Articles

Ad Law Access

Como marcamos o Dia da Privacidade de Dados, hoje é uma boa altura para fazer um balanço da posição da legislação de privacidade dos EUA em relação aos desenvolvimentos dos últimos anos. Em menos de dois anos, a GDPR e o CCPA tornaram-se as leis de privacidade mais abrangentes em vigor, concedendo aos indivíduos amplos direitos sobre as suas informações, criando inúmeros requisitos de responsabilização, e dando às autoridades o poder de impor multas potencialmente maciças. (Para mais informações sobre a GDPR, ver os nossos posts no blogue, incluindo os que estão aqui e aqui.)

O CCPA suscitou um debate sobre se rejeita ou mantém a “abordagem americana” à privacidade. Alguns observadores previram que o CCPA se afastasse da “abordagem americana” de “inovação largamente sem permissão com uma resposta regulamentar pós-hoc a danos concretos”. Outros criticaram o CCPA por permitir geralmente a recolha e utilização de dados pessoais, a menos que proibido por uma “regra legal específica”

Este debate é pouco provável que seja resolvido em breve ou de forma conclusiva, mas é claro que a nível federal e estadual, as leis de privacidade de dados dos EUA são susceptíveis de se expandir. Enquanto alguns estados – incluindo Washington e Virgínia – estão a considerar leis abrangentes influenciadas pela GDPR, os estados também continuam a considerar e a acrescentar leis que abordam práticas de dados específicas, o que poderia causar uma maior fragmentação nas leis de privacidade dos EUA e desafios adicionais de conformidade para as empresas.

Como devem as empresas gerir o caminho incerto que a legislação de privacidade está a seguir nos EUA? A análise abrangente e holística das práticas de dados de uma organização é frequentemente fundamental para o cumprimento dos requisitos actuais (tais como o CCPA) e também é provável que seja uma forma eficaz de gerir leis estatais díspares à medida que estas se desenvolvem.

Toward Comprehensive State Privacy Laws

The GDPR has had an important impact on global privacy laws. Argentina, Brasil, Malásia, e Uruguai, entre outros, adoptaram leis de privacidade modeladas após a GDPR. O CCPA inclui vários elementos da GDPR, tais como os direitos de acesso e de eliminação, embora permaneçam diferenças significativas. (Para um olhar mais granular sobre a forma como a GDPR e o CCPA se comparam, ver o nosso quadro de comparação aqui). Além disso, os legisladores do estado de Washington estão actualmente a pressionar para uma Lei de Privacidade de Washington (SB 6281), um novo regulamento que rege a privacidade dos dados e o reconhecimento facial. O projecto de lei refere explicitamente a GDPR, declarando: “A União Europeia actualizou recentemente a sua lei de privacidade através da aprovação e implementação do regulamento geral de protecção de dados, proporcionando aos seus residentes as mais fortes protecções de privacidade do mundo. Os residentes de Washington merecem usufruir do mesmo nível de robustas salvaguardas de privacidade” (ênfase acrescentada). A Virgínia está igualmente a considerar legislação sobre privacidade que daria aos consumidores o direito de aceder aos seus dados e determinar se estes foram vendidos a um corretor de dados (HB 473). A proposta de lei da Virgínia iria geralmente seguir os direitos do consumidor GDPR, incluindo os direitos de acesso, correcção, apagamento, e o direito de optar por não processar mais.

As Diferenças: Um Exemplo

Outros aspectos da “abordagem americana” à privacidade estão a manter-se firmes contra o movimento em direcção a leis abrangentes. A privacidade biométrica exemplifica as diferentes abordagens da UE e dos EUA. Na UE, os dados biométricos são abrangidos pelo GDPR como uma “categoria especial de dados pessoais”, e as empresas não devem processar estes dados a menos que obtenham consentimento explícito, ou o processamento satisfaça outros motivos rigorosos para o processamento legal que se aplicam em todos os estados membros da UE. Também como parte da GDPR, qualquer acesso não autorizado ou aquisição de dados biométricos que constitua uma violação de dados deve ser comunicado à autoridade competente no prazo de 72 horas.

Nos Estados Unidos, a privacidade biométrica é uma questão de direito estatal (por enquanto), complementada por um punhado de ordens de execução que abordam dados biométricos. Apenas três estados têm leis relevantes sobre a matéria – Illinois, Washington, e Texas – e o âmbito e os requisitos destas leis variam consideravelmente. Por exemplo, a informação biométrica pode desencadear obrigações de notificação da violação de dados se for comprometida, mas se as obrigações forem desencadeadas variará de Estado para Estado. Uma distinção importante reside também nas capacidades de aplicação – a lei biométrica do Illinois tem um direito de acção privado, enquanto que as leis do Texas e de Washington não o têm. Além disso, leis como a HIPAA e o Título VII podem fornecer protecções adicionais em algumas situações.

Fora dos EUA e da UE, os países estão a seguir o exemplo da Europa. Muito poucos países têm leis específicas que regem os dados biométricos, e em vez disso incluem estes dados numa lei nacional, que frequentemente contém requisitos de consentimento informado e direitos das pessoas a quem os dados dizem respeito. Embora subsistam dúvidas sobre a protecção desta abordagem no que diz respeito aos dados biométricos, muito poucos países estão a abordar estas questões através de leis que se aplicam a sectores ou territórios.

As Implicações: A Conversation

Enquanto a abordagem da UE à privacidade parece estar a ganhar a nível global, os decisores políticos dos EUA não estão a ignorar requisitos mais direccionados que abordam práticas de dados específicas. Contudo, esta abordagem fragmentada poderia também causar confusão, complexidade e despesas. Por exemplo, o requisito do CCPA “Não vender as minhas informações pessoais” poderia rapidamente tornar-se impraticável se os estados adoptassem diferentes definições de “vender” informações pessoais.

Os membros do Congresso que estão a considerar uma lei federal sobre privacidade têm a oportunidade de decidir quanto da abordagem dos EUA e quanto da abordagem da UE para colocar em qualquer lei federal abrangente de protecção de informações pessoais, bem como se devem incluir a preempção e um direito de acção privado. Estaremos atentos para ver como decidem.

No fundo, este é apenas o começo para as leis de privacidade de dados. Os direitos dos dados dos consumidores, os requisitos de governação e responsabilidade, e as estruturas reguladoras irão certamente evoluir e provavelmente expandir-se. Para as empresas que tentarem integrar nos seus programas de privacidade uma certa protecção de futuro, dedicando tempo a compreender as suas práticas de dados, que tipos de informação pessoal recolhem e mantêm, onde se encontram, porquê e quanto tempo necessitam, e se a informação pessoal está suficientemente protegida contra compromissos, permitirá mais opções para estratégias empresariais, bem como uma gestão mais eficiente do risco empresarial em resposta à mudança do panorama jurídico.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *