Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

A Lei de Proteção e Privacidade de Dados dos EUA (ADPPA): uma visão geral

Embora muitas novas leis de privacidade estejam se tornando eficazes em nível estadual, os Estados Unidos ainda não adotaram uma lei federal abrangente sobre privacidade e proteção de dados. Então, se Bill H.R. 8152, a American Data Privacy Protection Act (ADPPA), forte de apoio bipartidário, seria aprovada, ela se tornaria a primeira lei federal de privacidade após quase duas décadas de discussão.

Neste post, vamos rever as principais definições e exigências do projeto de lei, para ter uma idéia mais clara do que aconteceria se a ADPPA fosse aplicada.

Em um relance:

Lei Americana de Proteção e Privacidade de Dados (ADPPA)

O que é a ADPPA (American Data Privacy Protection Act)?

De acordo com o texto oficial, a ADPPA é:

Um projeto de lei para proporcionar aos consumidores direitos fundamentais de privacidade de dados, criar fortes mecanismos de supervisão e estabelecer uma aplicação significativa.

A ADPPA concederia a todos os consumidores americanos direitos significativos de privacidade de dados, estabelecendo ao mesmo tempo um sistema de monitoramento para a coleta e o processamento de dados realizados por entidades cobertas.

Como lei federal, a ADPPA geralmente anteciparia outras leis de privacidade em nível estadual que são cobertas por suas disposições, tais como a CPRA da Califórnia ou a VCDPA da Virgínia. Isso significa que as entidades que fazem negócios nos EUA teriam que cumprir com a ADPPA, já que a maioria das leis estaduais não se aplicaria mais.

Preempção das leis do Estado
Nenhum Estado ou subdivisão política de um Estado pode adotar, manter, aplicar, prescrever ou continuar em vigor qualquer lei, regulamento, norma, padrão, exigência ou outra disposição com força e efeito de lei de qualquer Estado, ou subdivisão política de um Estado, coberta pelas disposições desta Lei, ou uma norma, regulamento ou exigência promulgada sob esta Lei.

O E.U.A. A Comissão Federal de Comércio seria responsável principalmente pela aplicação do projeto de lei. De acordo com a minuta, a FTC é obrigada a estabelecer uma nova agência chamada “Bureau of Privacy”, que se encarregaria de supervisionar e aplicar o projeto de lei.

A quem a ADPPA se aplica?

A Lei Americana de Proteção da Privacidade de Dados se aplicaria à chamada “entidades cobertas”..

O texto preliminar define uma entidade coberta como “qualquer entidade ou pessoa, que não seja um indivíduo agindo em um contexto não comercial, que sozinha ou em conjunto com outros determina os propósitos e meios de coleta, processamento ou transferência dos dados cobertos“. Esta definição ampla abrange a grande maioria das empresas.

A definição não inclui entidades governamentais federais, estaduais, tribais, territoriais ou locais, ou qualquer pessoa ou entidade que colete e processe dados em seu nome.

👉 Leia a definição oficial aqui

O que são considerados dados pessoais segundo a ADPPA?

A ADPPA define “dados cobertos” como informação que – sozinha ou em combinação com outras informações – pode levar à identificação de um indivíduo ou de seu dispositivo, ou está ligada ou pode ser razoavelmente ligada a . Esta definição também inclui identificadores únicos, tais como endereços IP.

Por outro lado, a definição de “dados cobertos” não inclui:

  • dados desidentificados;
  • dados dos funcionários;
  • informações disponíveis ao público; ou
  • inferências feitas a partir de múltiplas fontes independentes de informações publicamente disponíveis que não revelam dados sensíveis cobertos em relação a um indivíduo.

A Lei Americana de Proteção da Privacidade de Dados também inclui uma seção específica dedicada a “dados sensíveis cobertos“: números de previdência social e passaporte; informações sobre saúde; números de contas financeiras, cartões de débito e cartões de crédito; informações biométricas e genéticas; comunicações privadas; qualquer conta ou dispositivo de credenciais de log-in, para citar apenas alguns.

Você pode acessar a lista completa aqui.

Princípios principais da Lei Americana de Proteção e Privacidade de Dados

Sob o Título I – Dever de Lealdade, a ADPPA define seus princípios fundamentais:

  • Minimização de dadosUma empresa deve limitar sua coleta, processamento e transferência de dados cobertos somente ao que for razoavelmente necessário e proporcional para cumprir uma finalidade permitida ou fornecer um produto ou serviço específico solicitado pelo indivíduo ao qual os dados pertencem.
  • Deveres de lealdade: incluem principalmente aquelas atividades que a ADPPA proíbe, a saber: o processamento de dados sensíveis, sempre que não for necessário para fornecer ao indivíduo um serviço que ele solicitou, ou a transferência de dados pessoais a terceiros sem o consentimento do indivíduo.
  • Privacidade por projeto: as entidades que coletam e processam dados pessoais devem implementar salvaguardas e práticas de segurança, para garantir que sua atividade seja realizada de forma segura e em conformidade com as leis aplicáveis.
  • Lealdade aos indivíduos com relação a preços: as entidades cobertas devem abster-se de retaliar contra um indivíduo por exercer qualquer dos direitos garantidos pela ADPPA, incluindo negar bens ou serviços, cobrar preços ou tarifas diferentes, ou fornecer um nível de qualidade diferente.

Direitos de dados do consumidor sob a ADPPA

Os direitos dos consumidores sob o Título II da ADPPA incluem:

  • Conscientização do consumidor: dentro de 90 dias da promulgação da ADPPA, a FTC seria obrigada a publicar uma descrição de cada disposição, direito, obrigação e exigência da lei em seu website.
  • Transparência: cada entidade coberta deve disponibilizar publicamente, de forma clara, visível, de fácil leitura e prontamente acessível, uma política de privacidade que forneça uma representação detalhada e precisa de suas atividades de coleta, processamento e transferência de dados.
  • Propriedade e controle individual de dados: os indivíduos têm o direito de acessar, corrigir, excluir e portabilidade de seus dados.
  • Direito de Consentimento e Objeto: as entidades devem fornecer aos indivíduos um meio de, entre outros, dar e retirar seu consentimento com respeito ao processamento ou transferência de seus dados cobertos e optar por não fazer publicidade direcionada.
  • Proteção de dados para crianças e menores de idade: as organizações estão sujeitas a exigências adicionais quando indivíduos com menos de 17 anos estão envolvidos. Por exemplo, a publicidade dirigida é expressamente proibida, assim como a transferência de dados a terceiros, se não houver consentimento explícito do menor coberto ou dos pais ou responsáveis do menor coberto.
  • Entidades de cobrança de terceiros: as entidades de cobrança de terceiros devem colocar um aviso claro e conspícuo em seu website e/ou aplicativo, informando aos indivíduos que são uma entidade de cobrança de terceiros, usando a linguagem especificada pelos regulamentos da FTC.
  • Segurança e proteção de dados cobertos: as organizações devem implementar e manter práticas e procedimentos de segurança de dados que protejam e protejam os dados contra acesso e aquisição não autorizados.

Como o projeto de lei ainda não concluiu o procedimento legislativo nem foi aprovado, ainda não há requisitos legais efetivos. Entretanto, caso a ADPPA se torne efetiva em seu texto atual, as entidades abrangidas estariam sujeitas às seguintes obrigações:

  • Uma política de privacidade: as políticas de privacidade são expressamente mencionadas no texto e devem pelo menos incluir:
    • as informações de contato da entidade coberta;
    • os detalhes dos terceiros que estão recebendo os dados;
    • que tipo de dados estão sendo coletados e processados e por quê;
    • que direitos os indivíduos têm em relação aos seus dados e como eles podem exercê-los;
    • quanto tempo a organização planeja armazenar os dados.
  • Um mecanismo para coletar consentimento para o processamento de dados sensíveis cobertos e para que os indivíduos a retirem.
  • Um mecanismo para optar por não participar da publicidade dirigida.
  • Se você for uma entidade coletora de terceiros, um aviso claro em seu website e/ou aplicativo informando as pessoas sobre sua atividade.
📌 O que tenho de fazer?

Neste momento, não há nada que você deva fazer em relação à ADPPA: o texto ainda é um esboço e a discussão pode levar meses. Entretanto, nossa equipe no iubenda sempre monitorará a situação e o alertará sobre quaisquer mudanças e atualizações.

👉 Não deixe de se inscrever aqui, e não perca as últimas notícias!

Uma coisa que você poderia fazer, no entanto, é verificar se alguma das novas Leis de Privacidade do Estado Americano se aplica a você! Se for esse o caso, então você precisaria cumprir com suas exigências.

Não se preocupe, é mais fácil do que você pensa!

Basta fazer este questionário de 1 minuto e descobrir

About us

iubenda

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com

Ainda tem perguntas/dúvidas?

Participe de um de nossos webinars gratuitos Mande-nos um e-mail Chat ao vivo