GDPR nos EUA? Veja o que diz a Lei de Direitos de Privacidade Americana de 2024

Os Estados Unidos terão em breve sua própria versão nacional do Europe’s GDPR? Em abril deste ano, um democrata e um republicano apresentaram o American Privacy Rights Act de 2024, que poderia eventualmente ser o primeiro projeto de lei nacional de privacidade dos America’s. 

Embora 17 estados tenham criado suas próprias leis de privacidade do consumidor, liderados pela Califórnia em 2022 com a CCPA, ainda não existe uma estrutura nacional para a privacidade digital dos cidadãos americanos. Em contraste, o Regulamento Geral de Proteção de Dados (RGPD) da Europa foi adotado em 2016 e entrou em vigor em 2018.

Se a Lei de Direitos de Privacidade Americana de 2024 for aprovada e entrar em vigor, ela resultará em mudanças significativas na forma como as empresas americanas — incluindo empresas de aplicativos e jogos para mobile — operam. Portanto, o que pretendo fazer neste post é resumir a Lei de Direitos de Privacidade Americana de 2024, compará-la ao GDPR e discutir o que isso significa para os profissionais de marketing mobile .

Ao mesmo tempo, sejamos honestos: estamos em período eleitoral, e aprovar legislação bipartidária é incrivelmente difícil neste momento, com o governo americano tão polarizado. É mais provável que a APRA sirva como base para uma futura lei do que seja aprovada isoladamente agora... embora seja provavelmente mais provável que seja aprovada se os democratas vencerem a próxima eleição.

Estados com leis de privacidade: muitos!

Vamos começar por aqui: pelo menos 17 estados americanos já possuem legislação sobre privacidade, embora em alguns deles as leis só entrem em vigor em 2026. A Lei de Direitos de Privacidade dos Estados Unidos de 2024 não surgiu do nada. 

De modo geral, os estados dos EUA têm se concentrado nos direitos do consumidor (acesso às informações pessoais mantidas pelas empresas, correção e exclusão desses dados, possibilidade de optar por não participar e possibilidade de transferir informações para outros provedores de serviços). As obrigações das empresas incluem obter consentimento, fornecer transparência e minimizar a quantidade de dados coletados. 

Além disso, as empresas são obrigadas a implementar medidas de segurança para proteger os dados do consumidor, bem como notificar os usuários ou clientes em caso de violação de segurança.

Aqui estão os estados com legislação de privacidade, em ordem cronológica de quando adotaram ou estão adotando leis de privacidade digital do consumidor:

1. CalifórniaLei de Privacidade do Consumidor da Califórnia (CCPA), 1º de janeiro de 2020
   1. Além disso: Lei de Direitos de Privacidade da Califórnia (CPRA), 1º de janeiro de 2023
2. Virgínia: Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA), 1º de janeiro de 2023
3. Colorado: Lei de Privacidade do Colorado (CPA), 1º de julho de 2023
4. Connecticut: Lei de Privacidade de Dados de Connecticut (CTDPA), 1º de julho de 2023
5. Utah: Lei de Privacidade do Consumidor de Utah (UCPA), 31 de dezembro de 2023
6. Texas: Lei de Privacidade e Segurança de Dados do Texas, 1º de julho de 2024
7. Flórida: Declaração de Direitos Digitais da Flórida, 1º de julho de 2024
8. Oregon: Lei de Privacidade do Consumidor do Oregon, 1º de julho de 2024
9. Montana: Lei de Proteção de Dados do Consumidor de Montana, 1º de outubro de 2024
10. Delaware: Lei de Privacidade de Dados Pessoais de Delaware, 1º de janeiro de 2025
11. Nova Hampshire: Lei de Privacidade de Dados de Nova Hampshire, 1º de janeiro de 2025
12. Iowa: Lei de Proteção de Dados do Consumidor de Iowa, 1º de janeiro de 2025
13. Nova Jersey: Lei de Privacidade de Dados de Nova Jersey, 15 de janeiro de 2025
14. Tennessee: Lei de Proteção de Informações do Tennessee, 1º de julho de 2025
15. Maryland: Lei de Privacidade de Dados Online de Maryland, 1º de outubro de 2025
16. Indiana: Lei de Proteção de Dados do Consumidor de Indiana, 1º de janeiro de 2026
17. Kentucky: Lei de Proteção de Dados do Consumidor de Kentucky, 1º de janeiro de 2026

Como fica bastante óbvio pelas datas, houve uma onda de projetos de lei em muitos estados desde 2023 para aprovar leis de proteção à privacidade digital. Esse movimento em prol da privacidade digital continua, com pelo menos outros 8 estados tendo novas leis de privacidade pendentes ou em análise:

1. Havaí
2. Massachusetts
3. Nova Iorque
4. Pensilvânia
5. Washington
6. Wisconsin
7. Minnesota
8. Ohio

Nesse ritmo acelerado, praticamente todos os estados terão uma lei de privacidade digital nos próximos anos. O desafio, claro, é que se houver pequenas diferenças entre elas — e como não haveria? — as empresas precisarão se adequar a uma legislação fragmentada, dependendo de onde seus usuários, jogadores ou clientes estiverem localizados.

O que... não parece eficiente.

Essa é uma das razões para a Lei de Direitos de Privacidade Americana de 2024: uma lei universal em todo o país sobre privacidade digital.

A Lei dos Direitos de Privacidade dos Estados Unidos de 2024

Do que trata a Lei de Direitos de Privacidade Americana de 2024 (American Privacy Rights Act of 2024 - APRA)? Bem, se você conhece o GDPR, há muitas semelhanças. A APRA é um projeto de lei para "estabelecer direitos nacionais de privacidade de dados do consumidor e definir padrões para segurança de dados" 

Se aprovada, a lei terá um impacto significativo na forma como profissionais de marketing, empresas de tecnologia publicitária e grandes plataformas digitais, como os conglomerados GAFAM ou FAANG, coletam dados. Também afetará quais dados eles coletam, como os processam e se podem veicular campanhas publicitárias personalizadas e direcionadas.

Aqui estão alguns dos principais pontos de foco da APRA:

1. A Lei de Proteção de Dados Atuais
   (APRA, na sigla em inglês), se sancionada, estabeleceria um padrão nacional uniforme de privacidade que substituiria o atual conjunto fragmentado de leis estaduais. É provável também que ofereça proteções mais robustas do que a maioria das leis estaduais vigentes, e talvez até mesmo do que todas elas.
2. Direitos do consumidor:
   A Lei de Direitos de Privacidade dos Estados Unidos (American Privacy Rights Act) garante aos consumidores direitos como o de acessar, corrigir, excluir e exportar seus dados, bem como impedir a venda dos mesmos. Os americanos também poderão optar por não participar do processamento de dados e da publicidade direcionada.
3. Consentimento para dados sensíveis:
   A APRA exige que as empresas obtenham consentimento explícito antes de transferir dados sensíveis a terceiros.
4. Minimização de dados:
   Como vemos no GDPR e em muitas leis estaduais, as empresas serão obrigadas a limitar a coleta, o armazenamento e o uso de dados ao estritamente necessário para a prestação de seus serviços. Em outras palavras, chega de permissividade irrestrita.
5. Mecanismos de fiscalização:
   A APRA garante aos indivíduos o direito de processar por danos caso seus direitos de privacidade sejam violados e impede a arbitragem obrigatória em casos de danos significativos à privacidade. Ela também autoriza a fiscalização pela Comissão Federal de Comércio (FTC), pelos procuradores-gerais estaduais e por indivíduos privados.
6. Proteção contra discriminação:
   A Lei de Direitos de Privacidade dos Estados Unidos (American Privacy Rights Act) proíbe o uso de informações pessoais para fins discriminatórios e exige revisões anuais de algoritmos para prevenir danos, incluindo discriminação. Como essas revisões anuais funcionam?
7. Obrigações de segurança de dados:
   As empresas devem implementar medidas robustas de segurança de dados para se protegerem contra violações de dados e roubo de identidade, e devem ter um responsável pela segurança de dados.
8. Isenção para pequenas empresas
   Pequenas empresas que não vendem informações pessoais estão isentas dos requisitos da Lei’s requisitos​. Um “pequeno negócio” tem receita anual inferior a $40 milhões e processa dados de menos de 200.000 pessoas.
9. Isenções de algoritmos
   A Lei de Direitos de Privacidade dos Consumidores dos EUA concederia aos consumidores o direito de optar por não usar algoritmos para “decisões consequenciais” como quais consumidores devem receber crédito, assistência médica, seguro, emprego, etc.

Os dados abrangidos pela APRA incluem dados de identificação pessoal e dados sensíveis, como informações de saúde, dados biométricos, informações genéticas, dados financeiros, dados de localização precisa, credenciais de login, fotos e gravações privadas, entre outros. Não inclui "dados anonimizados, dados de funcionários, informações publicamente disponíveis, inferências feitas a partir de múltiplas fontes de informações publicamente disponíveis"

Grandes empresas terão obrigações especiais, definidas como aquelas com receita anual de US$ 250 milhões ou mais e que processam dados de mais de 5 milhões de pessoas (ou 15 milhões de smartphones, ou dados sensíveis de apenas 200 mil pessoas). Essas empresas precisarão apresentar certificações anuais de seus controles internos à FTC (Comissão Federal de Comércio dos EUA).

Quão semelhante é a Lei de Direitos de Privacidade Americana ao GDPR?

Em última análise, as duas leis têm objetivos muito semelhantes.

É muito evidente em ambas as leis o foco nos direitos individuais e na permissão para que indivíduos com direitos acessem, corrijam, excluam e exportem seus dados. Em outras palavras: seus dados são seus. Tanto a APRA quanto o GDPR abordam o conceito de consentimento e exigem consentimento explícito para o processamento de dados pessoais sensíveis.

Ambas as regulamentações exigem que as empresas se comprometam com a minimização de dados, limitando a coleta de dados ao estritamente necessário para fins específicos, e ambas preveem mecanismos de fiscalização significativos, incluindo penalidades por descumprimento.

Existem também algumas diferenças importantes:

O GDPR aplica-se a todas as organizações que processam dados pessoais de cidadãos da UE, independentemente da localização da organização. (É por isso que exigiu um investimento significativo por parte de empresas americanas e europeias.) A APRA concentra-se na criação de um padrão uniforme nos EUA.

Os direitos de exclusão também são ligeiramente diferentes:

• O RGPD permite que os indivíduos optem por não ter seus dados processados ​​para fins de marketing direto a qualquer momento
• A Lei de Direitos de Privacidade Americana inclui o direito de optar por não receber publicidade direcionada

Além disso, a APRA impede especificamente a arbitragem obrigatória em casos de danos significativos à privacidade, uma característica não abordada explicitamente no GDPR. E a Lei de Direitos de Privacidade dos Estados Unidos exige revisões anuais de algoritmos para avaliar impactos discriminatórios, o que é mais específico do que os requisitos gerais do GDPR para avaliações de impacto de dados.

Além disso, o GDPR distingue entre controladores de dados e processadores de dados, conceitos que não constam na APRA. Em vez disso, a Lei de Direitos de Privacidade Americana (APRA) apresenta o conceito de corretor de dados, que parece ser algo significativamente diferente. A APRA reconhece, contudo, que o processamento de dados é necessário e permite o “processamento de dados abrangidos exclusivamente para medir ou relatar o desempenho, o alcance ou a frequência de publicidade, marketing ou mídia”

Este projeto de lei precisaria passar por várias versões antes de se tornar lei; é possível que algumas dessas definições e casos de uso sejam melhor especificados se ele prosseguir.

Qual o impacto nos profissionais de marketing digital e aquisição de usuários?

Claramente, uma lei como a Lei de Direitos de Privacidade Americana aceleraria a adoção de estruturas de privacidade como o SKAdNetwork da Apple e o Privacy Sandbox do Google. 

A APRA também pode exigi-los.

O Privacy Sandbox, em particular, inclui mecanismos que protegem a privacidade para segmentação, definição de públicos-alvo e retargeting, e esses mecanismos podem ser não apenas um diferencial, mas absolutamente necessários em um mundo onde as pessoas podem optar por não receber publicidade direcionada. Atualmente, a "publicidade direcionada" é definida no projeto de lei como algo que ocorre na presença de um identificador persistente único, o que parece indicar que a Lei de Direitos de Privacidade Americana considera a segmentação comportamental tradicional com IDFA ou GAID como potencialmente problemática, mas não necessariamente a segmentação anonimizada.

Mesmo assim, os americanos teriam muito mais controle sobre a coleta, o uso e o armazenamento de seus dados, e a tecnologia de publicidade em geral precisaria se adaptar.

Como de costume, os dados de terceiros seriam os mais vulneráveis.

Em última análise, é provável que quaisquer impactos da APRA já estejam, de certa forma, "embutidos" no custo do marketing de performance orientado por dados atualmente, especialmente para empresas que também atuam na Europa, adotam o SKAN da Apple e trabalham com o Privacy Sandbox do Google. Além disso, para empresas que utilizam processadores de dados como Singular, praticamente tudo o que elas precisam em termos de transparência e possibilidade de exclusão de dados já está disponível.

Como sempre?

Os dados primários são tudo em um só. Conhecer profundamente seus usuários, jogadores ou clientes e desenvolver uma relação de confiança sólida com eles será cada vez mais crucial nos próximos anos.