Uma atualização sobre a legislação de privacidade de dados

O Comitê de Administração da Câmara (CHA) realizou uma audiência no mês passado para discutir os riscos de privacidade de dados e as reformas necessárias nos setores público e privado. Os legisladores de ambas as partes concordam que é necessária uma lei nacional uniforme. Mas o impulso estagnou interminavelmente em meio a disputas sobre se uma lei nacional deve substituir as medidas estatais e dar aos consumidores o direito de processar empresas por violações de privacidade. Como resultado, o Congresso tem repetidamente perdido seus prazos para produzir um projeto de lei bipartidário.

De acordo com a testemunha Daniel Castro, vice-presidente da Information Technology and Innovation Foundation (ITIF), desde 2018, 34 estados aprovaram ou introduziram setenta e duas leis de privacidade regulando a coleta e o uso comercial de dados pessoais. Toda vez que um estado aprova uma nova lei de privacidade, impõe custos não apenas às empresas do estado, mas também a muitas empresas de fora do estado. A ITIF estima que, na ausência de legislação federal de privacidade que impeça os estados de aprovar suas próprias leis, as leis estaduais de privacidade podem impor custos a empresas de fora do estado de US$ 98 a US$ 112 bilhões anualmente, chegando a US$ 1 trilhão em um período de tempo. 10 anos: E pelo menos US$ 200 bilhões desse fardo recairiam sobre as pequenas empresas.

Até o momento, Califórnia, Colorado e Virgínia são os únicos estados que aprovaram uma legislação abrangente sobre privacidade de dados. Maryland está considerando a Lei de Privacidade do Identificador Biométrico (BIPA), que exigiria que as empresas obtivessem consentimento antes de coletar informações biométricas e informar aos consumidores quais informações estão sendo coletadas e armazenadas e por quanto tempo. Também proibiria as empresas de lucrar com as informações biométricas dos consumidores, criaria regras sobre quando as empresas devem excluir essas informações e estabeleceria um direito privado de ação, permitindo que os consumidores processassem as empresas que violarem as regras, mesmo que não haja danos. A lei proposta de Nova York, a Lei de Privacidade de Nova York, também inclui um direito privado de ação.

Legislação, como a Lei de Privacidade de Nova York e a BIPA de Maryland, que contém uma cláusula de direito privado de ação, expõe as empresas a uma enxurrada de processos judiciais onerosos. Mesmo quando esses processos não têm mérito, as empresas devem pagar advogados por tempo suficiente para que os processos sejam julgados improcedentes. “As únicas pessoas que se beneficiam desse acordo são os advogados de privacidade”, diz Castro. E enquanto algumas leis, como a Lei de Privacidade do Consumidor da Califórnia (CCPA), incluem um período de correção de 30 dias que dá às empresas tempo para cumprir, Castro argumenta que o Congresso deve aprovar uma legislação federal de privacidade que tenha precedência sobre os estados, proteja os consumidores e promova a inovação.

Caitriona Fitzgerald, vice-diretora do Electronic Privacy Information Center (EPIC), discutiu como os dados confidenciais de saúde estão sendo coletados e usados ​​de forma onipresente. Embora a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) forneça alguma proteção para os indivíduos, seu escopo é limitado. Fitzgerald acrescentou que existe potencial para riscos de dados de terceiros relacionados a informações eletrônicas de saúde (EHI). Por exemplo, sob o 21st Century Cures Act, o EHI pode ser compartilhado, por meio de um aplicativo, entre pacientes, médicos, hospitais, pagadores e empregadores.

Fitzgerald elogiou a reintrodução da Lei de Privacidade Online, HR 6027, patrocinada pela Presidente da CHA Zoe Lofgren (D-CA) e pela Rep. Anna Eshoo (D-CA). A legislação cria direitos sobre os dados do usuário, impõe limitações e obrigações às empresas que coletam e usam dados e estabelece a Agência de Privacidade Digital (DPA) para fazer cumprir as leis de privacidade.

Enquanto Fitzgerald apoia a criação de uma agência federal de proteção de dados, Castro não acredita que uma nova agência federal seja necessária. Em vez disso, ele acha que a Federal Trade Commission (FTC) é capaz e a fiscalização deve ser feita em nível estadual por meio de procuradores-gerais com bons recursos.

Apesar das diferenças na questão da responsabilidade e execução, ambas as partes concordam que é necessária uma legislação nacional uniforme. Veja Shoshana Zuboff, autora de A Era do Capitalismo de Vigilância: A Luta por um Futuro Humano na Nova Fronteira do Poder, sugeriu que o Congresso considerasse a Lei de Serviços Digitais e a Lei de Mercados Digitais na UE como modelo. Castro sugeriu que o Congresso considerasse a Lei de Proteção de Dados do Consumidor da Virgínia (CDPA), que entrará em vigor em 1º de janeiro de 2023.

À medida que os membros ponderam diferentes modelos, é improvável que a ação federal sobre privacidade de dados avance em 2022. Os estados continuarão avançando com suas próprias leis de privacidade de dados. Testemunhas convidadas para a audiência do comitê concordaram que a aprovação de uma lei de privacidade de dados abrangente e bipartidária deveria estar no topo da agenda de política de tecnologia do Congresso.

IMPRESSÃO A United Alliance continuará monitorando o status da legislação federal sobre privacidade de dados e trabalhando com nossos parceiros do setor para defender uma lei nacional abrangente de privacidade de dados.

Leave a Comment