A privacidade de dados nos EUA é, em muitos aspectos, um vazio legal. Embora existam proteções limitadas para dados financeiros e de saúde, o berço das maiores empresas de tecnologia do mundo, como Apple, Amazon, Google e Meta (Facebook), carece de qualquer lei federal abrangente de privacidade de dados. Isso deixa os cidadãos dos EUA com proteções mínimas de privacidade de dados em comparação com cidadãos de outras nações. Mas isso pode estar prestes a mudar.
Com raro apoio bipartidário, a Lei Americana de Proteção de Dados e Privacidade saiu do Comitê de Energia e Comércio da Câmara dos Representantes dos EUA por 53 votos a 2 em 20 de julho de 2022. O projeto ainda precisa passar pelo plenário da Câmara e do Senado , e as negociações estão em andamento. Dada a estratégia de práticas de dados responsáveis ​​do governo Biden, o apoio da Casa Branca é provável se uma versão do projeto for aprovada.

Como jurista e advogado que estuda e pratica a lei de tecnologia e privacidade de dados, tenho acompanhado de perto a lei, conhecida como ADPPA. Se aprovado, alterará fundamentalmente a lei de privacidade de dados dos EUA.

A ADPPA preenche o vazio de privacidade de dados, cria uma preempção federal sobre algumas leis estaduais de privacidade de dados, permite que indivíduos processem violações e alteram substancialmente a aplicação da lei de privacidade de dados. Como todas as grandes mudanças, a ADPPA está recebendo críticas mistas da mídia, acadêmicos e empresas. Mas muitos veem o projeto de lei como um triunfo para a privacidade de dados dos EUA, que fornece um padrão nacional necessário para práticas de dados.

Quem e o que irá regular a ADPPA?

A ADPPA se aplicaria a entidades "cobertas", ou seja, qualquer entidade que coleta, processa ou transfere dados cobertos, incluindo organizações sem fins lucrativos e proprietários únicos. Também regula provedores de telefonia celular e internet e outras operadoras comuns, com alterações potencialmente preocupantes na regulamentação federal de comunicações. Não se aplica a entidades governamentais.

A ADPPA define dados "cobertos" como qualquer informação ou dispositivo que identifique ou possa ser razoavelmente vinculado a uma pessoa. Também protege dados biométricos, dados genéticos e informações de geolocalização.

O projeto de lei exclui três categorias de big data:dados desidentificados, dados de funcionários e informações publicamente disponíveis. Essa última categoria inclui contas de mídia social com configurações de privacidade abertas para visualização pública. Embora a pesquisa tenha mostrado repetidamente que dados desidentificados podem ser facilmente reidentificados, a ADPPA tenta resolver isso exigindo que as entidades cobertas tomem "medidas técnicas, administrativas e físicas razoáveis ​​para garantir que as informações não possam, em nenhum momento, ser usadas para reidentificar qualquer indivíduo ou dispositivo."

Como a ADPPA protege seus dados

A lei exigiria que a coleta de dados fosse a mínima possível. O projeto de lei permite que as entidades cobertas coletem, usem ou compartilhem os dados de um indivíduo somente quando razoavelmente necessário e proporcional a um produto ou serviço solicitado pela pessoa ou para responder a uma comunicação iniciada pela pessoa. Permite a cobrança para autenticação, incidentes de segurança, prevenção de atividades ilegais ou danos graves a pessoas e cumprimento de obrigações legais.

As pessoas ganhariam direitos de acesso e teriam algum controle sobre seus dados. A ADPPA dá aos usuários o direito de corrigir imprecisões e potencialmente excluir seus dados mantidos por entidades cobertas.

O projeto de lei permite a coleta de dados como parte da pesquisa para o bem público. Ele permite a coleta de dados para pesquisas revisadas por pares ou pesquisas feitas no interesse público – por exemplo, testar se um site é ilegalmente discriminatório. Isso é importante para pesquisadores que podem entrar em conflito com os termos do site ou leis de hackers.

A ADPPA também tem uma cláusula que aborda o problema do serviço condicionado ao consentimento — aquelas caixas irritantes de "Concordo" que forçam as pessoas a aceitar uma confusão de termos legais. Ao clicar em uma dessas caixas, você renuncia contratualmente aos seus direitos de privacidade como condição para simplesmente usar um serviço, visitar um site ou comprar um produto. O projeto de lei impedirá as entidades cobertas de usar a lei contratual para contornar as proteções do projeto.

Buscando a lei federal de vigilância eletrônica para orientação

A Lei de Privacidade de Comunicações Eletrônicas dos EUA pode fornecer orientação aos legisladores federais na finalização da ADPPA. Assim como a ADPPA, a legislação da ECPA de 1986 envolveu uma grande revisão da lei de privacidade eletrônica dos EUA para lidar com os efeitos adversos à privacidade individual e às liberdades civis decorrentes do avanço das tecnologias de vigilância e comunicação. Mais uma vez, os avanços nas tecnologias de vigilância e dados, como a inteligência artificial, estão afetando significativamente os direitos dos cidadãos.

A ECPA, ainda em vigor hoje, fornece um padrão nacional básico para proteções de vigilância eletrônica. A ECPA protege as comunicações contra interceptação, a menos que uma das partes da comunicação consinta. Mas a ECPA não impede que os estados aprovem leis mais protetoras, de modo que os estados podem optar por fornecer maiores direitos de privacidade. O resultado final:aproximadamente um quarto dos estados dos EUA exige o consentimento de todas as partes para interceptar uma comunicação, proporcionando aos seus cidadãos maiores direitos de privacidade.

O equilíbrio federal/estadual da ECPA funciona há décadas, e a ECPA não sobrecarregou os tribunais nem destruiu o comércio.

Preempção nacional

Conforme redigido, a ADPPA antecipa algumas leis estaduais de privacidade de dados. Isso afeta a Lei de Privacidade do Consumidor da Califórnia, embora não prevale a Lei de Privacidade de Informações Biométricas de Illinois ou leis estaduais que regulam especificamente a tecnologia de reconhecimento facial. As provisões de preempção, no entanto, estão em andamento à medida que os membros da Câmara continuam a negociar o projeto de lei.

Os padrões nacionais da ADPPA fornecem requisitos de conformidade uniformes, servindo à eficiência econômica; mas sua preempção da maioria das leis estaduais preocupa alguns estudiosos, e a Califórnia se opõe à sua aprovação.

Se prevalecer a preempção, qualquer versão final da ADPPA será a lei do país, limitando os estados de proteger com mais firmeza a privacidade dos dados de seus cidadãos.

Direito privado de ação e aplicação

A ADDPA prevê um direito privado de ação, permitindo que as pessoas processem entidades cobertas que violam seus direitos sob a ADPPA. Isso dá um grande impulso aos mecanismos de aplicação do projeto de lei, embora tenha restrições significativas.

A Câmara de Comércio dos EUA e a indústria de tecnologia se opõem a um direito privado de ação, preferindo que a aplicação da ADPPA seja restrita à Comissão Federal de Comércio. Mas a FTC tem muito menos funcionários e muito menos recursos do que os advogados de julgamento dos EUA.

A ECPA, para comparação, tem um direito privado de ação. Não sobrecarregou tribunais ou empresas, e as entidades provavelmente cumprem a ECPA para evitar litígios civis. Além disso, os tribunais aperfeiçoaram os termos da ECPA, fornecendo precedentes claros e diretrizes de conformidade compreensíveis.

Qual ​​o tamanho das mudanças?

As mudanças na lei de privacidade de dados dos EUA são grandes, mas a ADPPA oferece segurança e proteção de dados muito necessárias aos cidadãos dos EUA, e acredito que seja viável com ajustes.

Dada a forma como a internet funciona, os dados fluem rotineiramente através das fronteiras internacionais, muitas empresas dos EUA já incorporaram a conformidade com as leis de outras nações em seus sistemas. Isso inclui o Regulamento Geral de Proteção de Dados da UE - uma lei semelhante à ADPPA. O Facebook, por exemplo, fornece a E.U. cidadãos com as proteções do GDPR, mas não dá aos cidadãos dos EUA essas proteções, porque não é obrigado a fazê-lo.

O Congresso fez pouco com a privacidade dos dados, mas a ADPPA está pronta para mudar isso. + Explorar mais

Como os dados de aplicativos de rastreamento de menstruação e gravidez podem ser usados ​​para processar mulheres grávidas

Este artigo é republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.