UE vs EUA: Quais são as diferenças entre suas leis de privacidade de dados?

UE vs EUA: Quais são as diferenças entre suas leis de privacidade de dados? O cenário de privacidade de dados nos EUA mantém diferenças consideráveis em relação à GDPR.

 

GDPR: breve visão geral

O GDPR é uma lei abrangente de privacidade de dados que se aplica a organizações que coletam, armazenam ou mantêm dados pessoais pertencentes a titulares de dados nos estados membros da UE. A Comissão Europeia define dados pessoais como qualquer informação relacionada com uma pessoa singular identificada ou identificável (titular dos dados). Organizações que operam em países da UE, organizações que vendem bens ou serviços a cidadãos da UE e organizações que monitoram o comportamento dos titulares dos dados devem cumprir o GDPR.
As regras para conformidade com o GDPR são substanciais e se baseiam em sete princípios-chave, incluindo minimização na coleta de dados, limitação de armazenamento e responsabilidade. Categorias específicas de dados confidenciais exigem proteção extra.
A não conformidade com o GDPR divide as penalidades em dois níveis com base na gravidade das violações. Violações padrão levam a penalidades de até € 10 milhões ou 2% do faturamento global anual, enquanto as penalidades para violações mais graves podem chegar a € 20 milhões ou 4% do faturamento anual.
O GDPR substituiu a Diretiva de Proteção de Dados, pois essa lei foi considerada insuficiente em escopo e força para a proteção moderna de privacidade de dados na Europa. Desde a implementação do GDPR, várias decisões importantes do Tribunal de Justiça Europeu reforçaram ainda mais os direitos individuais, incluindo permitir que as associações de defesa do consumidor tomem medidas representativas em nome dos consumidores afetados por violações do GDPR. As Autoridades de Proteção de Dados em cada estado membro normalmente lidam com reclamações apresentadas contra violações do GDPR.

Leis de privacidade de dados dos EUA e diferenças com a UE

Indiscutivelmente, a diferença mais significativa na legislação dos EUA em relação à UE é a falta de uma lei abrangente de privacidade de dados que se aplique a todos os tipos de dados e a todas as empresas dos EUA. Em vez disso, a lei americana adota uma abordagem mais fragmentada com vários regulamentos que regem diferentes setores e tipos de dados, incluindo:

  • A Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA-Health Insurance Portability and Accountability Act ) — esta lei federal protege as informações confidenciais de saúde do paciente, especificando como os provedores de saúde devem proteger esses dados contra fraude e roubo. A lei também estabelece limites sobre como as organizações podem usar ou divulgar informações de saúde protegidas. As atualizações para a HIPAA provavelmente serão anunciadas em algum momento de 2022 ou 2023, o mais tardar.
  • A Lei Gramm-Leach-Bliley (GLBA) — esta lei se aplica a instituições financeiras e estabelece responsabilidades e padrões para proteger a confidencialidade e a segurança das informações pessoais não públicas dos consumidores. A Federal Trade Commission (FTC) anunciou mudanças importantes na Regra de Salvaguardas do GLBA (que se tornará obrigatória em novembro de 2022) detalhando medidas de segurança de dados mais prescritivas que as instituições financeiras precisam adotar para proteger os dados dos clientes.
  • Lei Federal de Gerenciamento de Segurança da Informação (FISMA -Federal Information Security Management Act ) — esta lei federal exige que as agências federais desenvolvam, documentem e implementem um programa para toda a agência que forneça segurança da informação. O FISMA 2022 é uma atualização bipartidária do FISMA que adota uma abordagem estratégica e de ponta para garantir que os sistemas federais de TI possam se preparar e responder melhor aos desafios cibernéticos atuais que ameaçam as informações federais e os sistemas de informação de acesso, uso e divulgação não autorizados.

Mudando as leis dos EUA

Uma tendência notável são as mudanças recentes ou iminentes em várias leis de proteção de dados existentes nos EUA que refletem um mundo cada vez mais interconectado, com volumes de dados maiores do que nunca, movendo-se em um ecossistema de informações mais complexo. A necessidade dessas mudanças exemplifica uma abordagem diferente entre as leis da UE e dos EUA.
O GDPR sem dúvida define o padrão de privacidade de dados em todo o mundo e ainda não precisou ser alterado. Mas a falta de uma verdadeira abordagem de privacidade em primeiro lugar nos regulamentos de privacidade de dados díspares dos Estados Unidos torna necessário atualizá-los de acordo com os direitos fundamentais que as pessoas agora esperam sobre como seus dados são usados, compartilhados ou divulgados.

CCPA e mais

Nos últimos anos, surgiram leis estaduais que tentam fornecer proteção mais forte de dados pessoais a indivíduos nessas jurisdições e maior transparência sobre como os dados estão sendo compartilhados. A lei dos EUA mais comparável ao GDPR é a Lei de Privacidade do Consumidor da Califórnia (CCPA- California Consumer Privacy Act) , que se aplica a consumidores residentes na Califórnia.
A CCPA entrou em vigor em janeiro de 2020, mas a iminente Lei de Direitos de Privacidade da Califórnia (CPRA – California Privacy Rights Act ) altera a legislação de privacidade para expandir os direitos de exclusão e introduzir outras mudanças que a alinham ainda mais com o GDPR. A CPRA entra em vigor em janeiro de 2023. Curiosamente, Virgínia e Colorado são os dois únicos outros estados dos EUA que assinaram uma lei abrangente de privacidade de dados.

Diferenças culturais

Existem diferenças culturais importantes que não podem ser ignoradas ao avaliar as diferentes leis de privacidade de dados entre a UE e os EUA. Exemplificando as diferentes abordagens é como a Carta dos Direitos Fundamentais da UE estabelece a proteção de dados como um direito fundamental. Essa mentalidade de privacidade em primeiro lugar provavelmente decorre de um histórico de uso de informações de indivíduos para fins nefastos que remonta aos dias do nacional-socialismo e do comunismo.
Em contraste, os EUA tradicionalmente adotam uma abordagem mais prática que favorece as empresas que coletam e usam dados pessoais. A utilização de dados pessoais para fins comerciais ultrapassa a importância da privacidade dos dados. Nos últimos anos, a mentalidade mudou um pouco para proteger melhor os indivíduos à medida que as violações de dados continuam causando estragos, mas as diferenças culturais subjacentes levarão mais tempo para se dissolver e levar os EUA a um alinhamento mais completo com a mentalidade e as leis da UE.

Substituindo a estrutura do Privacy Shield

Uma importante mudança regulatória foi anunciada em março de 2022 com a Estrutura Transatlântica de Privacidade de Dados (Trans-Atlantic Data Privacy Framework) definida para substituir a estrutura do Escudo de Privacidade UE-EUA. Ambas as estruturas regulatórias estão relacionadas a transferências de dados pessoais da UE para os Estados Unidos.
O Tribunal de Justiça Europeu invalidou o Privacy Shield em 2020, depois que um ativista austríaco alegou com sucesso que a estrutura não protegia os europeus da vigilância dos EUA. Essa decisão gerou incerteza para muitas empresas, incluindo Google e Facebook, sobre transferências de dados internacionais.
O Trans-Atlantic Data Privacy Framework introduz salvaguardas que limitam o acesso aos dados pelas autoridades de inteligência dos EUA ao que é necessário e proporcional para proteger a segurança nacional. O resultado provavelmente será fluxos de dados transfronteiriços mais livres e menos incerteza regulatória para empresas que operam em ambas as regiões.

Navegando em uma economia de dados complexa

As empresas de hoje precisam navegar em uma economia de dados complexa na qual um número crescente de regulamentações exige que sejam muito cuidadosas sobre como coletam, armazenam e usam os dados dos clientes. Existem lacunas notáveis ​​no escopo e na força das leis de privacidade de dados dos EUA em comparação com a Europa, mas a maré continua mudando à medida que as leis dos EUA são alteradas e novas entram em vigor.
Independentemente de quais leis sua empresa precisa seguir, a conformidade regulatória com as leis atuais de privacidade de dados é essencial para manter a confiança do cliente e evitar consequências jurídicas e financeiras substanciais.

Fonte: Endpoint Protetor by CoSoSys

Veja também:

Sobre mindsecblog 1871 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. UE vs EUA: Quais são as diferenças entre suas leis de privacidade de dados? – Neotel Segurança Digital

Deixe sua opinião!