A nova Lei de Privacidade e Proteção de Dados estadunidense (ADPPA) e o escopo de sua aplicação

Ultimamente, tendo em vista a quantidade de legislações relacionadas à privacidade e proteção de dados dentro do país, o governo dos Estados Unidos da América optou por introduzir uma lei aplicável a todos os estados do país, com o intuito de uniformizar sua aplicação em território nacional e erradicar as dificuldades originadas devido às diferenças entre as leis estaduais voltadas ao tema.

Dessa forma, no dia 3 de junho, foi elaborada a minuta do que virá a ser o “American Data Privacy and Protection Act”, de abreviação “ADPPA”. Esta minuta ainda não foi submetida à avaliação do Senado, contudo já está sendo alvo de discussões devido à algumas de suas disposições.

O texto do ADPPA se aplicará de forma ampla a organizações que operem nos Estados Unidos, desde que estas organizações “coletem, processem ou transfiram dados pessoais e sejam subordinadas ao “Federal Trade Commission Act”. Além disto, o texto ainda define que a “transferência” de dados, no contexto da lei, é caracterizada como “divulgar, liberar, compartilhar, disseminar, tornar disponível, ou licenciar em escrito, eletronicamente, ou através de qualquer outro meio” os dados pessoais de titulares.

Além disto, organizações de porte médio e pequeno também deverão se submeter ao ADPPA, contudo, poderão se eximir de alguns dos deveres impostos a organizações de grande porte devido a uma exceção aberta pela própria legislação, relacionada a organizações que lidem com dados pessoais em pequena escala. Dessa forma, para que tenha a exceção aplicada, a empresa de pequeno ou médio porte deve atender a certos requisitos impostos pela lei, como não processar dados de mais de 100.000 indivíduos.

Embora o ADPPA estabeleça esta exceção para empresas de pequeno porte, faz o contrário com empresas de grande porte, que possuem obrigações adicionais impostas a elas, desde que cumpram também com os requisitos impostos em lei, como, por exemplo, tratar dados de mais de 5 milhões de indivíduos ou tratar dados sensíveis de mais de 100.000 indivíduos.

Além disto, a minuta da lei inclui, ainda, certos requerimentos baseados na função desempenhada por cada empresa com relação aos dados pessoais de titulares. Assim, dentro do contexto do compartilhamento de dados pessoais com outras entidades, a minuta faz uma distinção entre “provedores de serviços” e “terceiros”. Estes termos seriam os equivalentes a operadores e controladores no Direito Brasileiro.

De acordo com o Direito Norte-Americano, um “provedor de serviços” estaria relacionado a entidades que coletam, processam ou transferem dados enquanto desempenham seus serviços para uma outra entidade, que decide qual será a finalidade do tratamento de dados. Já o “terceiro” seria definido como uma entidade que não presta serviços a uma outra entidade, contudo é detentora de dados pessoais e os trata.

Fonte: Understanding the scope of the draft American Data Privacy and Protection Act (iapp.org)