loading...

Normas de proteção de dados na Virgínia e no Colorado (EUA)

Apesar de os Estados Unidos estarem na vanguarda quando se fala em inovação e tecnologia, o mesmo não se pode afirmar em termos de privacidade e proteção de dados, visto que as leis, geralmente de natureza estadual, focam tão somente na comercialização de dados pessoais de indivíduos. Segundo sua forma de Estado, os EUA permitem que os estados deliberem acerca da criação de normas para a proteção de dados pessoais.

A lei mais famosa em vigor é indubitavelmente a California Consumer Privacy Act (CCPA), que regulamenta especialmente a comercialização de dados pessoais de cidadãos consumidores e residentes no Estado da Califórnia.

Entretanto, a CCPA está longe de trazer uma regulamentação mais robusta, como a GDPR, que tem 6 bases legais, ou a LGPD brasileira, que tem 10 bases legais. Base legal, apenas para fins de entendimento, significa condições que a lei atribui ao controlador (aquele que trata dados pessoais) para que ele possa tratar dados pessoais de um indivíduo – por exemplo, o consentimento do indivíduo, uma obrigação legal ou o legítimo interesse do controlador, dentre outras. Por outro lado, a questão da aplicabilidade da legislação (enforcement), especialmente no Brasil, tem se mostrado um problema diante da quantidade de subterfúgios e recursos previstos em lei.

Na verdade, a CCPA nem sequer tem bases legais. Ela simplesmente garante alguns direitos ao titular de dados, como (i) saber quais dados pessoais estão sendo coletados, (ii) saber se seus dados pessoais são vendidos ou divulgados e para quem, (iii) optar por não permitir a venda de seus dados pessoais, (iv) acessar seus dados pessoais, (v) solicitar a uma empresa que exclua qualquer informação pessoal colhida a seu respeito e (vi) não ser discriminado por exercer seus direitos de privacidade.

Em 2021, porém, tivemos novidades na terra do “Tio Sam”. Os estados da Virgínia e do Colorado sancionaram leis de privacidade, sobre as quais discorremos abaixo.

1.1.                    Virgínia – Consumer Data Protection Act

Consumer Data Protection Act (CDPA) foi assinada pelo governador do Estado da Virgínia em 2 de março de 2021 e atinge os controladores (organizações) que (a) conduzam negócios na Virgínia ou produzam produtos ou serviços direcionados a residentes da Virgínia e que (b1) controlem ou processem os dados pessoais de pelo menos 100 mil consumidores durante um ano civil ou, ainda, (b2) controlem ou processem os dados pessoais de pelo menos 25 mil consumidores e obtenham pelo menos 50% de sua receita bruta da venda de dados pessoais. Aqueles que conhecem a lei de proteção de dados vigente na Califórnia (CCPA), portanto, sabem que essa lei da Virgínia segue o mesmo caminho, apesar da ausência de um limite de receita que imponha tais obrigações, como o existente na CCPA, deixando grandes empresas fora do alcance da lei se não se enquadrarem nos critérios citados acima, independentemente de qual seja a sua receita.

Além disso, a CDPA não inclui (i) um órgão, autoridade, conselho, agência, comissão, distrito ou agência da Virgínia ou de qualquer subdivisão política da Virgínia, (ii) qualquer instituição financeira ou dados sujeitos à Lei Gramm-Leach-Bliley, (iii) uma entidade ou negócio coberto sujeito à Lei de Portabilidade e Responsabilidade de Seguros de Saúde e à Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica, (iv) uma organização sem fins lucrativos e (v) uma instituição de ensino superior. Dados pessoais não identificados ou informações publicamente disponíveis também estão fora do alcance da lei.

Outro aspecto interessante são algumas definições como:

TERMODEFINIÇÃO / EXPLICAÇÃO
Consumidorum indivíduo que é residente na Virgínia agindo apenas em um contexto individual ou doméstico, excluindo-se o indivíduo quando está agindo em um contexto comercial ou de emprego; as organizações, portanto, não precisam considerar os dados pessoais que coletam de colaboradores.
Venda de informações pessoaisa troca de dados pessoais por uma contraprestação monetária pelo controlador a um terceiro. Não é admitido outro tipo de contraprestação, para o enquadramento na lei.
Vendao termo venda, para efeito da lei, exclui (i) compartilhamento com operadores (sempre mediante contrato), (ii) compartilhamento com terceiros para fins de fornecimento de produto ou serviço solicitado pelo consumidor, (iii) compartilhamento com a afiliada do controlador, (iv) divulgação de informações que os consumidores disponibilizaram intencionalmente ao público em geral por meio de um canal de mídia de massa e não restringiram a um público específico e (v) compartilhamento como parte de uma fusão, aquisição etc.

O controlador deve responder ao pedido dos titulares de dados, chamados de consumidores, no prazo de 45 dias, podendo a empresa, justificadamente e avisando ao consumidor, prorrogar por mais 45 dias. São garantidos aos consumidores os seguintes direitos: (i) acesso, (ii) correção, (iii) eliminação, (iv) portabilidade de dados, (v) opt-out e (vi) direito de recorrer contra uma organização.

A coleta de dados deve se limitar ao que é adequado, relevante e razoavelmente necessário em relação aos propósitos para os quais os dados são tratados. A lei impõe aos controladores a necessidade de uma política de privacidade que deve conter necessariamente: (i) as categorias de dados pessoais tratados ​​pelo controlador, (ii) a finalidade do tratamento de dados pessoais, (iii) como os consumidores podem exercer seus direitos e recorrer da decisão de um controlador em relação à sua solicitação, (iv) as categorias de dados pessoais que o controlador compartilha com terceiros, se houver, e (v) as categorias de terceiros, se houver, com quem o controlador compartilha dados pessoais.

A lei determina igualmente que seja feita a avaliação de riscos na proteção dos dados pessoais, embora não indique a frequência com que a avaliação deve ocorrer e por quanto tempo deve ser mantida.

Por fim, um detalhe importante é que a execução para o cumprimento da lei cabe tão somente ao Procurador-Geral do Estado da Virgínia, não sendo cabível o direito privado de ação do consumidor supostamente lesado. Ao ser notificado, o controlador tem 30 dias para resolver a violação, caso contrário o Procurador-Geral pode multá-lo em até US$ 7.500 (sete mil e quinhentos dólares norte-americanos) por violação.

1.2.                   Colorado – Colorado Privacy Act

Colorado Privacy Act (CPA) foi assinada pelo governador do Estado do Colorado em 8 de julho de 2021 e atinge os controladores que (a) realizam negócios no Colorado, produzem ou entregam produtos ou serviços comerciais que são intencionalmente direcionados a residentes do Colorado; e (b1) controlam ou processam os dados pessoais de pelo menos 100 mil consumidores ou mais durante um ano civil, ou (b2) obtêm receita ou recebem um desconto no preço de bens ou serviços da venda de dados pessoais e processam ou controlam os dados pessoais de 25 mil consumidores ou mais.

A CPA também estabelece categorias de dados pessoais isentos. Assim como a CDPA, eles podem ser divididos em duas categorias principais: isenções com respeito a entidades e com respeito a dados pessoais. As primeiras são mais amplas e, quando aplicáveis, os controladores não precisam cumprir as obrigações e direitos da CPA em relação aos dados que coletam, mesmo quando os dados seriam incluídos. A principal isenção com respeito a entidades sob a CPA é para as regulamentadas pela Lei Gramm-Leach-Bliley. Dados pessoais não identificados ou informações publicamente disponíveis também estão fora do alcance da lei.

Outro aspecto interessante são algumas definições como, por exemplo:

TERMODEFINIÇÃO / EXPLICAÇÃO
Consumidorum indivíduo que é residente no Colorado agindo apenas em um contexto individual ou doméstico, excluindo-se o indivíduo quando está agindo em um contexto comercial ou de emprego; as organizações, portanto, não precisam considerar os dados pessoais de colaboradores que coletam.
Venda de informações pessoaisa troca de dados pessoais por uma contraprestação monetária ou outra contraprestação valiosa por parte de outro controlador.
Vendao termo venda, para efeito da lei, exclui algumas transações que teoricamente estariam fora desse conceito: (i) compartilhamento com um operador que trata os dados pessoais em nome de um controlador, (ii) compartilhamento dos dados pessoais com terceiros para fins de fornecimento de um produto ou serviço solicitado pelo consumidor, (iii) compartilhamento ou transferência de dados pessoais para uma afiliada do controlador, (iv) compartilhamento ou transferência a terceiros de dados pessoais como um ativo que faz parte de uma fusão, aquisição, falência ou outra transação proposta ou real, na qual o terceiro assume o controle de todos ou parte dos ativos do controlador, e (v) compartilhamento de dados pessoais que um consumidor instrua o controlador a divulgar ou divulgue intencionalmente usando o controlador para interagir com terceiros, ou intencionalmente disponibilizado por um consumidor ao público em geral por meio de um canal de mídia de massa.

O controlador deve responder ao pedido dos titulares de dados, chamados de consumidores, no prazo de 45 dias, podendo a empresa, justificadamente e avisando ao consumidor, prorrogar por mais 45 dias. São garantidos aos consumidores os seguintes direitos: (i) acesso, (ii) correção, (iii) eliminação, (iv) portabilidade de dados, (v) opt-out e (vi) direito de recorrer contra uma organização.

A coleta de dados deve se limitar ao que é adequado, relevante e razoavelmente necessário em relação aos propósitos para os quais os dados são tratados. A lei impõe aos controladores a necessidade de uma aviso de privacidade razoavelmente acessível, claro e significativo, que deve conter necessariamente: (i) as categorias de dados pessoais tratados ​​pelo controlador ou pelo operador, (ii) a finalidade do tratamento de dados pessoais, (iii) como os consumidores podem exercer seus direitos e recorrer da decisão de um controlador em relação à sua solicitação, (iv) as categorias de dados pessoais que o controlador compartilha com terceiros, se houver, e (v) as categorias de terceiros, se houver, com quem o controlador compartilha dados pessoais.

A lei determina igualmente que os controladores não podem processar atividades que apresentem um aumento de risco de danos a um consumidor sem realizar e documentar uma avaliação de riscos com respeito à proteção de dados de cada uma de suas atividades de tratamento.

Por fim, um detalhe importante é que a execução para o cumprimento da lei cabe tanto ao Procurador-Geral do Estado do Colorado quanto aos procuradores distritais, não sendo cabível o direito privado de ação do consumidor supostamente lesado. Ao ser notificado, o controlador tem 60 dias para resolver a violação. Esse direito de resolver a violação no prazo de 60 dias valerá apenas pelos primeiros dois anos de vigência da lei; após, os controladores deverão responder diretamente a uma ação proposta pelos procuradores.

É curioso, entretanto, que a lei não atribui um valor de multa específico em caso de violação, mas como a violação a essa lei pode ser considerada uma prática comercial enganosa, as penalidades são regidas pela Lei de Proteção ao Consumidor do Colorado. Assim, o controlador que violar a lei pode ser multado em até US$ 20.000 (vinte mil dólares) por violação.