Como funcionam as leis de proteção de dados nos Estados Unidos
Embora os EUA não possuam uma lei geral de proteção de dados, como a GDPR na Europa e a LGPD no Brasil, isto não significa que não existam leis sobre o assunto no país. Muito pelo contrário. Elas existem, mas são várias leis promulgadas em níveis federal e estadual.
Em geral, diferentemente da GDPR e da LGPD, as leis de segurança e privacidade de dados nos EUA são específicas. Ou seja, elas regulamentam o uso de determinados tipos de dados ou regulamentam alguns setores, como saúde, finanças e telecomunicações.
Na tentativa de cobrir pontos que as leis federais não cobrem, também há leis e regulamentações em nível estadual. Isto é, cada estado promulga as suas próprias regras em relação à proteção de dados e informações.
Embora tenham semelhanças, essas regulamentações geralmente diferem entre os estados porque abrangem diferentes pontos de interesse.
Por falar nisso, alguns estados já estão trabalhando na criação e na aplicação de novas leis, mais abrangentes e protetivas. É o caso da Califórnia, com a California Consumer Privacy Act (CCPA), e de Nova York, com a New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD).
Neste artigo, você vai ler mais sobre:
Exemplos de leis federais de proteção de dados nos EUA
Existem várias leis federais nos Estados Unidos que envolvem segurança e privacidade de dados e informações. Vamos ver alguns exemplos para ilustrar.
1. Driver’s Privacy Protection Act (DPPA)
A DPPA define uma série de regras e cuidados que departamentos estaduais de veículos a motor devem ter ao lidar com informações pessoais, como nome e telefone.
2. Children’s Online Pivacy Protection Act (COPPA)
A COOPA regulamenta o uso e a coleta de informações sobre crianças menores de 13 anos por parte de alguns tipos de empresas. Por exemplo, ela afirma que as empresas precisam obter o consentimento dos pais para coletar e usar as informações das crianças.
3. Fair Credit Reporting Act (FCRA)
A FCRA trata da proteção de dados coletados por agências de informações ao consumidor, como empresas de informações médicas e agências de crédito. Por exemplo, ela define cuidados especiais ao lidar com informações confidenciais de terceiros.
4. Telemarketing Sales Rules (TSR)
Como o próprio nome sugere, a TSR estabelece normas e restrições de telemarketing, envolvendo principalmente a questão da privacidade. Por exemplo, ela proíbe chamadas para quem já disse que não quer receber mais ligações e estabelece limite de horário para as chamadas.
5. Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM)
A CAN-SPAM determina regras para empresas que enviam e-mails comerciais não solicitados. Um dos principais pontos desta regulamentação diz que o destinatário pode optar optar por não receber mensagens.
6. Health Insurance Portability and Accountability Act (HIPAA)
A HIPPA exige que informações de pacientes sejam protegidas, garantindo a privacidade e a segurança de dados pessoais.
7. Family Educational Rights and Privacy (FERPA)
A FERPA garante a proteção das informações de estudantes. Ela proíbe, por exemplo, a divulgação de dados pessoais e de registros estudantis sem a permissão ou o consentimento do aluno ou responsável.
Leis estaduais de proteção de dados nos EUA
Muitas leis estaduais nos Estados Unidos também fazem exigências relacionadas à coleta e ao uso de diversos tipos de dados e informações. Podemos dizer até que, em muitos casos, as regulamentações dos estados são prolongamentos ou complementos das leis federais.
Mas, obviamente, há diferenças e alguns estados acabam sendo mais rígidos do que outros.
Por exemplo, todos os 50 estados dos EUA possuem leis de notificação de violação de dados. A questão é que há diferenças entre elas, inclusive na definição do que é uma violação de dados e do que são dados pessoais e confidenciais.
O fato é que alguns estados, como Califórnia, Nova York, Massachusetts e Minnesota, são conhecidos por terem leis mais rígidas de privacidade e proteção de dados, garantindo mais direitos para os seus residentes.
Para ilustrar a preocupação de alguns estados com os direitos e a privacidade de seus residentes, vamos citar duas leis estaduais que entraram em vigor em 2020.
1. California Consumer Privacy Act (CCPA)
Quando o assunto é privacidade e proteção de dados, sem dúvidas, a Califórnia é uma referência. Recentemente, o estado promulgou a CCPA, que entrou em vigor em janeiro.
Essa lei afeta um grupo de empresas e cria novos direitos do consumidor, que passam a ter mais controle sobre as suas próprias informações.
2. New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD)
Outra lei que também entrou em vigor em 2020 é a NY SHIELD. Ela é similar à CCPA.
Na verdade, a NY Shield é uma expansão da lei de notificação de violação de dados existente no estado. Ela exige que determinadas empresas sejam mais transparentes e tenham maior cuidado ao lidar com dados pessoais.
Autoridades responsáveis pela proteção e privacidade de dados nos EUA
Não há uma autoridade central de proteção de dados nos EUA. Mas a principal autoridade federal em questões de proteção e segurança de dados, apesar de ter jurisdição limitada, chama-se Federal Trade Comission (FTC).
Nas palavras da própria agência: “Em todo o trabalho de privacidade e segurança de dados, as metas da FTC permaneceram constantes: proteger as informações pessoais dos consumidores; e garantir que os consumidores tenham confiança para tirar proveito dos muitos benefícios dos produtos oferecidos no mercado ”.
Existem outras agências e autoridades importantes que regulam a proteção e a privacidade de dados. Porém, elas operam em setores específicos da sociedade, como, por exemplo:
- Federal Communications Commission (FCC);
- Department of Health and Human Services (HHS);
- Consumer Financial Protection Bureau (CFPB);
- Securities and Exchange Commission (SEC).
Além deles, os procuradores gerais dos estados também desempenham um papel importante na aplicação das leis.
Lei geral de proteção de dados dos EUA
Por fim, agora você sabe mais sobre o que diz o direito dos Estados Unidos sobre proteção de dados, descobriu que não há uma LGPD americana e que os estados dividem a tarefa de proteger os dados pessoais dos americanos.
A grande pergunta a se fazer é (e muitos especialistas têm feito): os EUA devem promulgar uma lei universal e geral de proteção de dados como a GDPR?
Nós acreditamos que sim, os EUA deveriam adotar uma lei geral de proteção de dados.
Como hoje existem diferentes leis federais e estaduais, fica difícil e burocrático para as empresas cumprirem com tantos requisitos. Muitas exigências também acabam sendo contraditórias ou conflitantes, o que dificulta ainda mais o trabalho.
Além disso, uma lei geral e nova abordaria melhor a sociedade atual, incluindo novas tecnologias e novos tipos de dados.
O governo federal, no entanto, não sinalizou nada a respeito. Só o tempo dirá.
Mas podemos ir além. Quem sabe no futuro não teremos uma lei global de proteção de dados, com regras e padrões universais. Ela poderia funcionar como um acordo entre vários países por um mundo mais transparente e seguro. Este seria definitivamente um passo importante para a segurança cibernética.
Para você, deveria ou não existir uma lei global de proteção de dados? Compartilhe as suas ideias sobre o assunto no LinkedIn e marque a página da Gatefy para evoluirmos este debate!