10.02.2022 – Apesar dos Estados Unidos estarem na vanguarda, quando se fala em inovação e tecnologia, o mesmo não se pode afirmar quando se fala em termos de privacidade e proteção de dados, visto que as leis, geralmente de natureza estadual, focam tão somente na comercialização de dados pessoais de indivíduos. Segundo sua forma de estado, os EUA permitem que os Estados deliberem acerca da criação de normas para a proteção de dados pessoais.

A lei mais famosa em vigor é indubitavelmente a California Consumer Privacy Act (CCPA), que regulamenta especialmente a comercialização de dados pessoais de cidadãos consumidores e residentes no Estado da Califórnia.

Entretanto, a CCPA está longe de trazer uma regulamentação mais robusta, como a GDPR que tem 6 bases legais ou a LGPD brasileira que tem 10 bases legais. Base legal, apenas para fins de entendimento, significa condições que a lei atribui ao controlador (aquele que trata dados pessoais), para que ele possa tratar dados pessoais de um indivíduo, como, por exemplo, o consentimento do indivíduo, uma obrigação legal ou o legítimo interesse do controlador, dentre outras. Por outro lado, a questão da aplicabilidade da lei (enforcement), especialmente no Brasil, tem se mostrado um problema diante da quantidade de subterfúgios e recursos previstos em lei.

Na verdade, a CCPA sequer tem bases legais. Ela simplesmente garante alguns direitos ao titular de dados, como (i) saber quais dados pessoais estão sendo coletados sobre eles, (ii) saber se seus dados pessoais são vendidos ou divulgados e para quem, (iii) optar por não permitir a venda de seus dados pessoais, (iv) acessar seus dados pessoais, (v) solicitar a uma empresa que exclua qualquer informação pessoal colhida a seu respeito e (vi) não ser discriminado por exercer seus direitos de privacidade.

Porém, em 2021 tivemos novidades na terra do “Tio Sam”. Os Estados da Virgínia e do Colorado sancionaram leis de privacidade, que passaremos a discorrer abaixo.

Virgínia – Consumer Data Protection Act

A Consumer Data Protection Act (CDPA) foi assinada pelo governador do Estado da Virgínia em 02 de março de 2021 e atinge os controladores (organizações) que (a) conduzam negócios na Virgínia ou produzam produtos ou serviços direcionados a residentes da Virgínia e que (b1) controlem ou processem os dados pessoais de pelo menos 100.000 consumidores durante um ano civil ou, ainda, (b2) controlem ou processem os dados pessoais de pelo menos 25.000 consumidores e obtenham pelo menos 50% de sua receita bruta da venda de dados pessoais. Portanto, aqueles que conhecem ainda que pouco a lei de proteção de dados vigente na Califórnia (CCPA), sabem que essa lei da Virgínia segue o mesmo caminho daquela, apesar da ausência de um limite de receita que imponha tais obrigações, como o existente na CCPA, deixando grandes empresas fora do alcance da lei, se não se enquadrarem nos critérios citados acima, independentemente de qual seja a sua receita.

Além disso, a CDPA não inclui (i) um órgão, autoridade, conselho, agência, comissão, distrito ou agência da Virgínia ou qualquer subdivisão política da Virgínia, (ii) qualquer instituição financeira ou dados sujeitos à Lei Gramm-Leach-Bliley, (iii) uma entidade ou negócio coberto sujeito à Lei de Portabilidade e Responsabilidade de Seguros de Saúde e à Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica, (iv) uma organização sem fins lucrativos, e (v) uma instituição de ensino superior. Dados pessoais não identificados ou informações publicamente disponíveis também estão fora do alcance da lei.

Outro aspecto interessante são algumas definições como, por exemplo:

TermoDefinição / Explicação
Consumidorum indivíduo que é residente na Virgínia agindo apenas em um contexto individual ou doméstico, excluindo-se o indivíduo quando está agindo em um contexto comercial ou de emprego, e, portanto, as organizações não precisam considerar os dados pessoais de colaboradores que coletam.
Venda de informações pessoaisa troca de dados pessoais por uma contraprestação monetária pelo controlador a um terceiro. Não é admitido outro tipo de contraprestação, para o enquadramento na lei.
Vendao termo venda, para efeito da lei, exclui (i) compartilhamento com operadores (sempre mediante contrato), (ii) compartilhamento com terceiros para fins de fornecimento de produto ou serviço solicitado pelo consumidor, (iii) compartilhamento com a afiliada do controlador, (iv) divulgação de informações que os consumidores disponibilizaram intencionalmente ao público em geral por meio de um canal de mídia de massa e não restringiram um público específico, e (v) compartilhamento como parte de uma fusão, aquisição, etc..

O controlador deve responder ao pedido dos titulares de dados, chamados de consumidores, no prazo de 45 (quarenta e cinco) dias, podendo a empresa, justificadamente e avisando ao consumidor, prorrogar por mais 45 (quarenta e cinco) dias. São garantidos aos consumidores os seguintes direitos: (i) acesso, (ii) correção, (iii) eliminação, (iv) portabilidade de dados, (v) opt-out, e (vi) direito de recorrer contra uma organização.

A coleta de dados deve se limitar ao que é adequado, relevante e razoavelmente necessário em relação aos propósitos para os quais os dados são tratados. A lei impõe aos controladores a necessidade de uma política de privacidade que deve conter necessariamente: (i) as categorias de dados pessoais tratados ​​pelo controlador, (ii) a finalidade do tratamento de dados pessoais, (iii) como os consumidores podem exercer seus direitos de consumidor e recorrer da decisão de um controlador em relação à solicitação do consumidor, (iv) as categorias de dados pessoais que o controlador compartilha com terceiros, se houver, e (v) as categorias de terceiros, se houver, com quem o controlador compartilha dados pessoais.

A lei determina igualmente que seja feita a avaliação de riscos na proteção dos dados pessoais, embora não indique a frequência com que a avaliação deve ocorrer e por quanto tempo devem ser mantidas.

Por fim, um detalhe importante é que a execução para o cumprimento da lei cabe tão somente ao procurador geral do Estado da Virgínia, não sendo cabível o direito privado de ação do consumidor supostamente lesado. Ao ser notificado, o controlador tem 30 (trinta) dias para resolver a violação, caso contrário o Procurador-Geral pode multá-lo em até US$ 7.500,00 (sete mil e quinhentos dólares norte-americanos) por violação.

Colorado – Colorado Privacy Act

A Colorado Privacy Act (CPA) foi assinada pelo governador do Estado do Colorado em 08 de julho de 2021 e atinge os controladores que (a) realizam negócios no Colorado ou produzem ou entregam produtos ou serviços comerciais que são intencionalmente direcionados a residentes do Colorado; e (b1) controlam ou processam os dados pessoais de pelo menos 100.000 consumidores ou mais durante um ano civil, ou (b2) obtém receita ou recebem um desconto no preço de bens ou serviços da venda de dados pessoais e processam ou controlam os dados pessoais de 25.000 consumidores ou mais.

A CPA também estabelece categorias de dados pessoais isentos. Assim como a CDPA, eles podem ser divididos em duas categorias principais: isenções com respeito a entidades e isenções com respeito a dados pessoais. As isenções com respeito a entidades são mais amplas e, quando aplicáveis, os controladores não precisam cumprir as obrigações e direitos da CPA em relação aos dados que coletam, mesmo quando os dados seriam incluídos. A principal isenção com respeito a entidades sob a CPA é para entidades regulamentadas pela Lei Gramm-Leach-Bliley. Dados pessoais não identificados ou informações publicamente disponíveis também estão fora do alcance da lei.

Outro aspecto interessante são algumas definições como, por exemplo:

TermoDefinição / Explicação
Consumidorum indivíduo que é residente no Colorado agindo apenas em um contexto individual ou doméstico, excluindo-se o indivíduo quando está agindo em um contexto comercial ou de emprego, e, portanto, as organizações não precisam considerar os dados pessoais de colaboradores que coletam.
Venda de informações pessoaisa troca de dados pessoais por uma contraprestação monetária ou outra contraprestação valiosa por parte de outro controlador.
Vendao termo venda, para efeito da lei, exclui algumas transações, que teoricamente estariam fora desse conceito: (i) compartilhamento com um operador que trata os dados pessoais em nome de um controlador, (ii) compartilhamento dos dados pessoais com terceiros para fins de fornecimento de um produto ou serviço solicitado pelo consumidor, (iii) compartilhamento ou transferência de dados pessoais para uma afiliada do controlador, (iv) compartilhamento ou transferência a terceiros de dados pessoais como um ativo que faz parte de uma fusão, aquisição, falência ou outra transação proposta ou real, na qual o terceiro assume o controle de todos ou parte dos ativos do controlador, e (v) compartilhamento de dados pessoais que um consumidor instrua o controlador a divulgar ou divulgue intencionalmente usando o controlador para interagir com terceiros, ou intencionalmente disponibilizado por um consumidor ao público em geral por meio de um canal de mídia de massa.

O controlador deve responder ao pedido dos titulares de dados, chamados de consumidores, no prazo de 45 (quarenta e cinco) dias, podendo a empresa, justificadamente e avisando ao consumidor, prorrogar por mais 45 (quarenta e cinco) dias. São garantidos aos consumidores os seguintes direitos: (i) acesso, (ii) correção, (iii) eliminação, (iv) portabilidade de dados, (v) opt-out, e (vi) direito de recorrer contra uma organização.

A coleta de dados deve se limitar ao que é adequado, relevante e razoavelmente necessário em relação aos propósitos para os quais os dados são tratados. A lei impõe aos controladores a necessidade de uma aviso de privacidade razoavelmente acessível, claro e significativo que deve conter necessariamente: (i) as categorias de dados pessoais tratados ​​pelo controlador ou pelo operador, (ii) a finalidade do tratamento de dados pessoais, (iii) como os consumidores podem exercer seus direitos de consumidor e recorrer da decisão de um controlador em relação à solicitação do consumidor, (iv) as categorias de dados pessoais que o controlador compartilha com terceiros, se houver, e (v) as categorias de terceiros, se houver, com quem o controlador compartilha dados pessoais.

A lei determina igualmente que os controladores não podem processar atividades que apresentem um risco aumentado de danos a um consumidor, sem realizar e documentar uma avaliação de riscos com respeito à proteção de dados de cada uma de suas atividades de tratamento.

Por fim, um detalhe importante é que a execução para o cumprimento da lei cabe tanto ao procurador geral do Estado do Colorado quanto aos procuradores distritais, não sendo cabível o direito privado de ação do consumidor supostamente lesado. Ao ser notificado, o controlador tem 60 (sessenta) dias para resolver a violação (esse direito de resolver a violação no prazo de 60 dias valerá apenas pelos primeiros dois anos de vigência da lei, visto que após, os controladores deverão responder diretamente a uma ação proposta pelos procuradores). É curioso, entretanto, que a lei não atribui um valor de multa específico em caso de violação, mas como a violação a essa lei pode ser considerada uma prática comercial enganosa, as penalidades são regidas pela Lei de Proteção ao Consumidor do Colorado. Assim, o controlador que violar a lei pode ser multado em até US$ 20.000 (vinte mil dólares) por violação.

Post Disclaimer

A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.