Leis de privacidade digital dos EUA

Publicados: 2023-04-25

Quando os Estados Unidos espirram, o mundo pega um resfriado. Esta afirmação é particularmente verdadeira no mundo da tecnologia digital. A América é, afinal, o lar de muitas das empresas on-line líderes e mais bem-sucedidas do mundo (embora alguns possam argumentar que a China está atacando seus calcanhares). No entanto, uma área em que nossos primos europeus lideram o ataque é a privacidade digital.

O GDPR mudou a maneira como o mundo vê a privacidade

Se você voltar a 2018, vai se lembrar de como a União Europeia abalou o mundo inteiro com o Regulamento Geral de Proteção de Dados (GDPR) .

Na época, o GDPR era único porque era um regulamento abrangente projetado para proteger a privacidade dos cidadãos europeus, independentemente de com quem ou onde eles compartilhassem seus dados. Esse regulamento significava que, se as organizações dos EUA quisessem continuar operando na Europa ou com cidadãos europeus, independentemente de sua localização, teriam que cumprir o GDPR.

Ao contrário dos regulamentos de privacidade anteriores, o GDPR tinha dentes e o peso da Comissão Europeia para impor multas enormes por violações.

Milhões de dólares e incontáveis ​​horas da equipe foram gastos globalmente para garantir a conformidade. De muitas maneiras, esse investimento ajudou a limpar os últimos vestígios das práticas de negócios do “Velho Oeste” adotadas em um setor de negócios digitais maduro, mas ainda não regulamentado. No entanto, apesar disso, inúmeras empresas dos EUA caíram em conflito com o GDPR.

Ainda não acha que o GDPR se aplica a você? Confira esta lista das maiores multas aplicadas por não conformidade - parece um "Quem é quem?" das grandes empresas americanas, com Amazon, Meta (Facebook) e Alphabet (Google) dominando as dez multas mais significativas.

A face em mudança das leis de privacidade dos EUA

Pode-se argumentar que, antes do GDPR, os EUA estavam basicamente chutando a lata (CAN-SPAM) no caminho em termos de privacidade.

De muitas maneiras, o GDPR forçou as empresas dos EUA a limpar seus atos sem a necessidade de regulamentações dos EUA. Mas isso não significa que os EUA não levem a privacidade a sério. Atualmente, existem várias leis de privacidade em vigor e muitas outras sendo implementadas nos EUA. No entanto, devido à maneira como os estados individuais criam a legislação, essas leis são menos conectadas ou abrangentes do que o GDPR. Para empresas que operam além da fronteira estadual, isso pode ser confuso.

CCPA/CPRA

A Lei de Privacidade do Consumidor da Califórnia (CCPA) e a subsequente Lei de Direitos de Privacidade da Califórnia (CPRA) , que se torna aplicável em 1º de julho de 2023, foram descritas como a coisa mais próxima do GDPR.

O CPRA se baseia na base estabelecida pelo GDPR, que lançou as bases para várias regras não incluídas no CCPA. Essas regras incluem:

  • Minimização de dados: garantir que a coleta de dados seja necessária para cumprir uma finalidade específica.
  • Limitação de finalidade: garantir que os dados coletados não possam ser usados ​​para finalidades novas e incompatíveis.
  • Limitação de armazenamento: garantir que os dados não possam ser armazenados por mais tempo do que o necessário.

O GDPR também influenciou a forma como o CPRA lida com informações pessoais confidenciais (SPI), como raça ou origem étnica, opiniões políticas, crenças religiosas ou filosóficas, orientação sexual, genética e dados relacionados à saúde.

Apesar das semelhanças, existem algumas diferenças importantes entre GDPR e CPRA.

O GDPR se aplica a qualquer organização que coleta e processa dados de cidadãos da UE, independentemente do tamanho, localização ou finalidade da empresa. O GDPR também não diferencia entre dados pessoais e comerciais.

Enquanto isso, a Lei de Direitos de Privacidade da Califórnia (CPRA) se aplica apenas a empresas que coletam e processam informações pessoais de residentes da Califórnia e atendem a um ou mais dos seguintes critérios:

  • Tenha uma receita bruta anual de mais de US$ 25 milhões;
  • Comprar, vender ou compartilhar as informações pessoais de 100.000 ou mais consumidores ou domicílios anualmente; ou
  • Obtenha 50% ou mais de sua receita anual com a venda de informações pessoais dos consumidores.

Comparado ao GDPR, há muito espaço para as empresas passarem despercebidas pelo radar da CCPA/CCPR. Isso talvez reflita uma atitude mais relaxada em relação às organizações nos EUA que acessam e armazenam informações pessoais quando comparadas à Europa. No entanto, após várias violações de dados de alto perfil que incomodaram milhares de cidadãos dos EUA, essas atitudes estão se tornando menos negligentes e mais estados dos EUA estão entrando na onda da privacidade.

A Lei de Proteção de Dados do Consumidor da Virgínia (VCPDA)

A Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) é uma lei de privacidade semelhante à CCPA/CPRA e GDPR e entrou em vigor em 1º de janeiro de 2023.

O VCDPA se aplica a empresas que conduzem negócios na Virgínia ou visam residentes da Virgínia e atendem a requisitos de limite específicos. Esses requisitos incluem processar os dados pessoais de pelo menos 100.000 consumidores da Virgínia anualmente ou obter mais de 50% da receita bruta da venda de dados pessoais e processar os dados pessoais de pelo menos 25.000 consumidores da Virgínia anualmente.

De acordo com o VCDPA, os consumidores da Virgínia têm o direito de saber quais dados pessoais estão sendo coletados sobre eles, o direito de acessar seus dados, o direito de corrigir imprecisões nesses dados, o direito de excluir seus dados em determinadas circunstâncias e o direito de desistir da venda de seus dados.

A Lei de Privacidade do Colorado (CPA)

O CPA está definido para entrar em vigor em 1º de julho de 2023.

Semelhante ao CCPA/CPRA e GDPR, o CPA se aplica a empresas que conduzem negócios no Colorado ou visam residentes do Colorado e atendem a certos requisitos de limite. Esses requisitos incluem processar os dados pessoais de pelo menos 100.000 consumidores do Colorado anualmente ou obter mais de 50% da receita bruta da venda de dados pessoais e processar os dados pessoais de pelo menos 25.000 consumidores do Colorado anualmente.

Mais uma vez, de acordo com o CPA, os consumidores do Colorado têm o direito de saber quais dados pessoais estão sendo coletados sobre eles, o direito de acessar seus dados pessoais, o direito de corrigir imprecisões em seus dados pessoais, o direito de excluir seus dados pessoais em determinadas circunstâncias , e o direito de optar por não vender os seus dados pessoais.

Um movimento crescente por maior privacidade nos EUA

Embora CCPA/CCPR, VCDPA e CPA sejam todos regulamentos locais, há um movimento crescente que leva a um número crescente de estados introduzindo regulamentos de privacidade que irão, de alguma forma, conectar os pontos e criar um compromisso “nacional” de proteger a privacidade.

Connecticut, Iowa e Utah têm regulamentos que devem ser aplicados nos próximos dois anos. De acordo com o rastreador da Associação Internacional de Profissionais de Privacidade (IAPP) , muitos outros estados estão em processo de introdução de regulamentos.

No entanto, existem algumas leis de privacidade herdadas dos EUA que cruzam as fronteiras estaduais e protegem indivíduos em nível federal.

HIPAA - Lei Federal

O Health Insurance Portability and Accountability Act (HIPAA) é uma lei federal promulgada em 1996, anterior ao GDPR e até mesmo ao uso generalizado da Internet.

A HIPAA foi projetada para fornecer padrões de privacidade e segurança para proteger as informações pessoais de saúde do paciente. A lei estabelece padrões nacionais para privacidade e segurança de informações protegidas de saúde (PHI) e se aplica a planos de saúde, provedores de assistência médica e câmaras de compensação de assistência médica que conduzem determinadas transações eletrônicas.

De acordo com a HIPAA, as entidades cobertas devem implementar salvaguardas para proteger a confidencialidade, integridade e disponibilidade das PHI. Essas salvaguardas incluem medidas administrativas, físicas e técnicas para garantir a privacidade e a segurança das PHI.

A HIPAA também concede aos indivíduos certos direitos relativos a suas PHI, incluindo o direito de acessar suas PHI, o direito de solicitar correções em suas PHI e o direito de registrar reclamações se acreditarem que seus direitos de privacidade foram violados.

Como as empresas estão reagindo?

No geral, as empresas estão reagindo positivamente à crescente onda de regulamentações de privacidade. Sabendo que essa tendência não vai desaparecer, muitas empresas estão adaptando seus serviços para incorporar a privacidade em seus modelos de negócios. Já vimos as atualizações de proteção de privacidade de e-mail da Apple , e o Google está reinventando a forma como rastreia o envolvimento do usuário no GA4, a mais recente iteração do Google Analytics.

No entanto, este pode ser um momento confuso para pequenas e médias empresas que não têm recursos para rastrear e acompanhar as exigências dos regulamentos de privacidade. Isso é especialmente verdadeiro quando os dados são coletados e processados ​​em várias plataformas de tecnologia. Para essas empresas, faz sentido proteger a privacidade de seus clientes e o futuro de sua organização conversando com um especialista que pode ajudá-los a manter a conformidade.

Saber mais

Para saber mais sobre como os especialistas em marketing da emfluence podem ajudar sua empresa a ficar do lado certo das regulamentações de privacidade atuais e futuras, entre em contato conosco hoje mesmo em [email protected] .