Leis de privacidade estaduais dos EUA: entendendo a complexidade do sistema norte-americano

O ano de 2025 começou com a entrada em vigor de várias leis de privacidade no âmbito dos Estados Unidos. E há várias outras programadas para entrarem em vigor este ano. Aqui está uma lista atual:

a) Iowa: A lei entrou em vigor em 1º de janeiro de 2025
b) Delaware: A lei entrou em vigor em 1º de janeiro de 2025
c) Nebrasca: A lei entrou em vigor em 1º de janeiro de 2025
d) Nova Hampshire: A lei entrou em vigor em 1º de janeiro de 2025
e) Nova Jersey: A lei entrou em vigor em 15 de janeiro de 2025
f) Tennessee: A lei entrará em vigor em 1º de julho de 2025
g) Minnesota A lei entrará em vigor em 31 de julho de 2025
h) Maryland: A lei entrará em vigor em 1º de outubro de 2025

Com cerca de 20 estados com uma lei de privacidade do consumidor (além de um número crescente de leis estaduais de privacidade específicas), o cenário está se tornando complicado.

Principais semelhanças e diferenças

Todas as leis estaduais de privacidade do consumidor são extraterritoriais.

Ao contrário do GDPR (General Data Protection Regulation), que se aplica a todos os tipos de entidades, a maioria das leis estaduais aplica-se apenas a empresas com fins lucrativos (exceções: Minnesota, Delaware, Nova Jersey, Colorado, Oregon e Maryland).

Ao contrário do Regulamento Geral sobre a Proteção de Dados, quase todas as leis estaduais de privacidade não se aplicam ao governo.

A maioria define dados pessoais de forma semelhante ao GDPR.

Ao contrário do GDPR, a maioria tem limites para excluir pequenas empresas.

A maioria exclui dados regulamentados pelas leis federais de privacidade, como Hipaa, GLBA, FCRA e Ferpa.

A maioria das categorias possui dados semelhantes, embora existam algumas variações. As categorias mais reconhecidas incluem origem racial ou tradição, orientação sexual (várias também incluem vida sexual), dados genéticos ou biométricos, implicações religiosas, diagnóstico de saúde física e mental (variação específica na forma como isto é redigido), cidadania ou estatuto de imigração, dados recolhidos de uma criança e geolocalização precisa.

A maioria prevê direitos individuais de acesso, exclusão, correção e portabilidade de dados.

A maioria oferece direitos de exclusão para venda de dados, anúncios direcionados e criação de perfis.

A maioria exige adesão (e uma PIA) para o processamento de dados confidenciais (exceções: UT, CA).

A maioria exige acordos de processamento de dados.

A maioria exige PIAs para anúncios direcionados, criação de perfis, dados confidenciais, venda de dados e risco de danos.

A maioria é aplicada por AGs estaduais e tem multas (exceção: a CA é aplicada por uma agência especial de privacidade).

A maioria não tem direito de ação privado (exceção: a CA tem direito de ação privado em caso de violação de dados).

Minimização de dados: Lei de Privacidade de Maryland

A maior discrepância é o contexto legislativo presente em Maryland, que adota uma abordagem de minimização de dados. A lei estabelece que o recolhimento ou tratamento de dados pessoais deve ser “razoavelmente necessário” para fornecer o produto ou serviço solicitado pelo consumidor, a menos que o consumidor opte por uma utilização mais ampla dos dados.

Os dados confidenciais exigem aceitação e nenhuma coleta ou processamento de dados, a menos que seja “estritamente necessário” para fornecer o produto/serviço. E o processamento além do estritamente necessário é proibido — mesmo com consentimento!

Leis de privacidade específicas do assunto

Os estados também estão aprovando leis de privacidade específicas para cada assunto. As áreas mais sensíveis, e que demandam redobrada atenção por parte dos operadores do direito, incluem dados biométricos, dados de saúde, dados infantis, moderação de conteúdo online e privacidade educacional.

O que nós, operadores do direito no Brasil, devemos fazer em relação a este cenário existente nos Estados Unidos?

Você não pode treinar toda a força de trabalho sobre todas essas leis de privacidade, então o que você deve fazer?  Abaixo, algumas recomendações:

1) Treinar sobre os principais princípios e conceitos de privacidade que sustentam a maioria das leis.

2) Treinar funcionários em funções específicas com treinamento relevante para eles. Por exemplo, funcionários de marketing devem ser treinados sobre as leis de marketing (TCPA, CAN-SPAM, CASL); os engenheiros devem ser treinados em proteção de dados de privacidade por design; o pessoal de RH que lida com PHI deve receber treinamento Hipaa e assim por diante.

3) Treinar as equipes jurídica e de privacidade (e outras pessoas em funções relevantes) com os fundamentos de diversas leis. Essas pessoas deveriam aprender pelo menos o básico de como funcionam as diversas leis. Eles não precisam se tornar especialistas em cada lei, mas devem ter uma noção aproximada do cenário.