UE versus EUA: Quais são as diferenças entre suas leis de privacidade de dados?

UE versus EUA: Quais são as diferenças entre suas leis de privacidade de dados?  O cenário americano mudou nos últimos anos mas ainda existem grandes diferenças.

A introdução do Regulamento Geral de Proteção de Dados (GDPR) em maio de 2018 estabeleceu um alto nível de proteção de privacidade para indivíduos dentro dos estados membros da UE. O cenário da privacidade de dados nos Estados Unidos mudou consideravelmente nos últimos anos e as regras de proteção de dados estão agora cada vez mais alinhadas com uma abordagem européia, embora ainda existam algumas grandes diferenças. Este artigo examina as diferenças entre as modernas leis de privacidade de dados na União Européia e nos EUA.

GDPR: Breve visão geral

A GDPR é uma lei abrangente de privacidade de dados que se aplica a organizações que coletam, armazenam ou mantêm dados pessoais pertencentes a indivíduos nos estados membros da UE. A Comissão Européia define dados pessoais como qualquer informação relacionada a uma pessoa física identificada ou identificável (sujeito dos dados). Organizações que operam em países da UE, organizações que vendem bens ou serviços a cidadãos da UE e organizações que monitoram o comportamento dos sujeitos dos dados, todas devem estar de acordo com a GDPR.

As regras para o cumprimento da GDPR são substanciais e baseiam-se em sete princípios-chave, incluindo a minimização na coleta de dados, limitação de armazenamento e responsabilidade. Categorias específicas de dados sensíveis requerem proteção extra.

A não conformidade com a GDPR divide as penalidades em dois níveis, com base na gravidade das violações. As violações padrão levam a penalidades de até 10 milhões de euros ou 2% do faturamento global anual, enquanto as penalidades por violações mais graves podem chegar a 20 milhões de euros ou 4% do faturamento anual.

A GDPR substituiu a Diretiva de Proteção de Dados, pois essa lei foi considerada insuficiente em termos de escopo e força para a moderna proteção da privacidade de dados na Europa. Desde a implementação da GDPR, várias decisões importantes do Tribunal de Justiça Europeu reforçaram ainda mais os direitos individuais, inclusive permitindo que as associações de proteção ao consumidor tomassem ações representativas em nome dos consumidores afetados pelas violações da GDPR. As autoridades de proteção de dados em cada estado membro tipicamente tratam as reclamações apresentadas contra as violações da GDPR.

Leis de privacidade de dados dos EUA e diferenças com a UE

A diferença mais significativa na legislação dos EUA em relação à UE é, sem dúvida, a falta de uma lei abrangente de privacidade de dados que se aplique a todos os tipos de dados e a todas as empresas americanas. Em vez disso, a legislação americana adota uma abordagem mais fragmentada com várias regulamentações que regem diferentes setores e tipos de dados, inclusive:

  • A Lei de Portabilidade e Prestação de Contas do Seguro de Saúde (HIPAA, por sua sigla em inglês): esta lei federal protege informações sensíveis de saúde do paciente especificando como os provedores de saúde devem proteger tais dados contra fraude e roubo. A lei também estabelece limites sobre como as organizações podem usar ou divulgar informações de saúde protegidas. É provável que as atualizações da HIPAA sejam anunciadas em algum momento durante 2022 ou 2023, no máximo.
  • A Lei Gramm-Leach-Bliley (GLBA): este ato se aplica às instituições financeiras e estabelece responsabilidades e normas para proteger a confidencialidade e a segurança das informações pessoais não públicas dos consumidores. A Comissão Federal de Comércio (FTC) anunciou importantes mudanças na Regra de Salvaguardas da GLBA (que deverá tornar-se obrigatória em novembro de 2022) detalhando medidas mais prescritivas de segurança de dados que as instituições financeiras precisam tomar para proteger os dados dos clientes.
  • Lei Federal de Gestão da Segurança da Informação (FISMA): esta lei federal exige que as agências federais desenvolvam, documentem e implementem um programa que forneça segurança de informação em toda a agência. FISMA 2022 é uma atualização bipartidária de FISMA que adota uma abordagem estratégica e de vanguarda para garantir que os sistemas federais de TI possam se preparar e responder melhor aos desafios cibernéticos atuais que ameaçam as informações federais e os sistemas de informação de acesso, uso e divulgação não autorizados.

Modificação das leis dos EUA

Uma tendência notável são as mudanças recentes ou iminentes em várias leis de proteção de dados existentes nos EUA que refletem um mundo cada vez mais interconectado com volumes de dados cada vez maiores do que nunca em um ecossistema de informação mais complexo. A necessidade destas mudanças exemplifica uma abordagem diferente entre as leis da UE e dos EUA.

A GDPR define, sem dúvida, o padrão de privacidade de dados em todo o mundo, e ainda não teve que ser emendada. Mas a falta de uma verdadeira abordagem de privacidade nas diferentes regulamentações americanas sobre privacidade de dados torna necessário atualizá-las de acordo com os direitos fundamentais que as pessoas agora esperam em relação à forma como seus dados são usados, compartilhados ou divulgados.

CCPA e mais

Nos últimos anos, surgiram leis estaduais que tentam proporcionar maior proteção de dados pessoais aos indivíduos nessas jurisdições e maior transparência sobre como os dados estão sendo compartilhados. A lei americana mais comparável à GDPR é a Lei de Privacidade do Consumidor da Califórnia (CCPA), que se aplica aos consumidores que são residentes na Califórnia.
A CCPA entrou em vigor em janeiro de 2020, mas a iminente Lei de Privacidade da Califórnia (CPRA) altera a legislação de privacidade para expandir os direitos de opt-out e introduzir outras mudanças que a colocam ainda mais alinhada com a GDPR. A CPRA entra em vigor em janeiro de 2023. Curiosamente, Virginia e Colorado são os únicos dois outros estados dos EUA que assinaram uma lei abrangente de privacidade de dados.

Diferenças culturais

Há diferenças culturais importantes que não podem ser ignoradas ao avaliar as diferentes leis de privacidade de dados entre a UE e os EUA. Exemplificando as diferentes abordagens é como a Carta dos Direitos Fundamentais da UE estabelece a proteção de dados como um direito fundamental. Esta primeira abordagem de privacidade provavelmente deriva de um histórico de utilização de informações individuais para fins nefastos que remonta aos dias do nacional-socialismo e do comunismo.

Em contraste, os Estados Unidos tradicionalmente têm adotado uma abordagem mais de mãos livres que favorece as empresas que coletam e utilizam dados pessoais. O uso de dados pessoais para fins comerciais excede a importância da privacidade dos dados. Nos últimos anos, a mentalidade tem mudado um pouco para uma melhor proteção dos indivíduos à medida que as violações de dados continuam a causar estragos, mas as diferenças culturais subjacentes levarão mais tempo para dissolver e colocar os EUA em total alinhamento com a mentalidade e as leis da UE.

Substituindo a Estrutura do Escudo da Privacidade

Uma importante mudança regulatória foi anunciada em março de 2022 com a Estrutura Transatlântica de Privacidade de Dados definida para substituir a Estrutura do Escudo da Privacidade UE-EUA. Ambas as estruturas regulatórias estão relacionadas às transferências de dados pessoais da UE para os Estados Unidos.

O Tribunal de Justiça Europeu invalidou o Escudo da Privacidade em 2020 depois que um ativista austríaco alegou com sucesso que a estrutura não protegia os europeus da vigilância dos EUA. Esta decisão gerou incerteza para muitas empresas, incluindo empresas como Google e Facebook, sobre transferências de dados transfronteiriças.

A Estrutura Transatlântica de Privacidade de Dados introduz salvaguardas que limitam o acesso aos dados pelas autoridades de inteligência dos EUA ao que é necessário e proporcional para proteger a segurança nacional. O resultado provavelmente será fluxos de dados transfronteiriços mais livres e menos incerteza regulatória para as empresas que operam em ambas as regiões.

Navegando em uma economia de dados complexa

As empresas hoje devem navegar em uma economia de dados complexa na qual um número crescente de regulamentações exige que elas sejam muito cuidadosas sobre como coletar, armazenar e utilizar os dados dos clientes. Há lacunas notáveis no escopo e força das leis de privacidade de dados dos EUA em comparação com a Europa, mas a maré continua a mudar à medida que as leis existentes nos EUA são alteradas e novas leis entram em vigor.

Independentemente da(s) lei(s) que sua empresa precisa seguir, a conformidade regulamentar com as leis atuais de privacidade de dados é essencial para manter a confiança do cliente e evitar consequências legais e financeiras substanciais.

Fonte: Endpoint Protector por: Cristina Moldovan

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Data Loss Prevention Best Practices | Minuto da Segurança da Informação
  2. Como prevenir violações de dados em 2023 | Minuto da Segurança da Informação

Deixe sua opinião!