Atualmente, três estados nos EUA têm três leis de privacidade do consumidor abrangentes e diferentes: Califórnia (CCPA e suas emendas, CPRA), Virgínia (VCDPA) e Colorado (ColoPA). Independentemente do estado em que a empresa está localizada, os direitos que as leis fornecem aplicam-se apenas às pessoas que moram nesses estados.

 

Essas leis têm disposições semelhantes que tendem a dar algum tipo de aviso e escolha no controle de seus dados. Basicamente, uma empresa que opera de acordo com essas regulamentações deve informar se está vendendo os dados; os consumidores norte-americanos desses estados também podem escolher se concordam ou não com isso e têm o direito de acessar, excluir, corrigir ou mover seus dados. 

 

Diferenças entre as leis

 

Elas diferem ligeiramente em outras maneiras, como nos períodos de cura permitidos (a quantidade de tempo que uma empresa tem para corrigir um erro), o tamanho ou o nível de renda dos negócios aos quais a lei se aplica e se é possível usar ferramentas ou agentes para solicitações de exclusão (como uma configuração em seu navegador que automaticamente exclui você das vendas de dados em uma página da web ou um serviço em que outra pessoa faz solicitações de exclusão para você).

 

A lei da Califórnia é considerada a mais forte dos Estados Unidos, uma vez que os regulamentos incluem um "direito privado de ação" limitado - a capacidade de processar uma empresa - contra certos tipos de violações de dados. A Califórnia também exige uma "desativação global" para se remover do compartilhamento de dados por dispositivo ou navegador, em vez de ser forçado a desativar cada site individualmente. 

 

Em contraste, alguns especialistas veem a Lei de Proteção de Dados do Consumidor da Virgínia com ceticismo. Ela é baseada no consentimento de opt-out. Não há proteção de direitos civis. Essencialmente, permite que grandes empresas de coleta de dados continuem fazendo o que vêm fazendo. A lei da Virgínia foi escrita com forte contribuição da Amazon.

 

Outros estados têm propostas em andamento

 

Pelo menos quatro outros estados, Massachusetts, Nova York, Carolina do Norte e Pensilvânia, têm propostas sérias e abrangentes de privacidade de dados do consumidor no comitê agora. Outros estados têm leis variadas nos estágios iniciais. A Associação Internacional de Profissionais de Privacidade tem um rastreador que mostra quais estados têm legislação de privacidade em andamento e onde essas contas estão em andamento. De acordo com a pesquisa do The Markup, pelo menos 14 das propostas são semelhantes à lei mais fraca da Virgínia.

 

Tal como acontece com as leis nacionais norte-americanas, existem leis estaduais que abrangem aspectos individuais da privacidade de dados. Missouri tem regras de privacidade de e-books. A Lei de Privacidade de Informações Biométricas de Illinois (BIPA) concede às pessoas direitos de privacidade sobre seus dados biométricos, como impressões digitais ou varreduras de rosto. Já quando se trata de notificações de violação de dados, é particularmente difícil saber seus direitos, com pelo menos 54 leis diferentes que variam por região.

 

Também existe o risco de que muitas leis estaduais gerem confusão, tanto operacionalmente para as empresas quanto para os consumidores. Alguns advogados defendem a existência de uma lei federal que pense nas coisas de uma forma muito mais consistente, para garantir que os consumidores entendam e tenham as expectativas corretas sobre seus direitos.