Nos Estados Unidos, a regulação da privacidade de dados é descentralizada, estruturada por legislações estaduais e setoriais. Diferente da União Europeia, que centralizou sua regulamentação por meio da Regulamento Geral de Proteção de Dados (GDPR), e do Brasil, que adotou um modelo unificado com a Lei Geral de Proteção de Dados (LGPD), os EUA ainda não possuem uma legislação federal abrangente de proteção de dados.
Com o avanço da tecnologia, a expansão da inteligência artificial e os recentes conflitos envolvendo redes sociais, a privacidade digital tornou-se um tema central nos debates regulatórios e jurídicos globais.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
A crescente coleta e utilização de dados pessoais por empresas e governos, muitas vezes sem transparência ou consentimento adequado, evidenciam a necessidade de mecanismos mais robustos de proteção. A ausência de uma legislação federal abrangente gera incertezas tanto para os cidadãos, cujos direitos à privacidade variam conforme a jurisdição, quanto para as empresas, que enfrentam um ambiente regulatório fragmentado e complexo.
Nesse contexto, a implementação de uma lei federal surge como um passo essencial para garantir direitos fundamentais, equilibrar inovação e proteção à privacidade e estabelecer diretrizes claras para o setor.
O atual modelo regulatório e seus desafios
O atual modelo de proteção de dados nos EUA baseia-se em legislações setoriais, como:
- Health Insurance Portability and Accountability Act (HIPAA): regula a privacidade de dados médicos;
- Gramm-Leach-Billey Act (GLBA): regula a privacidade das informações financeiras;
- Children’s Online Privacy Protection Act (COPPA): protege dados de crianças menores de 13 anos; e
- Fair Credit Reporting Act (FCPA): regula o uso de informações de crédito.
Além dessas leis setoriais, alguns estados adotaram suas próprias regulações, com destaque para a Califórnia, pioneira na implementação da California Consumer Privacy Act (CCPA) e, posteriormente, da California Privacy Rights Act (CPRA).
Essa iniciativa influenciou outros estados, como Virgínia, Colorado e Connecticut. Atualmente, segundo a International Association of Privacy Professionals (IAPP), cerca de 20 estados americanos já contam com legislações específicas de privacidade de dados, refletindo a crescente preocupação com a proteção de dados pessoais à nível estadual.
Outro desafio é a ausência de uma agência federal dedicada exclusivamente à privacidade, como a Agência Nacional de Proteção de Dados (ANPD) no Brasil. Atualmente, a Federal Trade Commission (FTC) exerce essa função regulamentando práticas comerciais abusivas com respaldo na Seção 5 da FTC Act, que proíbe “práticas desleais ou enganosas” no mercado. Apesar de sua relevância, a FTC enfrenta limitações estruturais e institucionais na regulação de privacidade, tais como:
- Ausência de mandato legislativo específico: a FTC não pode criar regras e medidas preventivas, limitando a sua atuação às ações de enforcement, ou seja, à imposição de penalidades após a ocorrência de violações;
- Limitação de jurisdição: setores como bancos, seguradoras e organizações sem fins lucrativos, por exemplo, não estão sob sua supervisão;
- Dependência da judicialização: a capacidade de enforcement da FTC depende, em grande parte, da judicialização dos casos ou da aceitação de acordo extrajudiciais, tornando o processo de responsabilização mais lento e menos eficaz.
Casos como o do Facebook (2019), em que a empresa foi multada em US$ 5 bilhões pelo uso indevido de dados, ilustram o impacto financeiro dessas penalidades. No entanto, apesar do impacto financeiro, essas multas são muitas vezes absorvidas sem alteração significativa nos modelos de negócio dessas empresas. Consequentemente, a aplicação de penalidades dessa natureza não causa as mudanças estruturais necessárias em suas práticas.
A Quarta Emenda e seus limites na era digital
A Quarta Emenda da Constituição dos Estados Unidos protege os cidadãos contra buscas e apreensões desrazoáveis, sendo interpretada historicamente como uma garantia ao direito de privacidade, especialmente no que diz respeito às ações governamentais. Em casos recentes, como Carpenter vs. United States (2018), a Suprema Corte reconheceu que o acesso a registros de localização sem mandado viola essa emenda.
No entanto, o aumento da coleta de dados por empresas privadas, muitas vezes sem consentimento explícito do titular do dado e para finalidades distintas daquelas declaradas em suas políticas de privacidade, evidenciam que a proteção oferecida pela Quarta Emenda é insuficiente no ambiente digital moderno.
O futuro da regulação: um caminho para a legislação federal
Com o crescimento das preocupações sobre privacidade e a necessidade de padronização regulatória, o Congresso discute o American Privacy Rights Act (APRA) de 2024. A proposta busca garantir a privacidade aos cidadãos americanos como um direito fundamental, ao mesmo tempo que em estabelece um padrão federal unificado para proteção de dados. Além disso, propõe a criação de mecanismos de fiscalização e enforcement para fortalecer a segurança jurídica.
Outro aspecto importante é a redução do ônus regulatório para pequenas e médias empresas, beneficiando aquelas com receita anual inferior a US$ 40 milhões, que processem dados de menos de 200.000 indivíduos ou não obtenham receita com a transferência de dados protegidos. A aprovação do APRA não apenas representaria um marco regulatório, mas alinharia os EUA aos padrões internacionais, facilitando transações comerciais globais e promovendo maior confiança no ambiente digital.
Congresso conseguirá aprovar uma lei robusta?
Apesar dos avanços nas discussões, desafios políticos e econômicos persistem. Divergências entre republicanos e democratas sobre questões como preempção das leis estaduais e direito privado de ação dificultam um consenso.
No entanto, a crescente pressão pública e a necessidade de alinhamento com padrões internacionais reforçam a urgência de uma solução a nível federal. O APRA pode ser o marco regulatório que os EUA precisam para equilibrar proteção de dados, segurança jurídica e inovação tecnológica.
