Desde que o GDPR entrou em vigor na Europa, os estados norte-americanos têm intensificado seus esforços para produzir regulamentos similares de privacidade de dados para seus habitantes. No rescaldo do escândalo da Cambridge Analytica, a privacidade é uma notícia quente e, devido à falta de uma lei federal unificada, para governar todas elas, o peso do controle e da execução está caindo nos procuradores gerais dos estados americanos.

Um projeto de lei de privacidade apresentado recentemente no Distrito de Columbia (Washington) é a mais recente evidência de um mosaico emergente de leis de privacidade em nível estadual. A Security Breach Protection Amendment Act of 2019 (SBPAA) foi elaborada para englobar as leis de violação de dados do distrito federal e melhorar a proteção para as informações pessoais dos consumidores.

O que regulará essa lei

A SBPAA descreve vários procedimentos que as empresas devem cumprir no caso de violações de dados. Isso inclui ter que notificar as vítimas e informar o Escritório do Procurador Geral do Distrito Federal por escrito, bem como fornecer dois anos de serviços de segurança contra roubo de identidade para qualquer indivíduo cujo número de social security ou de tax payer foi violado.

Se aprovada, a legislação também exigirá que as empresas comecem a implementar padrões de segurança robustos contra o acesso não autorizado e o uso de dados pessoais dos cidadãos.

A lei também procura expor os tipos de informações consideradas sensíveis, para incluir números de seguridade social, carteira de motorista, números de cartões de crédito ou débito, números de passaporte, números de identificação de contribuinte, números de identificação militar, informações de saúde, dados biométricos, informações e perfis de DNA, bem como informações sobre seguros de saúde.

A SBPAA também define claramente que o primeiro nome de um indivíduo, a primeira inicial, o sobrenome e qualquer outro identificador pessoal sozinho ou em combinação com outros conjuntos de dados que podem ser usados para identificar esse indivíduo são “informações pessoais”. Endereços de e-mail também estão incluídos nessa definição.

Pontos vagos do projeto de lei

No entanto, ao contrário do GDPR na EU, do CPPA na Califórnia e da LGPD brasileira, a nova lei de privacidade não apresenta regulamentação sobre a coleta de dados, nem impõe a necessidade de consentimento do consumidor antes da coleta de dados. Além disso, não estabelece limites para as finalidades para as quais os dados podem ser manipulados após serem coletados.

O projeto de lei também não faz menção específica de identificadores digitais, como endereços IP, dentro da categorização de “informações pessoais”, o que resulta em outra área cinzenta.

Os reflexos no mercado

Para as empresas, a SBPAA é um lembrete austero de que até que uma lei federal seja aprovada, fornecer privacidade e segurança de dados adequadas em todos os Estados Unidos está rapidamente se tornando um pesadelo logístico.

Escritórios de advocacia já perceberam um aumento de empresas de tecnologia que buscam assessoria jurídica sobre como navegar no labirinto emergente das políticas estaduais. E os grandes escritórios de advocacia estão respondendo, melhorando sua compreensão e conhecimento desses vários ambientes jurídicos.

Não há dúvidas de que as intenções de obter uma maior segurança na privacidade de dados, como as criadas pelo CCPA da Califórnia e pelo SBPAA do DC, são um passo na direção dos direitos do consumidor. No entanto, pode haver efeitos colaterais não intencionais também.

A colcha de retalhos de políticas distintas está inspirando as empresas de tecnologia a começarem a fazer lobby por uma lei nacional. As empresas sabem que ter que atender a diferentes leis estaduais será inconveniente e caro. Isso afetará não apenas como os dados são acessados e armazenados em cada local, mas também como eles podem ser processados e compartilhados entre as linhas de limites da sua área de abrangência.

Os métodos de publicidade que, até então, podem legalmente abranger todos os EUA precisarão ser ajustados da mesma forma que foram desde que o GDPR entrou em vigor na UE. Por exemplo, quando o GDPR entrou em vigor, um grande número de sites dos EUA decidiu parar de fornecer seu conteúdo na Europa. Agora imagine o efeito que leis semelhantes poderiam ter nos EUA.

Sistemas simples que antes geravam receitas sem problemas, de repente se tornariam muito mais difíceis de gerenciar e implementar. Naturalmente, as empresas poderiam simplesmente optar por aderir às mais rígidas leis de privacidade em toda a linha. Isso resolveria o problema, no entanto, tendo em vista a necessidade de apresentar lucratividade nas operações, essa atitude poderia inviabilizar a operação.

Em vez disso, grandes empresas de tecnologia como o Facebook e o Google estão atuando na Internet Association, para pressionar o governo norte-americano por uma lei de privacidade federal, com validade em todo o país. Isso instantaneamente causa preocupação, pois até recentemente essas mesmas empresas estavam em situação difícil por causa desse mesmo tipo de lei. Então, por que a reviravolta?

As grandes empresas sabem que a Constituição dos EUA, permite que qualquer lei de privacidade federal substitua todas as leis estaduais conflitantes, mesmo que elas façam parte da constituição do estado.

Qualquer lei de privacidade federal que tenha o apoio total das grandes empresas de tecnologia será, mais do que provavelmente, uma proposta unificada para atender ao desejo do público a respeito de uma lei semelhante à GDPR, ao mesmo tempo em que permitirá que as grandes da tecnologia continuem utilizando dados para obter lucro.

Por esta razão, a SBPAA é questionável. Embora certamente tenha alguns atributos positivos, também parece ter alguns buracos e áreas cinzentas, quando comparada a outras leis semelhantes. Se essa legislação for aprovada, e já foi usada como modelo para uma lei de privacidade federal em todo o país, parece ser uma grande vitória para as “Big Tech”.

Fonte: Information Management