Prepare-se para um furor de lobby, porque de repente há um impulso plausível, bipartidário e bicameral para finalmente dar aos EUA uma lei abrangente de privacidade de dados, indo muito além das proteções para dados médicos e infantis que já se aplicam em todo o país.

O projeto de lei, que será apresentado formalmente no final deste mês, é chamado de American Privacy Rights Act, ou APRA. Ele foi revelado ontem (sim, em um domingo) pela deputada Cathy McMorris Rodgers (R-Wash.) e pela senadora Maria Cantwell (D-Wash.), que respectivamente presidem os Comitês de Comércio da Câmara e do Senado. E seu conteúdo parece terrivelmente familiar do meu ponto de vista aqui da Europa, sede do Regulamento Geral de Proteção de Dados (GDPR).

A APRA permitiria que os americanos optassem por não receber publicidade direcionada e minimizassem os dados pessoais que as empresas mantêm sobre eles. Eles seriam capazes de dizer às empresas para lhes dar acesso aos seus dados, para corrigi-los ou excluí-los, e para exigir uma versão para download de seus dados que eles poderiam portar para um provedor de serviços rival. As empresas seriam incapazes de transmitir dados pessoais sensíveis sem o consentimento expresso do titular e seriam proibidas de usar “padrões obscuros” em páginas onde os usuários escolhem suas preferências de privacidade para desviá-los subliminarmente do exercício de seus novos direitos.

Os consumidores ganhariam o direito de optar por não participar de empresas que tomem decisões algorítmicas sobre eles em áreas cruciais como emprego, habitação e educação. As empresas teriam que obedecer a padrões mais rígidos de segurança de dados, para proteger os dados das pessoas – com os executivos arcando com a responsabilidade final, embora deva se notar que as pequenas empresas (com receita abaixo de US$ 40 milhões) que não coletam muitos dados permaneceriam isentas das disposições do projeto de lei. A lei permitiria a aplicação pela Comissão Federal de Comércio e em processos privados por vítimas.

É claro que muitos desses direitos já estão disponíveis para os americanos, mas apenas em certos estados. A ausência de uma lei federal abrangente de privacidade de dados resultou em uma colcha de retalhos cada vez mais confusa de leis estaduais. Um exemplo: Califórnia, Colorado, Connecticut, Utah e Virgínia permitem que as pessoas optem por não receber publicidade direcionada, mas apenas a Califórnia exige o texto de exclusão e exige que o link de exclusão apareça na página inicial de um serviço. E esses são apenas os estados que já têm essas leis em vigor – nos próximos dois anos, Delaware, Indiana, Iowa, Montana, New Hampshire, Nova Jersey, Oregon, Tennessee e Texas devem ver suas próprias opiniões sobre uma lei de privacidade abrangente entrar em vigor.

A APRA achataria quase completamente o cenário, antecipando todas as leis estaduais de privacidade, exceto em domínios jurídicos específicos, incluindo direitos civis, proteção ao consumidor e contratação. Isso é um grande negócio para as empresas de tecnologia, pois significa previsibilidade (o GDPR forneceu o mesmo benefício na UE quando entrou em vigor há quase seis anos).

No entanto, também é um grande negócio para as perspectivas da APRA no Congresso. O último grande impulso desse tipo foi a Lei Americana de Privacidade e Proteção de Dados (ADPPA) de 2022, que também foi uma coprodução de Rodgers, mas que Cantwell afundou porque não antecipou as leis estaduais e teria dado aos americanos em geral proteções mais fracas do que as dadas, por exemplo, aos californianos. Os defensores da nova proposta prometem que ela será “mais forte” do que qualquer lei estadual.

“Esta legislação histórica dá aos americanos o direito de controlar para onde vão suas informações e quem pode vendê-las”, disse Rodgers no comunicado de ontem. “Sou grata a minha colega, a senadora Cantwell, por trabalhar comigo de forma bipartidária nesta importante legislação e estou ansiosa para mover o projeto de lei por meio de ordem regular sobre Energia e Comércio este mês.” Rodgers também observou que os americanos “esmagadoramente querem esses direitos”, enquanto Cantwell descreveu o acordo como “as proteções que os americanos merecem na Era da Informação”.

De fato, a pesquisa da Pew Research mostra consistentemente que uma forte maioria dos adultos americanos quer mais regulamentação dos dados do consumidor, sejam eles democratas ou republicanos (embora os democratas sejam um pouco mais propensos a clamar por mais regras).

As big techs também estão abertamente interessadas em colocar em vigor uma lei federal de privacidade adequada – Mark Zuckerberg, da Meta, Satya Nadella, da Microsoft, e Tim Cook, da Apple, pediram uma espécie de GDPR americano nos últimos anos – e a chefe de privacidade da Microsoft, Julie Brill, forneceu a primeira reação do setor à proposta da APRA na noite de ontem. “Os EUA há muito mereciam se juntar ao resto do mundo no estabelecimento de uma legislação abrangente de privacidade”, postou Brill (ex-comissária da FTC) no X, com aplausos para Cantwell e Rodgers.

Mas, novamente, agora vem o lobby. Todo mundo quer um cenário regulatório previsível e harmonizado, ainda assim, acho que nem todos querem que os consumidores americanos obtenham direitos de privacidade completos de nível da UE que limitem o que as empresas podem fazer com os dados pessoais que possuem, particularmente porque a explosão da IA torna esses recursos mais valiosos do que nunca.

Fonte: Aol.