O mosaico de leis de privacidade nos EUA agora cobre metade do país — e as empresas estão ficando sem tempo para se adaptar

Quando a California Consumer Privacy Act (CCPA) entrou em vigor em janeiro de 2020, foi a primeira lei abrangente de privacidade de dados do consumidor nos Estados Unidos — e muitos acreditavam que logo seria seguida por uma legislação federal, criando um padrão nacional uniforme. Seis anos depois, a lei federal de privacidade continua empacada. O que surgiu, em vez disso, foi um mosaico estado por estado que agora cobre a maioria da população dos EUA, com diferenças materiais em direitos, fiscalização e limites de aplicabilidade que transformaram a conformidade com a privacidade em um desafio operacional significativo.

Onde o mosaico está

Até 2026, leis estaduais abrangentes de privacidade estão em vigor ou prestes a entrar em vigor em mais de 20 estados, incluindo Califórnia (CCPA/CPRA), Virgínia, Colorado, Connecticut, Utah, Texas, Oregon, Montana, Indiana, Tennessee, Iowa, Flórida, Delaware, New Hampshire, New Jersey, Kentucky, Maryland, Nebraska, Minnesota, Rhode Island e vários outros que já aprovaram leis com datas de vigência futuras.

As leis compartilham uma arquitetura comum emprestada do GDPR: os consumidores têm o direito de saber quais dados são coletados sobre eles, o direito de excluí-los, o direito de optar por não participar da venda de seus dados e o direito de corrigir dados imprecisos. Mas os detalhes diferem significativamente entre os estados, de maneiras que impactam os programas de conformidade.

Os limites de aplicabilidade variam amplamente. A CPRA da Califórnia se aplica a empresas com receita bruta anual acima de US$ 25 milhões, que processam dados de 100 mil ou mais consumidores, ou que obtêm 50% da receita com a venda de dados. A TDPSA do Texas se aplica a qualquer empresa que processe dados de residentes do Texas, sem limite de receita — um alcance significativamente maior. A Oregon Consumer Privacy Act se aplica a empresas que processam dados de 100 mil ou mais consumidores do Oregon ou que obtêm receita com o processamento de dados de 25 mil consumidores. Uma empresa que não está sujeita à lei da Califórnia pode estar totalmente sujeita às leis do Texas e do Oregon.

O problema da "venda"

Todas as leis estaduais de privacidade dos EUA dão aos consumidores o direito de optar por não participar da "venda" de seus dados pessoais, mas as definições estaduais de "venda" divergem de maneiras que afetam substancialmente quais práticas de negócios exigem mecanismos de opt-out.

A CPRA da Califórnia define "compartilhamento" separadamente de "venda" para capturar publicidade comportamental mesmo quando nenhum dinheiro é trocado — uma empresa que envia dados de usuários para uma rede de anúncios que não paga por eles ainda está "compartilhando" sob a definição da Califórnia, e os consumidores podem optar por não participar. Muitos outros estados usam uma definição mais restrita ligada a consideração monetária, o que significa que fluxos de publicidade comportamental que exigem opt-out na Califórnia não acionam o requisito de opt-out na Virgínia.

Essa divergência coloca as empresas que operam nacionalmente em uma posição difícil. Calibrar os fluxos de consentimento de acordo com a definição ampla da Califórnia e aplicá-los em todo o país é operacionalmente mais simples do que fluxos específicos por estado, mas pode ser mais restritivo do que o exigido por lei em estados com definições mais estreitas. Calibrar para os requisitos específicos de cada estado é mais permissivo, mas exige manter lógica específica por estado em toda a pilha de dados.

Corretores de dados sob pressão específica

Os corretores de dados — empresas que coletam e vendem informações pessoais de diversas fontes — estão enfrentando regulação estadual específica crescente além das estruturas gerais de privacidade do consumidor. A Delete Act da Califórnia (SB 362), que entrou totalmente em vigor em 2026, exige que corretores de dados registrados honrem solicitações de exclusão enviadas por meio de um único portal estadual, em vez de exigir que os consumidores entrem em contato com cada corretor individualmente. Texas, Oregon e vários outros estados aprovaram ou estão desenvolvendo requisitos semelhantes de registro e opt-out para corretores de dados.

O efeito prático é que corretores de dados que antes se beneficiavam do atrito de solicitações de exclusão por corretor agora enfrentam mecanismos de exclusão consolidados que os consumidores podem realmente usar. Dados do setor sugerem que os volumes de solicitações de exclusão aumentaram substancialmente desde que o mecanismo centralizado da Califórnia entrou em operação — o que significa que o mecanismo está funcionando como planejado, mas cria uma carga operacional significativa para corretores que precisam processar solicitações em todo o seu pipeline de dados.

Dados sensíveis: onde as regras são mais rígidas

Todas as leis estaduais de privacidade dos EUA tratam certas categorias de dados como "sensíveis" e impõem requisitos mais rigorosos — tipicamente consentimento opt-in em vez de opt-out. As categorias incluem, de forma ampla, dados biométricos, dados de saúde, geolocalização precisa, dados financeiros, raça e etnia, crenças religiosas, orientação sexual e dados de crianças. Mas as definições e requisitos específicos variam por estado.

A geolocalização precisa é particularmente contestada. A Califórnia exige consentimento opt-in para coletar "dados de geolocalização precisos", definidos como dentro de 1.850 pés (~550 metros). O Texas usa um raio semelhante. Alguns estados não especificaram um raio, deixando o limite ambíguo. Para aplicativos que usam recursos de localização — navegação, busca local, clima, condicionamento físico — a questão de conformidade sobre se estão coletando geolocalização "precisa" depende de qual lei estadual se aplica.

O que a legislação federal resolveria — e não resolveria

A American Privacy Rights Act (APRA) — o projeto de lei federal de privacidade mais recente a ganhar impulso significativo — substituiria as leis estaduais em muitas áreas, criando um piso nacional para os direitos do consumidor. Inclui requisitos de minimização de dados (você só pode coletar o que é necessário para o propósito declarado), fortes direitos de opt-out para publicidade direcionada e um direito privado de ação para que os consumidores processem por violações.

Opositores tanto da indústria (preocupados com o direito privado de ação e os requisitos rigorosos de minimização de dados) quanto de defensores do consumidor (que querem proteções mais fortes do que o projeto federal oferece) o emperraram repetidamente. O mosaico provavelmente continuará a se expandir pelo menos no curto prazo.

Conformidade prática em um mosaico

Para empresas navegando pelo mosaico, a abordagem prática que a maioria dos programas de conformidade adotou é "mínimo denominador comum com calibração seletiva". Aplique a estrutura da Califórnia de forma ampla — geralmente é a mais rigorosa e cobre a maior população — e documente onde outros estados têm requisitos específicos que diferem.

Os investimentos operacionais que mais se pagam de forma consistente são: um inventário abrangente de dados (você não pode cumprir solicitações de direitos de dados se não souber onde os dados estão), uma plataforma de gerenciamento de consentimento que possa fornecer fluxos de consentimento adequados a cada estado, um processo para honrar solicitações de exclusão em todo o pipeline de dados (não apenas no banco de dados principal) e uma base legal documentada para cada categoria de processamento de dados. Esses investimentos são valiosos independentemente de quais leis estaduais se aplicam e criam a base para lidar com quaisquer novos requisitos que surjam no próximo ciclo legislativo.