Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

À medida que a data privacy se tornou uma prioridade para indivíduos, governos de todos os níveis promulgaram uma variedade de leis de direitos de privacidade para controlar como as organizações coletam, armazenam e processam informações pessoais, como nomes, endereços, dados de saúde, registros financeiros e informações de crédito.

Saiba mais sobre as leis de data privacy law nos EUA, bem como quais mudanças e outros desenvolvimentos esperar para as leis existentes que regem dados pessoais

Como é aplicada a privacidade de dados nos EUA?

A necessidade de abordar questões modernas de privacidade e proteger os direitos de privacidade de dados é uma tendência global. Um momento decisivo ocorreu em maio de 2018, quando a UE implementou o Regulamento Geral sobre a Proteção de Dados (GDPR), uma legislação abrangente que se aplica não apenas aos estados membros da UE, mas a qualquer organização que colete ou processe os dados de residentes europeus.

Resumidamente, os Estados Unidos não possuem um equivalente ao GDPR da UE. De fato, até 2021, os EUA são uma das únicas democracias e o único membro da Organização para a Cooperação e Desenvolvimento Econômico que não possui uma agência federal de proteção de dados, embora a senadora Kirsten Gillibrand e outros tenham proposto a criação de uma. Sem uma lei abrangente de proteção de dados em nível federal, os EUA continuam a regular a privacidade dos dados por meio de uma combinação de leis aprovadas nos níveis estadual e federal.

As empresas precisam estar cientes de toda a legislação relevante antes de começarem a coletar ou processar qualquer dado que possa ser considerado “informação pessoal”. O não cumprimento dos atos de privacidade de dados aplicáveis pode levar a processos judiciais e multas.

Leis federais de privacidade nos EUA e sua aplicação

As leis federais consideradas leis de privacidade de dados incluem:

• Gramm-Leach-Bliley Act (GLBA): Também conhecido como Lei de Modernização Financeira de 1999, o GLBA exige que as corporações financeiras expliquem como protegem e compartilham os dados sensíveis dos clientes
• Health Insurance Portability and Accountability Act (HIPAA): Esta lei federal regula a divulgação e o uso de informações de saúde protegidas (PHI).
• Children’s Online Privacy Protection Act (COPPA): Esta lei restringe a coleta de informações pessoais sobre crianças menores de 13 anos.
• Family Educational Rights and Privacy Act (FERPA): Esta lei federal protege a privacidade dos registros dos estudantes e se aplica a todas as escolas que recebem fundos do Departamento de Educação dos EUA.
• Fair Credit Reporting Act (FCRA): Regula a coleta e o uso de informações de consumidores

No âmbito federal, a Comissão Federal de Comércio (FTC) possui ampla jurisdição sobre entidades comerciais para prevenir "práticas comerciais enganosas", que podem incluir questões de privacidade de dados. A FTC tem autoridade para fazer cumprir as leis de privacidade, emitir regulamentos e tomar medidas para proteger os consumidores. Em particular, a FTC pode agir contra empresas que:

• Falha ao criar, implementar e manter medidas razoáveis de Data Security contra violações
• Violar os direitos de privacidade de dados do consumidor coletando, processando ou compartilhando informações do consumidor sem o seu consentimento
• Publique e estabeleça políticas de privacidade e segurança imprecisas ou confusas para os consumidores em sites e aplicativos
• Coletar, processar, transferir ou compartilhar informações pessoais de uma maneira que não esteja divulgada na política de privacidade

Leis estaduais de privacidade de dados nos EUA

Muitos estados dos EUA também possuem suas próprias leis de privacidade e segurança de dados. Os escritórios dos procuradores-gerais estaduais são responsáveis por supervisionar essas leis.

Regulamentações a nível estadual frequentemente possuem disposições sobrepostas ou incompatíveis. Por exemplo, todos os 50 estados dos EUA adotaram leis de notificação de data breach, mas existem diferenças na definição de dados pessoais e até mesmo no que constitui um data breach. Da mesma forma, pelo menos 35 estados (e Porto Rico) promulgaram algum tipo de regulamentação sobre descarte de dados, com muitas dessas leis abordando especificamente dados digitais.

Aqui estão as principais leis de privacidade de dados por estado que foram promulgadas:

Lei de Privacidade do Consumidor da Califórnia

Effective date: January 1, 2020

Disposições: Esta lei de privacidade de dados da Califórnia começou como uma iniciativa de voto em resposta à crescente preocupação pública sobre a quantidade de dados privados que empresas digitais e de tecnologia no Vale do Silício têm coletado e vendido silenciosamente por décadas. A lei da Califórnia incorpora os princípios fundamentais dos requisitos de proteção de dados e privacidade de dados na GDPR da União Europeia.

A CCPA rege a coleta, venda e divulgação das informações pessoais dos residentes da Califórnia. Aplica-se às atividades de empresas, provedores de serviços que atendem empresas e terceiros (que podem ser indivíduos ou organizações). Um dos termos chave da lei é que as empresas devem responder prontamente às perguntas dos consumidores da Califórnia sobre quais dados pessoais estão sendo coletados sobre eles e se estão sendo vendidos ou divulgados. A lei não permite discriminação contra consumidores que exercem seus direitos; os consumidores devem receber a mesma qualidade de serviço mesmo que se oponham a uma atividade específica, como a venda de seus dados. Os provedores de serviços podem usar dados do consumidor apenas sob a direção da empresa que atendem e devem excluir as informações pessoais de um consumidor de seus registros mediante solicitação.

Âmbito: A CCPA aplica-se a todas as empresas com fins lucrativos que operam na Califórnia e que satisfazem certas condições, como um limiar de receita. Tem um efeito extraterritorial, pois abrange negócios não sediados na CA que operam na Califórnia.

Outros fatos importantes:

• Certos dados sensíveis estão isentos dos requisitos da CCPA, incluindo informações de saúde protegidas (PHI) já abrangidas pelo Health Insurance Portability & Accountability Act (HIPAA), informações médicas já abrangidas pela California Confidentiality of Medical Information Act e algumas informações cobertas pelo Gramm-Leach-Bliley Act (GLBA).
• A lei atualmente exige que as empresas estendam os direitos fornecidos pela CCPA aos seus funcionários. No entanto, há um projeto de lei pendente que alteraria essa lei para excluir os funcionários da definição de “consumidor”.
• Quando uma empresa recebe uma consulta sobre as informações coletadas e armazenadas sobre um indivíduo, deve verificar se a pessoa que faz o pedido é realmente quem afirma ser antes de responder.

Penalidades por violações: A lei concede às empresas 30 dias para “corrigir” violações. A falha em resolver uma violação leva a uma penalidade civil de até US$7.500 por cada violação intencional e US$2.500 por cada violação não intencional.

California Privacy Rights Act (CPRA)

Nome oficial: Proposition 24

Data de vigência: 1 de janeiro de 2023, mas não será aplicada até 1 de julho de 2023

Disposições: Esta lei da Califórnia concede novos direitos aos consumidores, como o direito a:

• Corrija informações imprecisas.
• Tenha informações pessoais coletadas sujeitas a limitações de finalidade e minimização de dados.
• Receba notificações de empresas que planejam usar informações pessoais sensíveis e peça para que elas parem. Isso inclui informações biométricas, dados genéticos e qualquer informação sobre a saúde, orientação sexual ou vida sexual de um indivíduo.

Âmbito: Esta lei possui um âmbito mais amplo do que o CCPA, pois oferece os seguintes direitos expandidos aos consumidores:

• O direito de processar empresas quando elas expõem senhas e nomes de usuário: A CPRA expande a definição de “informação pessoal” da CCPA para incluir nomes de usuário e senhas.
• O direito de optar por não compartilhar informações com terceiros: Sob a CCPA, esse era um ponto debatido porque “vender” não incluía explicitamente compartilhar. Com a CPRA, os consumidores agora podem optar por não permitir a venda e o compartilhamento de informações pessoais com terceiros.
• O direito de acessar mais informações: Os consumidores podem solicitar acesso a qualquer informação pessoal coletada por uma empresa, não apenas informações coletadas no período de 12 meses anteriores.

Outros fatos importantes: Esta lei também cria uma nova agência de privacidade, a California Privacy Protection Agency (CPPA), que será responsável pela fiscalização.

Penalidades por violações: As multas podem variar de $2.500 a $7.500, dependendo se você é uma empresa ou um indivíduo. Também existem multas automáticas de $7.500 por violações dos dados de menores de idade (qualquer pessoa com menos de 16 anos).

Lei de Privacidade do Colorado (CPA)

Nome oficial: SB 21-190

Data de vigência: 1º de julho de 2023

Disposições: A CPA aplica-se a “controladores” que operam no Colorado ou fornecem produtos ou serviços direcionados aos residentes do Colorado que:

• Controlar ou processar os dados pessoais de 100.000 ou mais consumidores em um ano
• Obtenha receita ou consiga descontos no preço de serviços ou bens ao vender, processar ou controlar os dados pessoais de 25.000 ou mais consumidores

A partir de 1º de julho de 2024, os controladores que atenderem aos requisitos acima devem honrar as solicitações de exclusão para vendas e publicidade direcionadas. A CPA também concede aos residentes do Colorado o direito de acessar, corrigir e excluir seus dados pessoais, além do direito à portabilidade dos dados. Os controladores terão 45 dias para responder às solicitações.

Âmbito: Ao contrário da California Consumer Privacy Act de 2018, a CPA não possui um limite monetário para aplicabilidade. Isso significa que todas as empresas precisam considerar esta lei. No entanto, ela não se aplica às seguintes instituições:

• Instituições financeiras sujeitas à GLBA
• Vários tipos de dados relacionados à saúde
• Dados regidos pelo FERPA

Ao contrário das leis da Califórnia, a CPA não exclui organizações sem fins lucrativos.

Outros fatos importantes: A CPA torna necessário que os controladores celebrem acordos de processamento de dados (DPAs) com os processadores. Os controladores também precisarão realizar e registrar avaliações de proteção de dados.

Penalidades por violações: Não existe direito privado de ação, portanto, o Procurador Geral do Colorado e os promotores distritais aplicarão a CPA. Eles podem buscar danos monetários ou alívio por meio de injunção. Antes de tomar qualquer medida, no entanto, o Procurador Geral e os promotores distritais devem emitir uma notificação de violação e permitir que empresas ou indivíduos tenham 60 dias para corrigir a violação alegada. Após janeiro de 2025, esse “direito de correção” será substituído pelo direito do controlador de solicitar orientação do escritório do Procurador Geral.

Lei de Proteção de Dados do Consumidor da Virgínia (CDPA)

Nome oficial: SB-1392

Data de vigência: 1 de janeiro de 2023

Disposições: A CDPA concede aos consumidores seis direitos:

• Direito de corrigir
• Direito de acesso
• Direito à portabilidade dos dados
• Direito de exclusão
• Direito de optar por não participar
• Direito de recurso

Âmbito: Esta lei aplica-se a entidades que realizam negócios na Virgínia ou criam serviços ou produtos direcionados aos residentes da Virgínia que:

• Controle ou processe os dados pessoais de mais de 100.000 consumidores durante um ano
• Controle ou processe os dados pessoais de mais de 25.000 consumidores e obtenha pelo menos metade da sua receita bruta com a venda de dados pessoais

Assim como a CPA do Colorado, a CPDA da Virgínia não possui um limite de receita. Isso significa que empresas de todos os tamanhos precisam prestar atenção a esta lei.

A definição de “consumidor” não inclui uma pessoa agindo em um contexto de emprego ou comercial. Isso a diferencia da CPRA, que inclui dados de funcionários. Assim, as empresas não precisarão considerar dados de funcionários ao decidir se a CPDA se aplica a elas.

Outros fatos importantes: Assim como o GDPR da UE e o CCPA da Califórnia, o CDPA possui uma disposição que limita a coleta de dados ao que é “adequado, relevante e razoavelmente necessário em relação aos propósitos para os quais os dados são processados.”

Penalidades por violações: Assim como o CPA do Colorado, o CDPA da Virgínia não possui um direito privado de ação. A aplicação é responsabilidade do Procurador Geral. O controlador tem 30 dias para corrigir a violação após o Procurador Geral notificar o controlador de que uma ação será tomada. Se o controlador não corrigir a violação dentro deste período, o Procurador Geral pode multá-lo em até $7.500 por violação.

Projeto de Lei de Privacidade na Internet de Nevada (SB260)

Nome oficial: BDR-52-253

Data de vigência: 1 de outubro de 2021

Disposições: Esta lei proporcionará aos residentes de Nevada um direito mais amplo de optar por não participar da venda de suas informações pessoais. Também cria novos requisitos para os “data brokers”, que são definidos como entidades cujo principal meio de negócio é vender informações sobre consumidores a partir de operadores ou outros data brokers. Os data brokers devem estabelecer um endereço designado pelo qual os consumidores possam solicitar que o data broker pare de vender suas informações. O data broker terá que responder dentro de 60 dias após o recebimento.

Âmbito: A lei amplia o âmbito do direito de opt-out, mas o âmbito das “informações cobertas” é mais restrito do que as “informações pessoais” definidas por leis semelhantes.

“Informação protegida” está limitada a:

• Nomes e sobrenomes
• Endereços residenciais/físicos
• Endereço de email
• Números de telefone
• Números de segurança social
• Identificadores que permitem o contato com a pessoa pessoalmente ou online

Outros fatos importantes: O projeto de lei altera os estatutos de aviso de privacidade online de Nevada, como NRS 603A.300-360.

Penalidades por violações: O Procurador-Geral de Nevada é responsável por fazer cumprir esta lei. O tribunal emitirá uma injunção temporária ou permanente ou uma penalidade civil de até $5.000 por violação.

Lei de Privacidade de Dados de Massachusetts

Nome oficial: Normas para a Proteção de Informações Pessoais dos Residentes da Comunidade (201 CMR 17.00)

Data de vigência: 1 de março de 2010

Disposições: Esta lei estabelece requisitos para proteger os residentes de Massachusetts contra roubo de identidade e fraude.

Escopo: Qualquer organização que licencie, armazene ou mantenha dados pessoais sobre residentes de Massachusetts deve implementar um programa abrangente de segurança da informação.

Outros fatos importantes:

• A lei exige que as empresas tenham uma pessoa dedicada para gerir um programa de segurança de dados e realizar treinamentos regulares dos funcionários.
• A lei também exige que as empresas tomem “medidas razoáveis” para verificar se os prestadores de serviços terceirizados com acesso a informações pessoais podem proteger essas informações.
• A lei protege a segurança e a confidencialidade das informações pessoais de consumidores e funcionários, o que inclui nome, sobrenome, número do Seguro Social, número da carteira de motorista, número do cartão de identificação emitido pelo estado, número da conta financeira, número do cartão de crédito ou débito e qualquer código de acesso que permita o acesso às informações financeiras de uma pessoa. No entanto, exclui informações obtidas de fontes publicamente disponíveis.
• Massachusetts também está trabalhando em uma regulamentação de privacidade de dados semelhante à CCPA. Se aprovada, a SD.341 “An Act Relative to Consumer Data Privacy,” está prevista para entrar em vigor em 1º de janeiro de 2023.

Penalidades por violações: O Office of Consumer Affairs and Business Regulation é responsável pela fiscalização. Cada violação intencional da lei pode incorrer em uma penalidade civil de até US$5.000, além de “custos razoáveis de investigação e litígio de tal violação, incluindo honorários advocatícios razoáveis.”

Lei de Privacidade de Dados de Minnesota

Nome oficial: Lei de Práticas de Dados do Governo de Minnesota (MGDPA) (Minn. Stat. § 13)

Data efetiva: 1979

Disposições: Esta lei de Minnesota protege o direito dos indivíduos de acessar dados governamentais e controla a coleta, armazenamento, uso e disseminação de dados privados. Estabelece um sistema de classificação para diferenciar tipos de informações, como dados educacionais e dados de aplicação da lei. Além disso, dados sobre indivíduos são marcados como públicos ou não públicos, enquanto dados não sobre indivíduos são marcados como não públicos ou protegidos não públicos

Âmbito: A lei se aplica a qualquer entidade governamental de Minnesota.

Outros fatos importantes:

• A lei exige que cada agência estadual nomeie uma “autoridade responsável” que estabelecerá procedimentos para garantir que as solicitações de dados sejam “recebidas e atendidas de maneira apropriada e pronta”. Se uma entidade governamental deseja coletar dados privados ou confidenciais de um indivíduo, a entidade deve fornecer a esse indivíduo um aviso de privacidade chamado “Tennessen”
• Em caso de disputa entre uma entidade governamental e uma pessoa sobre práticas de dados, a pessoa pode solicitar uma opinião consultiva do Comissário de Administração.

Penalidades por violações: As penalidades podem incluir uma ação civil por uma violação intencional, ou honorários advocatícios se a entidade governamental não seguir a opinião consultiva. Para violações intencionais, o tribunal também pode impor penalidades criminais aos funcionários públicos, suspendê-los sem pagamento ou demiti-los.

Leis de Privacidade de Dados Propostas pelos Estados Unidos

Todas as leis de privacidade de dados acima foram promulgadas, mas existem leis em discussão. Elas incluem as seguintes:

Lei de Privacidade Pessoal de Ohio (OPPA)

Nome oficial: House Bill 376

Descrição: Este projeto de lei é semelhante à legislação estabelecida na Califórnia, Virgínia e Colorado. Se promulgado, concederá aos habitantes de Ohio certos direitos digitais e imporá obrigações a qualquer empresa que colete dados pessoais dos consumidores de Ohio.

Lei de Privacidade do Consumidor da Carolina do Norte (CPA)

Nome oficial: Senate Bill 569

Descrição: Se promulgada, esta lei concederia aos consumidores da Carolina do Norte os seguintes direitos:

• Direito ao conhecimento e acesso
• Direito de retificação
• Direito ao esquecimento
• Direito de optar por não participar
• Direito privado de ação

Será aplicável a todas as empresas que direcionam seus serviços e produtos aos residentes da Carolina do Norte e que:

• Processe ou controle os dados pessoais de 100.000 ou mais consumidores anualmente
• Processe ou controle os dados pessoais de pelo menos 25.000 consumidores e obtenha mais da metade da receita bruta com a venda desses dados pessoais.

Lei de Transparência de Dados e Proteção à Privacidade de Rhode Island

Nome oficial: HB 5959

Descrição: Este projeto de lei descreve práticas de compartilhamento de informações e exige transparência na forma como os dados dos consumidores são coletados, obrigando certas empresas a fornecer divulgações de políticas de privacidade. Se aprovada, a lei ajudará os consumidores a identificar as informações pessoais coletadas, compartilhadas ou vendidas a terceiros por provedores de serviços online e sites comerciais.

Lei de Privacidade de Dados do Consumidor da Pensilvânia

Nome oficial: House Bill 1126

Descrição: Este ato se aplicaria a empresas com fins lucrativos que atendem a todos os seguintes critérios:

• Faça negócios na Pensilvânia
• Coletar, compartilhar ou vender informações pessoais dos consumidores
• Determine sozinho ou com outros os propósitos e meios de processamento das informações pessoais dos consumidores
• Atenda a um dos seguintes requisitos:
  • Obtenham metade da sua renda anual com a venda de informações pessoais dos consumidores
  • Comprar, compartilhar ou vender anualmente (sozinho ou com outros) as informações pessoais de 50.000 consumidores, dispositivos ou domicílios
  • Ter uma receita bruta anual de pelo menos $10 milhões

Nova Jersey — Três Projetos de Lei de Privacidade de Dados

Nomes oficiais: A5448, A3283, e A3255

Descrição:

A5448 e A3255 têm objetivos semelhantes: Eles exigiriam que as empresas notificassem os consumidores sobre a coleta e divulgação de informações pessoais identificáveis e permitissem que os consumidores optassem por não participar.

A3283, o Ato de Transparência e Responsabilidade na Divulgação de Nova Jersey (NJ DaTA), estabeleceria requisitos para a divulgação e processamento de informações pessoais identificáveis. O projeto de lei também criaria um Escritório de Proteção de Dados e Uso Responsável na Divisão de Assuntos do Consumidor.

Massachusetts Information Privacy Act (MIPA)

Nome oficial: S.46

Descrição: Este projeto de lei é uma versão modificada do People’s Privacy Act no estado de Washington. Protegeria os consumidores contra a coleta, uso e monetização não autorizados de suas informações pessoais, incluindo dados de localização e biométricos; proibiria discriminação com base em informações pessoais e protegeria os trabalhadores contra monitoramento eletrônico injustificado no trabalho.

Lei de Proteção à Privacidade do Consumidor do Havaí

Nome oficial: SB 418

Descrição: Este projeto de lei proposto concederá aos consumidores o direito de acessar, excluir e optar por não participar da venda de suas informações pessoais. Assim como o CCPA, possui uma definição ampla de “informações pessoais”. Ele tem as mesmas principais proteções e direitos que o CCPA, mas não define o que é um “negócio”, portanto, não exclui empresas pelo tamanho.

Lei de Privacidade do Consumidor de Nova York (NYPA)

Nome oficial: Senate Bill S567

Descrição: Esta proposta de lei de privacidade de dados de Nova York é muito semelhante à CCPA. Ela concederia aos indivíduos o poder de saber quais dados uma empresa coletou sobre eles e com quem compartilharam essas informações, solicitar que a empresa corrija ou exclua os dados, e optar por não permitir que seus dados sejam compartilhados ou vendidos a terceiros. A NYPA complementaria a lei de notificação de violação de dados já existente em Nova York, expandindo a proteção das informações pessoais.

O projeto de lei proposto estabelece padrões elevados de proteção de privacidade de dados, como os seguintes:

• Impõe deveres fiduciários a qualquer entidade jurídica que colete, venda ou licencie dados pessoais, e define esses deveres de forma ampla. As empresas devem proteger os dados pessoais dos consumidores contra qualquer risco que os afete. Além disso, diz que a responsabilidade do fiel depositário de dados supera “qualquer dever devido a proprietários ou acionistas.”
• É mais rigorosa do que outras leis estaduais ao exigir que as empresas coloquem a privacidade de seus clientes antes dos próprios lucros. Esta legislação de privacidade possui uma linha muito controversa que diz que as organizações devem “agir no melhor interesse do consumidor”. No entanto, não explica o que as empresas devem realmente entender sobre os interesses dos nova-iorquinos e outros clientes.
• Oferece um direito privado de ação — concedendo aos consumidores o direito de processar empresas diretamente por violações de privacidade em vez de deixar a aplicação da lei a cargo do Procurador-Geral do estado.

Conclusão

Os estados dos EUA estão promulgando suas próprias regulamentações de privacidade de dados e cibersegurança, pois, ao contrário da UE, os EUA ainda não aprovaram uma lei federal abrangente de privacidade de dados. A situação continuará a se tornar mais complexa à medida que mais leis estaduais entrarem em vigor nos próximos meses e anos. Para evitar penalidades severas, processos e outras consequências de falhas de conformidade, as organizações devem revisar cuidadosamente as leis de privacidade de dados nos EUA e garantir que cumprem todos os requisitos aplicáveis.

Perguntas Frequentes

Quais leis dos EUA impõem requisitos para a segurança da privacidade dos dados?

Na ausência de uma legislação federal abrangente que regule a privacidade dos dados, os EUA são regidos por leis específicas de setor e estado que controlam o compartilhamento de tipos específicos de dados pessoais. Essas leis incluem:

• Lei de Privacidade de 1974 — Protege informações pessoais mantidas por agências federais
• Health Insurance Portability and Accountability Act (HIPAA) e Health Information Technology for Economic and Clinical Health Act (HITECH) — Protege as informações pessoais de saúde (PHI)
• Gramm–Leach–Bliley Act (GLBA) — Protege informações financeiras
• Children’s Online Privacy Protection Act (COPPA) — Protege a privacidade das crianças
• Family Educational Rights and Privacy Act (FERPA) — Protege as informações pessoais dos estudantes
• California Consumer Privacy Act (CCPA) — Protege os direitos de privacidade dos residentes da Califórnia
• The New York SHIELD Act — Protege as informações pessoais e privadas dos residentes do estado de Nova York

Quais tipos de dados são cobertos pelas leis de privacidade dos EUA?

Informações consideradas sensíveis pelas leis dos EUA incluem:

• Informação de identificação pessoal (PII) — Informação que pode ser usada para identificar, contatar ou localizar um indivíduo ou distinguir uma pessoa de outra, como nome, endereço e número de Segurança Social
• Informação de saúde pessoal (PHI) — Informações sobre o estado de saúde, histórico médico, informações de seguro e outros dados privados que são coletados por provedores de saúde e que podem ser associados a uma determinada pessoa
• Informações financeiras pessoalmente identificáveis (PIFI) — Números de cartões de crédito, detalhes de contas bancárias ou outros dados relacionados às finanças de uma pessoa
• Registros de estudantes — As notas, históricos, horários de aula, detalhes de cobrança e outros registros educacionais de um indivíduo

O que é protegido pela Lei de Privacidade de 1974?

A Lei de Privacidade de 1974 regula a maneira como os registros governamentais federais de indivíduos são tratados pelas agências federais e exige que as agências federais sigam vários requisitos rigorosos de manutenção de registros. Ela permite que os indivíduos acessem registros sobre si mesmos, saibam se esses registros foram divulgados e solicitem correções ou emendas a esses registros, a menos que os registros estejam legalmente isentos.

Quantos estados dos EUA têm leis de privacidade de dados?

Pelo menos 16 estados possuem leis de privacidade de dados e três deles têm leis abrangentes de privacidade de dados do consumidor. A Califórnia estabeleceu a conhecida California Consumer Privacy Act (CCPA), que motivou legislações semelhantes no Colorado e na Virgínia.

As leis de privacidade federais e estaduais dos EUA se aplicam a empresas estrangeiras?

Depende de vários fatores, incluindo o impacto nos indivíduos, o impacto no comércio dos EUA e se a empresa possui uma subsidiária nos EUA. Empresas estrangeiras podem estar sujeitas às leis dos EUA se coletarem, processarem ou compartilharem as informações pessoais de residentes dos EUA. Por exemplo, se uma empresa estrangeira faz negócios na Califórnia e coleta as informações pessoais de residentes da Califórnia enquanto os consumidores estão na Califórnia, ela está sujeita à CCPA.

Como as leis de privacidade nos EUA diferem do GDPR da UE?

O GDPR é um mandato abrangente de privacidade de dados que se aplica a todos os estados membros e a qualquer empresa no mundo que colete ou processe os dados de residentes da UE. Os EUA não possuem uma lei equivalente; em vez disso, a privacidade de dados é regida por um conjunto de leis federais específicas de cada setor e diversas leis estaduais.

Um direito específico protegido pelo GDPR merece ser mencionado: o direito ao esquecimento, que é o direito de solicitar que as informações pessoais de uma pessoa sejam removidas dos registros de uma organização. Esse direito é frequentemente considerado incompatível com o direito à liberdade de expressão, consagrado na Primeira Emenda da Constituição dos Estados Unidos, pois obrigar a retirada de informações pode ser visto como uma limitação à liberdade de expressão e um risco de censura.

No entanto, várias leis nos Estados Unidos oferecem alguma forma de direito ao esquecimento. Por exemplo, o COPPA dá aos pais o poder de revisar e excluir as informações de seus filhos, e o CCPA permite que os residentes da Califórnia solicitem a exclusão de seus registros, com certas limitações.