Uma análise sobre como o modelo europeu do GDPR se encaixaria nas leis estaduais americanas e nas necessidades de empresas e consumidores.
O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia (UE) se tornou um modelo mundial de regulação para proteger a privacidade do usuário e a invasão de dados. Isso afeta qualquer empresa no mundo que processa ou guarda informações pessoais dos indivíduos residentes em qualquer país da UE. O regulamento especifica padrões para a proteção de dados, punição por uso e tratamento inadequado dessas informações, regras rigorosas para a divulgação em caso de violação e garante aos cidadãos europeus direitos e proteção dos seus dados pessoais.
O propósito* do GDPR é fornecer uma regulação única em toda UE, de forma que as empresas internacionais não tenham que enfrentar regras distintas implementadas na Finlândia ou na Alemanha, ou diferentes regulamentos na França ou no Reino Unido. Nesse sentido, isso seria o equivalente europeu de uma lei federal que engloba todos os Estados Unidos.
Mas os EUA não têm uma lei federal de privacidade e empresas daquele país precisam enfrentar os mesmos problemas que as europeias antes do GDPR: regras diferentes em cada Estado. Agora é hora de perguntar se os EUA não precisam de uma lei de privacidade geral.
Leis estaduais nos EUA
Alguns Estados americanos perceberam o nível de privacidade oferecido a cidadãos europeus pelo GDPR e passaram a implementar suas próprias legislações. Os Estados do Texas, Nevada e Washington estão presentes nessa lista, com Rhode Island, Massachusetts e Nova Iorque considerando tomar o mesmo caminho.
Eles estão mais diretamente inspirados pela Lei de Privacidade do Consumidor da Califórnia (CCPA*, da sigla em inglês) que, por sua vez, foi inspirada no GDPR. A Califórnia tem um longo histórico de proteção ao consumidor e é o primeiro Estado a seguir os passos da UE e criar uma lei combinada de privacidade e vazamento de dados. O problema para empresas é que cada Estado tem uma visão diferente dos detalhes de como essa lei deve ser.
A CCPA e o GDPR estão longe de ser a mesma coisa*. Diferentemente das leis da UE, a CCPA exclui pequenas empresas – aqueles que coletam dados de menos de 50 mil consumidores, faturam menos do que 25 milhões de dólares anualmente e recebem menos do que 50% da sua receita dos dados dos seus consumidores. As multas da CCPA são aplicadas por violação e não por não conformidade, e a lei da Califórnia somente penaliza os negócios quando uma violação acontece.
A questão agora é se o governo federal deve ou não entrar nesse tema e impor uma lei federal de privacidade uniforme. E caso a resposta seja sim, como ela deveria ser.
Uma lei de privacidade federal
Uma lei de privacidade federal não é uma ideia nova, mas boa parte da pressão por essa implementação vem mais de algumas empresas do que de legisladores. A Intel, por exemplo, desenhou sua própria proposta de lei. Ela já foi atualizada duas vezes depois de receber comentários e críticas de outras empresas, especialistas e do público. Uma forma interessante dessa proposta – e que se difere da CCPA e de outras leis – é que a proposta da Intel* enfatiza uma análise de risco-benefício e convida ao consentimento ao invés de uma proteção geral sobre o uso de dados. O objetivo parece ser habilitar ao invés de restringir o uso de dados do consumidor, mas fazendo isso de uma forma segura e imparcial.
Apoio e alternativas
A Intel não é a única empresa a favor de uma legislação federal. Enquanto um apoio a uma lei federal não é unanimidade entre as empresas de tecnologia, a Microsoft*, o Facebook* e o Google* apoiam a ideia de se construir uma regulação ao estilo do GDPR para os EUA. Até mesmo políticos democratas e republicanos parecem concordar com o conceito de um tipo de lei de privacidade federal, apesar da existência de uma divergência* sobre quão rigorosa e específica essa regulação deve ser e sobre quem irá controlá-la.
Em uma entrevista* com a Vox, o CEO da DuckDuckGo, Gabe Weinberg, sugere uma alternativa para uma legislação de privacidade geral. Ele recomenda uma pequena mudança na regulação, obrigando o rastreamento de dados a ser uma opção de adesão ao consumidor, e não uma opção para cancelar, fazendo o uso de uma funcionalidade que já existe em muitos navegadores: “O fato de que consumidores já tenham adotado isso e que esteja no navegador é uma excelente oportunidade legislativa... É, na verdade, um mecanismo melhor do que leis de privacidade, já que uma vez tendo essas configurações e funcionando, você não precisará mais lidar com todas aquelas janelas pop-ups”.
Grupos de consumidores também têm olhado favoravelmente para as leis de privacidade, com a CCPA da Califórnia sendo elogiada pela organização não governamental (ONG) Consumer Watchdog (CW) como um marco na reforma. Para a ONG, a medida deve ser defendida de tentativas de enfraquecê-la ou alterá-la. Conforme comentou* a CW, “grandes empresas de tecnologia e agências de publicidade estão colocando lobistas para dizer que essas regras causariam grandes perdas a suas operações”.
Aliás, essa é a grande preocupação com relação a uma lei federal: que lobistas de grandes empresas de tecnologia influenciem na criação de uma lei mais fraca que pode neutralizar leis estaduais mais fortes.
A perspectiva das empresas
Da perspectiva dos negócios dos EUA, nunca houve uma época melhor para a apresentação de uma lei federal de proteção de dados. O GDPR estipula que qualquer empresa coletando dados de indivíduos residentes na UE deva cumprir a legislação, quer a empresa esteja localizada na UE ou não. Isso significa que muitas companhias americanas já estão cumprindo o GDPR para poderem operar internacionalmente e que já têm a estrutura pronta para expandir essa conformidade para o mercado dos EUA.
Isso é diferente para as empresas nacionais do país. A conformidade com a proteção de dados está se tornando um pesadelo, com surgimento em potencial de até 50 leis diferentes com especificações e requerimentos distintos. Uma lei federal agilizaria isso, providenciando uma legislação unificada para todos os Estados.
Enquanto isso possa parecer contra-intuitivo, leis de privacidade não apenas penalizam empresas por uma proteção fraca de dados, mas oferecem benefícios significativos fora da conformidade. Um relatório da Cisco* de 2019 mostra que empresas experimentaram atrasos mais curtos nas vendas, aumento na confiança dos consumidores e uma vantagem competitiva ao procurarem uma conformidade com o GDPR. Leis de proteção de privacidade também oferecem diretrizes profundas e específicas sobre como as empresas devem proteger os dados. Apesar da violação de dados poder ser duramente penalizada conforme o caso, a ênfase está em uma segurança mais forte e na prevenção contra a violação de dados, ao invés de apenas uma punição reativa.
A perspectiva do consumidor
O melhor argumento em favor de uma lei federal é provavelmente o GDPR. Ele já provou ser uma ferramenta efetiva na proteção dos consumidores, garantindo direitos adicionais e responsabilizando empresas por um tratamento inadequado de dados pessoais. O estudo da Cisco também mostrou que o GDPR fez com que o vazamento de dados fosse menos frequente, com um impacto menor quando ocorreram.
Acima das obrigações de proteção de dados, o GDPR efetivamente providenciou uma declaração digital de direitos dos consumidores, dando a eles acesso e propriedade aos seus próprios dados, além de impor limitações ao tipo de dados que podem ser coletados e armazenados.
De qualquer forma, não está completamente claro se uma lei de privacidade federal irá garantir tantos benefícios aos consumidores nos EUA quanto o GDPR na UE. A mentalidade americana é mais voltada aos negócios do que a europeia. Então, qualquer lei federal irá procurar, acima de tudo, ajudar as empresas em primeiro lugar e os consumidores depois. Uma lei federal pode ser importante para a continuidade das empresas, mas uma lei federal fraca que roga pela Cláusula de Supremacia* da constituição enfraqueceria a proteção dos consumidores em Estados como a Califórnia.
Em resumo
Em caso de conflito, geralmente leis federais sobrepõem-se a leis de nível estadual. No caso de uma lei federal fraca para a proteção de dados, qualquer conquista da CCPA e leis estaduais similares será apagada. Os benefícios de confiança e vantagem competitiva de conformidade iriam desaparecer assim que se mostrassem rasas; e sem diretrizes rigorosas para aderir, nós provavelmente também veríamos um aumento nos vazamentos de dados pessoais.
No melhor cenário, uma lei federal unificaria e consolidaria uma forte proteção ao consumidor, com benefícios tangíveis às empresas. No pior caso, os consumidores perderiam todos os benefícios de proteção dos seus dados e voltaríamos à situação de antes da implementação da CCPA. Só dessa vez, a habilidade dos Estados de desenhar suas próprias leis robustas de privacidade serão sobrepostas por uma lei federal suprema.
Uma lei fraca promulgada por razões políticas provavelmente irá enfraquecer ao invés de fortalecer as proteções já existentes aos consumidores.
Se o governo dos EUA apresentar uma nova lei federal de proteção de dados e privacidade, ela precisará ser forte. Uma lei fraca promulgada por razões políticas provavelmente irá enfraquecer ao invés de fortalecer as proteções já existentes aos consumidores. O GDPR conta com muitos anos de esforços concentrados para fazer uma diferença real. A não ser que legisladores tenham a organização requerida, unidade e recursos, eles deveriam ficar de fora dessa luta.
* Original em inglês.