Um guia para as leis federais e estaduais de privacidade de dados nos EUA
Na era digital, a proteção e regulamentação da privacidade de dados tornaram-se mais críticas do que nunca
É agora uma questão de prioridade para a maioria dos indivíduos, organizações e governos em todo o mundo. Como resultado, praticamente todos os países livres do mundo, incluindo os Estados Unidos, introduziram alguma forma de regulamentação de protecção de dados para regular a forma como informações pessoais é coletado, armazenado e compartilhado. Que controle um titular dos dados tem sobre suas informações pessoais.
Embora nos EUA, por exemplo, não exista uma lei federal central e abrangente sobre privacidade de dados como a GDPR da UE . No entanto, várias leis federais de privacidade de dados com enfoque vertical têm como alvo um sector da economia ou outro, bem como uma nova geração de leis de privacidade orientadas para o consumidor provenientes dos estados. Os EUA Comissão Federal de Comércio (FTC) é a agência investida do poder de fazer cumprir essas regulamentações em nível federal, enquanto os procuradores estaduais fazem o mesmo em nível estadual.
Este artigo examinará detalhadamente as diversas leis federais e estaduais de privacidade de dados nos Estados Unidos. Esperamos que isso o ajude a compreender totalmente as disposições dessas leis e a preparar sua empresa para conformidade.
Leis Federais de Privacidade de Dados
Lei de Privacidade
O Lei de Privacidade é uma lei federal dos Estados Unidos promulgada em 31 de dezembro de 1974, para reger a coleta, uso e divulgação de PII sobre indivíduos detidos por agências federais.
Foi criado em resposta a preocupações sobre como a criação e utilização de bases de dados informatizadas poderia impactar os direitos de privacidade dos indivíduos.
A lei cobre apenas cidadãos dos EUA e residentes permanentes. Assim, apenas um cidadão ou residente permanente pode processar ao abrigo da Lei da Privacidade. Além disso, a lei se aplica apenas a certas agências do governo federal.
Obrigação da Lei de Privacidade: A Lei da Privacidade protege a privacidade dos cidadãos através das seguintes regras e direitos no tratamento de dados pessoais:
- Os cidadãos têm o direito de aceder a quaisquer dados mantidos por agências governamentais; e o direito de copiar e corrigir quaisquer erros de informação
- As agências governamentais devem seguir princípios de minimização de dados (informações relevantes e necessárias para cumprir seus propósitos) ou “práticas justas de informação” ao coletar e tratar dados pessoais
- O compartilhamento de informações entre outras agências federais (e não federais) é restrito e permitido apenas sob certas condições
- Os indivíduos têm o direito de processar o governo por violar as suas disposições
No entanto, existem exceções específicas à lei que permitem informações pessoais sob certas condições. Estas excepções significam que a privacidade individual não é totalmente garantida como os redactores da Lei poderiam ter desejado. Além disso, a Lei de Privacidade só se aplica a registros mantidos por uma “agência”. Portanto, os registros mantidos por tribunais, componentes executivos ou entidades governamentais não pertencentes a agências não estão sujeitos às disposições da Lei de Privacidade e não há direito a esses registros.
Penalidades por violação da Lei de Privacidade: A Lei de Privacidade prevê penalidades civis e criminais pela violação das disposições da lei. Seguem algumas das penalidades aplicáveis em caso de descumprimento:
- Se uma agência se recusar a alterar o registo de um indivíduo mediante pedido, o indivíduo pode processar num tribunal civil para que o registo seja alterado. O tribunal também pode conceder ao indivíduo honorários advocatícios razoáveis e outros custos de litígio a serem pagos pela agência
- Se qualquer funcionário de agência governamental divulgar intencionalmente PII, será multado em no máximo US$ 5.000
- Se qualquer funcionário da agência mantiver intencionalmente um sistema de registros sem divulgar sua existência e detalhes relevantes conforme especificado acima, ele poderá ser multado em no máximo US$ 5.000.
- Qualquer pessoa que solicite intencionalmente o registro de um indivíduo a uma agência sob falsos pretextos pode ser multada em no máximo US$ 5.000.
A Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA)
HIPAA é uma lei federal que foi sancionada em 21 de agosto de 1996.Foi criado principalmente para modernizar o fluxo de informações de saúde e estipular como a confidencialidade e a integridade das informações de identificação pessoal (PII) mantidas pelos prestadores de cuidados de saúde devem ser protegidas.
A HIPAA é crucial porque garante que os prestadores de cuidados de saúde e organizações relacionadas implementem salvaguardas adequadas para proteger informações pessoais sensíveis de saúde.
Obrigações da HIPAA: Os prestadores de cuidados de saúde são obrigados a fornecer salvaguardas para proteger a confidencialidade, integridade e disponibilidade de informações privadas de saúde (PHI). As regras a seguir definem a estrutura de tudo relacionado aos requisitos de conformidade da HIPAA:
- A Regra de Privacidade — Regula o uso e a divulgação de PHI detidos por entidades cobertas
- A regra de segurança – descreve os controles de segurança organizados em precauções administrativas (políticas e procedimentos de segurança, treinamento de usuários e RH), físicas (abrange todos os aspectos das proteções de segurança física) e técnicas (abrange todos os aspectos da segurança cibernética).
- A Regra de Notificação de Violação exige que as entidades cobertas notifiquem os pacientes, o HHS e outras partes interessadas importantes quando suas PHI não seguras forem violadas de forma inadmissível
- A Regra Omnibus – A implicação desta regra é que as entidades cobertas são responsáveis por quaisquer violações potenciais de parceiros comerciais e contratados e precisam tomar as medidas apropriadas em conformidade
Direitos do paciente: Os pacientes têm vários direitos ao abrigo da regra de privacidade da HIPAA, incluindo o acesso aos seus registos de saúde e o direito de solicitar correcções.
O direito de acesso proporciona aos indivíduos o direito legal e executável de acessar e receber cópias, mediante solicitação, das informações contidas em seus registros de saúde mantidos por seus prestadores de cuidados de saúde. Um paciente também tem o direito de alterar as PHI enquanto as PHI estiverem em um conjunto de registros designado.
Penalidades por violação da HIPAA: Espera-se que todas as entidades relacionadas à saúde que coletam, armazenam ou compartilham informações de saúde dos pacientes estejam em total conformidade com a HIPAA. O não cumprimento das disposições da lei acarreta penalidades severas. O tipo mais comum de violação decorre da não conformidade com as regras de privacidade, segurança ou notificação de violação da HIPAA.
As penalidades por descumprimento são baseadas no nível de negligência. Eles podem variar de US$ 100 a US$ 50.000 por violação, com multa máxima de US$ 1,5 milhão por ano por violações de disposição idêntica. As violações também podem acarretar acusações criminais que podem resultar em penas de prisão. Aqui está uma lista de Violações e multas notáveis da HIPAA de 2015-2021 e uma lista daqueles atualmente sob investigação .
Lei Gramm-Leach-Bliley ( GLBA )
GLBA é um estatuto federal que foi sancionado em 12 de novembro de 1999.A lei exige que as instituições financeiras e outras empresas que oferecem serviços e produtos financeiros comuniquem aos seus clientes como protegem e partilham as suas informações privadas e o direito do cliente de cancelar qualquer partilha de dados de terceiros.
A conformidade com o GLBA torna obrigatório que todas as instituições financeiras tenham uma política para proteger a confidencialidade e integridade das informações dos clientes contra quaisquer ameaças previsíveis.
Obrigações da GLBA: Os prestadores de serviços financeiros são obrigados a fornecer salvaguardas para proteger a confidencialidade, integridade e disponibilidade das informações pessoais do cliente, aderindo às seguintes regras:
- Regra de privacidade financeiraIsto exige que as instituições financeiras forneçam a cada consumidor um aviso de privacidade assim que a relação de consumo for estabelecida e anualmente depois disso. O aviso de privacidade deve explicar as informações coletadas sobre o consumidor, incluindo onde e como as informações são usadas, compartilhadas e protegidas, e seus direitos de cancelar o compartilhamento de informações de terceiros.
- Regra de salvaguardasAs Salvaguardas exigem que as instituições financeiras desenvolvam uma política escrita de segurança da informação que descreva como a empresa está preparada e planeja continuar a proteger as informações pessoais não públicas dos clientes.
- Proteção de pretextosA GLBA proíbe a prática de pretextos – uma forma de ataque de engenharia social isso ocorre quando alguém tenta acessar informações pessoais e não públicas sem a autoridade adequada para fazê-lo. As organizações abrangidas pelo GLBA são obrigadas a implementar salvaguardas contra pretextando ataques
Penalidades por violação do GLBA: O não cumprimento do GLBA acarreta penalidades severas para a instituição financeira e seus funcionários.
- Uma instituição financeira pode ser multada em até US$ 100 mil por cada violação e um valor que vai até um por cento dos ativos da empresa
- Os funcionários também podem ser multados em até US$ 10.000 individualmente por cada violação
- Se não seguirem as políticas e procedimentos de segurança em vigor, poderão receber uma multa de US$ 1.000.000 e entre 5 e 12 anos de prisão.
Lei de Proteção à Privacidade Online das Crianças (COPPA)
XÍCARA é uma lei federal dos Estados Unidos promulgada em 21 de abril de 2000, para regulamentar a coleta on-line de informações pessoais sobre crianças menores de 13 anos de idade..
A lei protege a privacidade das crianças, solicitando o consentimento dos pais para recolher ou utilizar quaisquer informações pessoais das crianças. Foi criado para aumentar o envolvimento dos pais nas atividades online das crianças, em resposta a uma crescente consciência das técnicas de marketing na Internet que visavam as crianças e recolhiam as suas informações pessoais em websites sem notificação dos pais.
A lei se aplica a sites comerciais e serviços online (incluindo aplicativos móveis) direcionados a crianças, bem como a sites estrangeiros direcionados a crianças dos EUA. Não se aplica a sites de público em geral, a menos que tenham serviços específicos que atraiam crianças para seus sites.
Obrigações da COPPA: Os sites ou aplicativos móveis direcionados a crianças são obrigados a aderir a práticas de informação justas na coleta e uso de informações pessoais. O Revisão da legislação nacional apresenta uma análise detalhada das etapas que você precisa seguir para cumprir as obrigações da COPPA:
- Publicar uma política de privacidade on-line clara e abrangente, descrevendo suas práticas de informações sobre PI coletadas on-line de crianças menores de 13 anos;
- Envidar esforços razoáveis (levando em conta a tecnologia disponível) para notificar diretamente os pais sobre as práticas da operadora relativas à coleta, uso ou divulgação de IP de crianças menores de 13 anos, incluindo notificação de qualquer alteração material em tais métodos aos quais os pais tenham previamente consentido;
- Obter consentimento verificável dos pais, com exceções limitadas, antes de qualquer coleta, uso e divulgação de IP de crianças menores de 13 anos;
- Fornecer meios razoáveis para que os pais possam rever as IP recolhidas do seu filho e recusar permitir a sua utilização ou manutenção posterior;
- Estabelecer e manter procedimentos razoáveis para proteger a confidencialidade, segurança e integridade das IP coletadas de crianças menores de 13 anos, inclusive tomando medidas razoáveis para divulgar/divulgar tais IP apenas para partes capazes de manter sua confidencialidade e segurança; e
- Reter IP coletadas on-line de uma criança apenas pelo tempo necessário para cumprir a finalidade para a qual foram coletadas e excluir as informações usando medidas razoáveis para proteger contra seu acesso ou uso não autorizado.
- Os operadores estão proibidos de condicionar a participação de uma criança numa atividade online ao facto de a criança fornecer mais informações do que o razoavelmente necessário para participar nessa atividade
Penalidades por violação da COPPA: A FTC tem autoridade para fazer cumprir a COPPA. De acordo com a FTC, os tribunais podem multar os infratores da COPPA em até US$ 42.530 em penalidades civis por cada violação. O valor das penalidades civis que um tribunal avalia depende de vários fatores, como a enormidade das infrações, o histórico anterior de violação, o número de crianças envolvidas, a quantidade e o tipo de PI coletadas e como foram utilizadas, o tamanho da empresa .
A FTC moveu diversas ações contra alguns empresas de serviços on-line por não cumprir os requisitos da COPPA, incluindo ações contra Google, TikTok, Lisa Frank , American Pop Corn Company e outros. O Google mudou nos últimos tempos responsabilidade pela conformidade com a COPPA dos criadores de conteúdo infantil do YouTube . Isso significa que os vídeos direcionados a crianças menores de 13 anos não podem mais exibir anúncios direcionados a comportamentos.
Lei de Transações de Crédito Justas e Precisas (FACTA)
FEITO é uma lei federal sancionada em 4 de dezembro de 2003, como uma alteração ao Fair Credit Reporting Act.
Ele foi projetado principalmente para reduzir o número de incidentes de roubo de identidade e melhorar o descarte seguro ou a destruição de informações do consumidor. A lei também permite que os consumidores solicitem e obtenham um relatório de crédito gratuito uma vez a cada 12 meses de cada uma das três empresas de relatórios de crédito ao consumidor nos EUA – Equifax, Experian e TransUnion.
Obrigações FEITAS: A FACTA fornece regras para prestadores de serviços financeiros, credores, agências de informação de crédito e todas as empresas com “contas cobertas” para detectar e proteger os consumidores contra fraude e roubo de identidade. Uma “conta coberta” inclui qualquer conta para a qual exista um risco previsível de roubo de identidade.
Uma dessas regras é a Regra Red Flags - que exige que as empresas estabeleçam políticas e procedimentos de roubo de identidade que avaliem os fatores de risco de roubo de identidade, testem e implementem essas políticas para detectar e abordar os riscos identificados e treinem os funcionários para garantir que essas políticas e os procedimentos são corretamente seguidos.
Além da Regra Red Flags, a FACTA estabelece regras relativas a Alertas de Fraude e Alertas de Serviço Ativo. A pedido de um consumidor (que acredita estar prestes a ser vítima de fraude ou roubo de identidade), a lei exige que as agências de informação ao consumidor coloquem um alerta de fraude no seu ficheiro para que nenhuma nova linha de crédito seja aberta em seu nome sem autorização explícita. confirmação sua. Um alerta de serviço ativo exige que a agência relatora divulgue tal alerta com qualquer relatório de crédito emitido no prazo de 12 meses após a solicitação.
Penalidades por violação do FACTA: Penalidades federais e estaduais podem ser aplicadas às violações do FACTA:
- As penalidades FACTA do governo federal podem chegar a US$ 2.500 por violação
- As penalidades estaduais da FACTA podem ser de até US$ 1.000 por violação
- As empresas que não truncarem os números de cartão de débito/crédito durante a impressão dos recibos de transação podem estar sujeitas ao pagamento de danos legais que variam de US$ 100 a US$ 1.000 por violação.
- As ações judiciais coletivas podem chegar a US$ 1.000 para cada consumidor afetado
Leis estaduais de privacidade de dados
Veja também: Qual estado protege melhor a privacidade na Internet?
Lei de Privacidade do Consumidor da Califórnia (CCPA)
CCPA é um estatuto estadual para residentes do estado da Califórnia, nos Estados Unidos, que entrou em vigor em 1º de janeiro de 2020.
A CCPA foi projetado para dar aos californianos controle sobre seus dados. É considerada a legislação de privacidade de dados mais abrangente dos EUA, semelhante à GDPR da UE . A lei se aplica a empresas na Califórnia que coletam dados de consumidores e pode ser descrita de uma ou de todas as seguintes maneiras:
- Obtém 50% ou mais de suas receitas anuais da venda de informações pessoais dos consumidores
- Compra ou vende informações pessoais de 50.000 ou mais consumidores, famílias ou dispositivos
- Tem receita bruta anual acima de US$ 25.000.000
Direitos do consumidor CCPA: O regulamento CCPA capacita os usuários com novos direitos de dados. Para cumprir a regulamentação, sua organização deve permitir que os usuários exerçam seus direitos da CCPA. Por exemplo, se você reside na Califórnia, agora tem o direito de:
- Processar uma empresa se ela não implementar medidas de segurança razoáveis e seus dados forem comprometidos em uma violação de dados
- Saber quais dados pessoais estão sendo coletados sobre você e poder acessá-los
- Saiba se seus dados são vendidos ou divulgados e para quem
- Não ser discriminado por exercer seus direitos de privacidade
- Peça a uma empresa para excluir seus dados
- Cancelar a venda dos seus dados
Penalidades por violar a CCPA: As empresas têm 30 dias para cumprir a lei assim que os reguladores as notificarem sobre uma violação. Se eles não resolverem o problema dentro do prazo, haverá multa de até US$ 7.500 por registro. Outras penalidades aplicáveis incluem:
- Pagamento de danos legais entre US$ 100 e US$ 750 por residente na Califórnia e incidente, ou danos reais, o que for maior, se os dados pessoais dos usuários forem comprometidos em uma violação de dados
- Uma multa de até US$ 7.500 para cada violação intencional e US$ 2.500 para cada violação não intencional
- A responsabilidade também pode ser aplicada em relação a empresas em países estrangeiros que enviam itens para a Califórnia
Lei de Proteção de Dados do Consumidor da Virgínia (CDPA)
CDPA é um estatuto estadual para residentes do estado da Virgínia, nos Estados Unidos.
Assim como a Lei de Privacidade do Consumidor da Califórnia (CCPA), a CDPA foi projetada para dar aos consumidores da Virgínia mais controle sobre seus dados. Isso faz com que a Virgínia se torne apenas o segundo estado a promulgar uma legislação abrangente sobre privacidade.
Embora a lei entre em vigor em 1º de janeiro de 2023, espera-se que as empresas comecem a avaliar suas obrigações para garantir que tenham tempo suficiente para cumpri-las. Uma empresa está sujeita ao CDPA se conduzir negócios na Virgínia ou produzir produtos ou serviços direcionados aos residentes da Virgínia e atender a um dos seguintes requisitos:
- Durante um ano civil, controlar ou processar dados pessoais de pelo menos 100.000 consumidores; ou
- Controlar ou processar dados pessoais de pelo menos 25.000 consumidores e obter mais de 50% da receita bruta da venda de dados pessoais
Obrigações do CDPA: A CDPA impõe diversas obrigações às empresas que processam dados pessoais. Essas obrigações incluem:
- Limites de coleta e uso de dados: As empresas são obrigadas a limitar a coleta de dados pessoais “ao que for adequado, relevante e razoavelmente necessário” para a finalidade para a qual os dados são processados
- Limitações de finalidade: As empresas são obrigadas a processar dados pessoais apenas para fins razoavelmente necessários ou compatíveis com os fins divulgados na política de privacidade da empresa.
- Consentimento para processamento de dados confidenciais: as empresas são obrigadas a obter a permissão do consumidor antes de processar quaisquer dados confidenciais
- Controles de segurança razoáveis: As empresas são obrigadas a implementar e manter boas práticas de segurança de dados administrativos, técnicos e físicos para proteger a confidencialidade, integridade e acessibilidade dos dados pessoais
- Avaliações de proteção de dados: As empresas são obrigadas a realizar avaliações de proteção de dados (APDs) para avaliar os riscos associados a atividades específicas de processamento de dados.
Direitos de privacidade do consumidor : A CDPA enumera os seguintes direitos de privacidade para os consumidores da Virgínia:
- Direito de acesso
- Direito à Retificação
- Direito à exclusão
- Direito à Portabilidade dos Dados
- Direito de oposição ao processamento de dados
- Direito de estar livre de discriminação
Penalidades por violação do CDPA: As empresas têm 30 dias para cumprir a lei assim que os reguladores as notificarem sobre uma violação. Se eles não resolverem o problema dentro do prazo, haverá uma multa de até US$ 7.500 por violação.
Outras leis estaduais
Muitas outras leis estaduais de privacidade de dados que estão por vir estão atualmente passando por escrutínio legislativo e sendo aprovadas em lei ou aguardando aprovação do executivo. A tabela abaixo resume as diversas leis estaduais de privacidade de dados futuras e existentes.
Califórnia | Política de Privacidade do Consumidor da Califórnia | Faturamento superior a US$ 25 milhões | Sim | Sim | Não | Em vigor desde 1º de janeiro de 2020 |
Virgínia | Lei de Proteção de Dados do Consumidor da Virgínia | Todos | Sim | Sim | Sim | Entra em vigor em 1º de janeiro de 2023 |
Nova Iorque | Lei de Privacidade de Nova York | Todos | Sim | Sim | Sim | Pendente |
Massachussets | Lei de Privacidade de Dados de Massachusetts | Mais de US$ 10 milhões | Sim | Sim | Não | Pendente |
Maryland | Lei de Proteção ao Consumidor Online de Maryland | Mais de US$ 25 milhões | Sim | Sim | Não | Pendente |
Havaí | Lei de Proteção à Privacidade do Consumidor do Havaí | Todos | Sim | Sim | Não | Pendente |
Tabela 1.0 Comparação das leis estaduais de proteção de dados atuais e futuras
Leis de privacidade nas perguntas frequentes dos EUA
Quais são as três leis federais para proteger a privacidade?
Existem várias leis federais que se preocupam com a proteção da privacidade. A primeira delas é a Lei de Privacidade, que abrange a proteção de informações de identificação pessoal (PII) quando mantidas por agências federais. A Lei Gramm-Leach-Bliley, mais conhecida como GLBA, trata de instituições financeiras e especifica que essas organizações precisam comunicar aos clientes como seus dados serão mantidos e usados. A GLBA também exige que os consumidores tenham o direito de especificar que os seus dados não devem ser partilhados com terceiros. A COPPA, Lei de Proteção à Privacidade Online das Crianças, especificou a proteção de PII relacionadas a crianças menores de 13 anos.
Existe GDPR nos EUA?
O GDPR se preocupa com a proteção de informações de identificação pessoal pertencentes aos cidadãos dos estados membros da UE. No entanto, as empresas dos EUA não estão isentas dos requisitos deste conjunto de regras. Se uma empresa nos EUA lida com clientes na UE, surgem questões sobre onde e como os dados são armazenados e como esses dados podem ser utilizados e estas questões são regidas pelo GDPR.
Hipaa é uma lei federal?
HIPAA é a Lei de Portabilidade e Responsabilidade de Seguros de Saúde, que é uma lei federal aprovada em 1996. A lei especifica as obrigações das empresas do setor de saúde sobre como os dados dos pacientes são tratados. Esta categoria de dados é conhecida como “informações pessoais de saúde” ou PHI. A lei exige que os titulares dos dados notifiquem os titulares caso os seus dados sejam divulgados. A lei também permite aos titulares dos dados o direito de ver e corrigir qualquer informação mantida sobre eles. Embora a HIPAA se refira apenas a dados de cidadãos dos EUA que estão envolvidos com prestadores de cuidados de saúde nos EUA, os serviços de processamento de dados fora dos EUA seriam responsáveis perante a lei se fossem contratados para manter ou gerir dados de pacientes de cuidados de saúde nos EUA.