EUA
Enquanto privacidade de dados é um catalisador para a mudança, os Estados Unidos há muito tempo têm uma colcha de retalhos de regulamentações que evoluem continuamente em cada estado.
Abaixo, apresentamos um resumo das regulamentações atuais e emergentes de privacidade e proteção de dados nos Estados Unidos (EUA). Comparamos diversos estados que propuseram, introduziram, aprovaram ou assinaram alguma legislação de privacidade para proteger os dados dos consumidores com nossa Tabela de comparação de privacidade de dados por estado.
Histórico de privacidade de dados dos EUA
Lei de Privacidade (1974)
A Lei de Privacidade de 1974 foi uma das primeiras leis de privacidade nos Estados Unidos. Ela trata de como “dados de identificação pessoal” são coletados, utilizados e distribuídos. Esta nova política se aplica apenas às agências federais, o que significa que as empresas não são obrigadas a seguir essas regulamentações.
FTC – Comissão Federal de Comércio
A Comissão Federal de Comércio (FTC) é uma agência independente de aplicação da lei que protege os consumidores. A Seção 5 da Lei da FTC proíbe empresas de realizar atividades consideradas "enganosas" ou "injustas". É necessário que haja uma violação clara da política comercial ou uma forte probabilidade de dano substancial ao consumidor para que a FTC tome qualquer medida.
Leis de privacidade baseadas em setores
As leis de privacidade setoriais são regulamentações detalhadas focadas principalmente em informações sobre um grupo ou indivíduos dentro de um setor. Por exemplo, Lei de Proteção da Privacidade Online de Crianças (COPPA) restringe a coleta de dados de crianças menores de 13 anos. Em comparação, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) protege a saúde dos pacientes e os dados médicos, o que exige divulgações específicas e consentimento informado para compartilhar as informações.
Lei Gramm-Leach-Bliley (GLBA) (1999)
A Lei Gramm-Leach-Bliley é uma lei federal dos EUA que controla como as instituições financeiras gerenciam os dados privados das pessoas. Há três áreas desta lei: a Regra de Privacidade Financeira regula como dados financeiros pessoais são divulgados e coletados; a Regra de Salvaguardas torna obrigatório que as instituições financeiras protejam os dados implementando um programa de segurança; as disposições sobre Pretextos proíbem o uso de falsos pretextos para acessar dados privados. Instituições financeiras nos termos desta Lei também são responsáveis por fornecer aos clientes uma notificação por escrito explicando seu processo e prática de compartilhamento de dados.
Lei de Relatórios de Crédito Justo (FCRA)
A Lei de Relatórios de Crédito Justos protege os dados armazenados por agências de relatórios de crédito ao consumidor (empresas de informações médicas, serviços de triagem de inquilinos e agências de crédito). Ela também não permite o compartilhamento de informações de relatórios de crédito ao consumidor sem uma finalidade específica para esses dados. Além disso, os consumidores devem ser alertados quando uma ação adversa ocorrer devido aos relatórios, quando as informações forem para fins de seguro, crédito ou emprego.
Status das leis de privacidade de dados baseadas em estados
Califórnia (CCPA)
Em 2018, o Lei de Privacidade do Consumidor da Califórnia (“CCPA”) foi sancionada e está em vigor desde 1º de julho de 2020. É considerada a regulamentação de privacidade de dados mais abrangente dos EUA. A CCPA prevê novas penalidades e responsabilidades para informações pessoais coletadas, vendidas e divulgadas. Além disso, os consumidores têm o direito de acessar e excluir informações por meio de uma solicitação de acesso do titular dos dados.
Califórnia (CPRA)
O CPRA, uma emenda à Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA), entrará em vigor em janeiro de 2023, com supervisão retroativa das práticas de dados de uma empresa desde janeiro de 2020. O CPRA altera a CCPA para criar direitos adicionais de privacidade ao consumidor, como o direito de correção e o direito de limitar o uso e a divulgação de informações pessoais sensíveis. Também cria a Agência de Proteção à Privacidade da Califórnia (CPPA), transferindo a autoridade de regulamentação e execução do Procurador-Geral para a nova agência reguladora estadual.
Virgínia (CDPA)
Lei de Privacidade de Dados do Consumidor da Virgínia (CDPA) foi sancionada em 2 de março de 2021 e entrará em vigor em 1º de janeiro de 2023. Ela exige consentimento voluntário (opt-in) para o processamento de dados sensíveis e uso por terceiros, avaliações de proteção de dados e conformidade com os direitos do consumidor (acesso, correção, portabilidade, opt-out de venda e exclusão). O não cumprimento da lei de privacidade de dados do VA também pode resultar em multas pesadas para as empresas.
Fatos rápidos sobre os regulamentos de privacidade de dados dos EUA
- Atualmente, Califórnia e Virgínia são os únicos dois estados que aprovaram suas próprias leis de privacidade de dados.
- A Califórnia é o único estado que terá uma agência reguladora EXCLUSIVAMENTE dedicada à privacidade.
- CCPA estabelece penalidades significativas para descumprimento e violação da privacidade do consumidor
- As leis de Notificação de Violação de Dados são comuns em todos os 50 estados; em caso de violação de informações sensíveis, as empresas são obrigadas a reportá-la aos consumidores dos estados cujos dados foram afetados – juntamente com as autoridades reguladoras. Mas lembre-se de que dados sensíveis são definidos de forma diferente em cada estado, com alguns pontos em comum. Por exemplo, em alguns estados, o nome de solteira da sua mãe é coberto, enquanto em outros não é considerado sensível.
- CPRA e o Lei do Escudo de Nova York exigem que processadores de dados de alto risco realizem avaliações de risco e auditorias de segurança cibernética.
- Califórnia e Virgínia exigem que as empresas possuam inventário de dados e mapeiem os fluxos de negócios para responder a qualquer solicitações de direitos de dados.
- Washington, Maryland, Nova York, Havaí, Massachusetts, Flórida, Colorado, Texas e um número crescente de estados estão em processo de aprovação de suas próprias leis de privacidade de dados do consumidor. A maioria deles se baseou fortemente no GDPR e no CCPA para a elaboração de suas novas leis de privacidade.
Confira uma comparação abrangente das Normas de Privacidade dos EUA aqui - e obtenha uma demonstração 1:1 para aprender como criar um programa de privacidade à prova do futuro para se adaptar às regulamentações atuais e emergentes de privacidade e proteção de dados.