Em 2024, a segurança de dados continua a ser um tema quente entre empresas e consumidores, pois os incidentes cibernéticos e seus custos associados continuam a atingir níveis recordes. Com várias das maiores violações de dados da história ocorridas nos últimos anos, a conscientização do público sobre a privacidade dos dados aumentou, assim como a compreensão e a cautela do consumidor médio sobre como as empresas adquirem, usam e lucram com suas informações pessoais.

Embora vários estados tenham aprovado legislação que aborda as preocupações com os dados dos consumidores, o Congresso está trabalhando para abordá-las em nível federal com um projeto de lei universal de privacidade de dados. Essa legislação tem sido um ponto de discussão há anos, mas agora está ganhando força na forma do American Privacy Rights Act of 2024 (APRA), um projeto de lei bipartidário proposto em abril deste ano que foi projetado para definir um padrão universal para a privacidade de dados nos EUA. 

O projeto de lei proposto segue a Lei Americana de Privacidade e Proteção de Dados (American Data Privacy and Protection Act - ADPPA), a mais recente tentativa do Congresso de criar uma lei universal de privacidade de dados. A ADPPA foi apresentada em 2022 e obteve apoio bipartidário, mas acabou não sendo aprovada como lei. Apesar de seu fracasso, a ADPPA ofereceu uma estrutura sólida sobre a qual a APRA foi construída, e a esperança agora é que as alterações e melhorias feitas sejam suficientes para que o projeto de lei seja aprovado na Câmara e no Senado para fornecer direitos abrangentes de privacidade de dados a todos os americanos.

O que é proposto na Lei Americana de Direitos de Privacidade de 2024?  

Um dos principais objetivos da APRA é fortalecer a proteção de dados para o consumidor americano, dando a ele maior controle sobre se, quando e como seus dados são usados. Para atingir esses objetivos, o projeto de lei propõe o seguinte:

• Os consumidores terão o direito de acessar os dados privados coletados por empresas e organizações (denominadas “entidades cobertas”) e de corrigir ou excluir esses dados conforme desejarem.

• Os consumidores terão um mecanismo direto para optar por não receber anúncios direcionados, práticas algorítmicas e o processamento e uso de seus dados privados.

• A minimização de dados será enfatizada. Serão impostas maiores restrições às práticas de coleta de dados, exigindo que as entidades cobertas mantenham uma finalidade específica e esperada para todos os dados que coletarem e processarem.

• Os indivíduos têm o direito de ação privada, de acordo com a APRA, para processar entidades cobertas por supostas violações.

Fornecer ao consumidor maior controle sobre a privacidade de seus dados exige um padrão mais alto de obrigação para com as entidades que processam e usam esses dados. A APRA procura impor essas obrigações por meio do seguinte: 

• As entidades cobertas devem tornar os dados coletados de um cliente acessíveis mediante solicitação em um determinado período de tempo e devem possibilitar a movimentação, cópia e transferência desses dados com facilidade.

• A Comissão Federal de Comércio (FTC) estabelecerá um mecanismo centralizado de cancelamento, que as entidades cobertas deverão fornecer aos consumidores de maneira fácil de entender e transparente.

• As entidades cobertas que coletam, processam e usam dados devem informar os consumidores sobre suas atividades de forma “clara, visível, não enganosa, de fácil leitura e prontamente acessível”.

• O título de diretor de privacidade ou segurança de dados deve ser designado a um funcionário qualificado para garantir o sucesso do programa de privacidade de dados da entidade coberta e manter a conformidade com a APRA.

• As entidades cobertas estão proibidas de interferir nos direitos do consumidor e de discriminar um cliente com base em suas preferências de dados.

De acordo com a APRA, determinadas entidades cobertas serão consideradas “grandes detentores de dados” e estarão sujeitas a outras exigências de transparência. Os grandes detentores de dados são definidos, em grande parte, por sua receita bruta e pelo número de indivíduos cujos dados privados são coletados, processados, retidos e transferidos anualmente. Aqueles que atingirem os limites estabelecidos serão obrigados a fazer o seguinte:

• Fornecer aos consumidores um aviso resumido “conciso, claro, visível e não enganoso” de suas práticas de dados em não mais de 500 palavras..

• Manter e publicar todas as iterações de sua política de privacidade dos últimos 10 anos com um registro claro, visível e prontamente acessível de todas as alterações feitas durante esse período.

• Realizar avaliações de impacto para determinar o possível impacto sobre a privacidade que suas práticas de processamento de dados possam ter e para delinear as medidas tomadas para mitigar o risco e evitar danos ao usar práticas algorítmicas.

• Designar dois funcionários qualificados para assumir os cargos de diretor de privacidade e diretor de segurança de dados.

  
Esse projeto de lei proposto é muito mais abrangente, mas esses pontos oferecem algumas das principais conclusões e ajudam a destacar os principais objetivos de um plano abrangente de privacidade de dados. As leis federais de privacidade de dados podem ajudar não só a oferecer maior proteção de dados a todos os americanos, mas também a simplificar a conformidade para as empresas que navegam pelas várias leis de privacidade de dados em nível estadual que existem atualmente.     

Qual é a situação atual da APRA?

Uma minuta do APRA foi divulgada pela presidente do Comitê de Energia e Comércio da Câmara, Cathy McMorris Rodgers (R-Wash.), e pela presidente do Comitê de Comércio do Senado, Maria Cantwell (D-Wash.), em 7 de abril de 2024. Em meados de maio, ele já havia sofrido algumas alterações, incluindo algumas propostas de emendas à Lei de Proteção à Privacidade On-line das Crianças de 1998, que permitirão que o APRA proteja melhor os menores on-line. Em 27 de junho, o Comitê de Energia e Comércio da Câmara dos Deputados agendou uma reunião de avaliação do projeto de lei que foi cancelada de última hora. As próximas etapas do APRA não estão claras, mas os líderes do comitê declararam que continuam dedicados a levar o projeto de lei adiante. 

Por mais crucial e apartidário que seja esse projeto de lei, é de se esperar que uma proposta de legislação tão ampla, abrangente e significativa como um plano universal de privacidade de dados exija extensa análise e revisão antes de ser finalmente adotada como lei. Há alguns obstáculos notáveis no projeto de lei no momento, incluindo a cláusula de direito de ação privada, que é uma fonte de intenso debate entre alguns legisladores e uma das razões pelas quais o ADPPA fracassou.

Outro motivo pelo qual a ADPPA não foi aprovada foi a linguagem de preempção que preocupava os representantes dos estados que já tinham leis de privacidade de dados em vigor, como a Lei de Privacidade do Consumidor da Califórnia. Aqueles que já estão aplicando essas leis não queriam que sua legislação fosse ultrapassada ou alterada por leis federais que consideravam mais fracas que as suas. Essa questão também pode ser um obstáculo significativo para a APRA.

Conclusão

Embora a APRA ainda esteja em seus estágios iniciais, há apoio bipartidário tanto para o projeto de lei quanto para as questões que ele aborda. Além disso, o projeto de lei ADPPA, que serviu de modelo para o APRA, foi o plano de privacidade de dados mais bem-sucedido proposto ao Congresso até o momento, e o APRA foi criado para abordar alguns dos problemas que levaram ao fracasso de seu antecessor. Isso deve dar esperança àqueles que se preocupam com sua privacidade de dados e com a privacidade de dados de seus concidadãos.