Visão geral das legislações de privacidade dos EUA

Isenção de responsabilidade: observe que esta tabela não fornece uma orientação exaustiva sobre cada legislação e sua aplicação. Para mais informações, recomendamos consultar o link para os textos oficiais das legislações abaixo.

Esta tabela pretende apresentar uma visão geral das legislações de privacidade estaduais dos Estados Unidos (“EUA”), que foram recentemente adotadas ou que deverão ser aprovadas em breve.

A data de vigência dos projetos de lei ainda não aprovados e seu conteúdo podem sofrer alterações. Os direitos concedidos aos usuários indicados na tabela são identificados por meio de denominações padrão. Embora tais denominações possam se sobrepor, o nome atribuído em cada legislação, o conteúdo e os detalhes relativos ao seu exercício podem diferir.

Como a maioria das legislações estaduais de privacidade nos EUA foi amplamente inspirada pela Lei de Privacidade do Consumidor da Califórnia (“CCPA”, na sigla em inglês), a tabela inclui uma coluna que identifica os elementos específicos de cada legislação que se assemelha à CCPA.

• Legislações que já estão em vigor (destacadas em verde)          
• Legislações que foram aprovadas, mas não estão em vigor (destacadas em amarelo)          
• Nenhuma legislação de privacidade abrangente disponível atualmente (destacadas em vermelho claro)         

Resumo da privacidade dos EUA – tabela de Comparação

Nevada Califórnia Colorado Virgínia Iowa Maryland Illinois Minnesota Alabama Connecticut Oklahoma Washington Nova York Massachussetts Utah Arizona Kentucky Maine

Perguntas	Nevada	Califórnia	Colorado	Virgínia	Connecticut	Utah	Maryland	Iowa	Illinois	Minnesota	Alabama	Oklahoma	Washington	Nova York	Massachussetts	Arizona	Kentucky	Maine
Data de entrada em vigor	2017 Emendas posteriores em 2019 e 2021, com a versão mais recente entrando em vigor em: 1º de outubro de 2021	Lei de Direitos de Privacidade da Califórnia (CPRA) 1º de janeiro de 2023CPRA expands on a few key elements of the CCPA and can be thought of as a more comprehensive iteration of the law. ” data-popover-title=”” data-original-title=”” title=””>	Lei de Privacidade do Colorado 1º de julho de 2023	Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA) 1º de janeiro de 2023	Uma lei sobre privacidade de dados pessoais e monitoramento online 1º de julho de 2023	Lei de Privacidade do Consumidor de Utah 31 de dezembro de 2023	Lei de Privacidade de Informações Pessoais do Consumidor Online de Maryland Nenhuma legislação de privacidade abrangente disponível atualmente	Um projeto de lei sobre proteção de dados do consumidor Nenhuma legislação de privacidade abrangente disponível atualmente	Lei de Privacidade do Consumidor Nenhuma legislação de privacidade abrangente disponível atualmente	Lei de Privacidade de Dados do Consumidor Nenhuma legislação de privacidade abrangente disponível atualmente	Lei de Privacidade do Consumidor Nenhuma legislação de privacidade abrangente disponível atualmente	A Lei de Privacidade de Dados de Computador de Oklahoma Nenhuma legislação de privacidade abrangente disponível atualmente	Lei de privacidade das pessoas Nenhuma legislação de privacidade abrangente disponível atualmente	Lei de Privacidade Nenhuma legislação de privacidade abrangente disponível atualmente	Lei de Privacidade e Segurança da Informação de Massachusetts Nenhuma legislação de privacidade abrangente disponível atualmente	Nenhuma legislação de privacidade abrangente disponível atualmente	Nenhuma legislação de privacidade abrangente disponível atualmente	Nenhuma legislação de privacidade abrangente disponível atualmente
Isso se aplica a mim?	Aplica-se a você se você se enquadrar na categoria de coletor de dados, ou seja, qualquer agência governamental, instituição de ensino superior, corporação, instituição financeira, operador de varejo ou qualquer outro tipo de entidade ou associação comercial que, para qualquer finalidade, seja por coleta automatizada ou outro meio, trate, colete, divulgue ou lide de qualquer forma com informações pessoais não públicas. Operadores e data brokers também estão incluídos.	A lei se aplica a você se você for uma pessoa jurídica que faz negócios na Califórnia com fins lucrativos, que coleta informações pessoais dos consumidores, ou em nome da qual tais informações são coletadas, que sozinho, ou em conjunto com terceiros, determina as finalidades e os meios do processamento das informações pessoais dos consumidores, e que se enquadra em um ou mais dos seguintes casos: receita bruta anual superior a US$ 25.000.000; compra, vende ou compartilha anualmente as informações pessoais de pelo menos 100.000 consumidores ou domicílios; e/ou aufere pelo menos 50% de suas receitas anuais com vendas, ou com o compartilhamento de informações pessoais dos consumidores.	A lei se aplica a você se você for uma pessoa jurídica que faz negócios no Colorado ou produz produtos ou serviços comerciais que intencionalmente visam os residentes do Colorado, e que controla ou processa dados pessoais de pelo menos 100 mil consumidores por ano, ou controla ou processa os dados pessoais de pelo menos 25.000 consumidores e obtém receita (ou recebe um desconto no preço dos bens ou serviços) com a venda de dados pessoais.	A lei se aplica a você se você for uma pessoa que faz negócios na Virgínia ou que tem como alvo os residentes da Virgínia e: controla ou processa dados pessoais de pelo menos 100 mil consumidores por ano, ou controla ou processa dados pessoais de pelo menos 25 mil consumidores e tem mais de 50% da receita bruta proveniente da venda de dados pessoais.	A lei se aplica a você se você for uma empresa (sediada ou não em Connecticut) que tem como alvo os residentes de Connecticut e que: durante um ano, controla ou processa dados pessoais de pelo menos 100.000 consumidores; ou controla ou processa dados pessoais de pelo menos 25.000 consumidores e obtém mais de 50% de sua receita bruta com a venda de dados pessoais.	A lei se aplica a qualquer controlador ou processador que faça negócios em Utah, que produza um produto ou serviço destinado aos residentes de Utah, que tenha receita anual mínima de US$ 25.000.000 e que se enquadre em um ou mais dos seguintes casos: durante um ano, controla ou processa dados pessoais de pelo menos 100.000 consumidores; ou obtém mais de 50% da receita bruta da empresa com a venda de dados pessoais e controla ou processa dados pessoais de pelo menos 25.000 consumidores.
Quem ela protege?	Residentes de Nevada	Consumidores. Pessoas físicas que residem no estado da Califórnia.	Consumidores. Qualquer pessoa que reside no Colorado que age apenas em contexto individual ou familiar.	Consumidores. Pessoas físicas que residem no estado da Virginia.	Consumidores. Pessoas físicas que residem no estado de Connecticut	Consumidor. Qualquer pessoa que reside no estado e age em contexto individual ou familiar.
Que direitos a lei concede aos usuários?	Direito de se opor à venda de informações pessoais.	Direito de saber e acessar Direito de excluir informações pessoais Direito de corrigir informações pessoais imprecisas Direito de se opor à venda ou compartilhamento de informações pessoais Direito de limitar o uso/divulgação de informações pessoais sensíveis Direito à não discriminação para o exercício dos direitos de privacidade dos consumidores	Direitos de acesso e portabilidade de dados Direito à correção Direito à exclusão Direito de se opor ao processamento para finalidades de publicidade direcionada, criação de perfis ou venda de dados pessoais, e direito de recorrer.	Direitos de acesso e portabilidade de dados Direito à exclusão Direito à retificação Direito de se opor ao processamento para finalidades de publicidade direcionada, criação de perfis ou venda de dados pessoais.	Direitos de acesso e portabilidade de dados Direito à correção Direito à exclusão Direito de se opor ao processamento para finalidades de publicidade direcionada, criação de perfis ou venda de dados pessoais, e direito de recorrer.	Direito de acesso Direito à retificação Direito à exclusão Direito à portabilidade de dados Direito de se opor ao processamento dos dados pessoais do consumidor para as seguintes finalidades: publicidade direcionada venda de dados pessoais
Preciso fornecer um aviso de privacidade?	SIM	SIM	SIM	SIM	SIM	SIM
Os rastreadores (por exemplo, cookies) são regulados?	NÃO	NÃO	NÃO	NÃO	NÃO	NÃO
Preciso respeitar os sinais de preferência de exclusão (opt-out) dos consumidores? (por exemplo, GPC – Global Privacy Control)	NÃO	SIM	SIM	NÃO	SIM	NÃO
Preciso permitir que os consumidores optem pelo não processamento de dados pessoais em relação a determinadas finalidades?	SIM	SIM	SIM	SIM	SIM	SIM
Preciso obter o consentimento prévio do consumidor (opt-in) antes de processar dados sensíveis?	NÃO	NÃO	SIM	SIM	SIM	NÃO
Quais as consequências em caso de infração?	Sanção civil por infração ou obrigação de fazer/não fazer imposta por decisão judicial. Multa de até US$ 5.000 por infração.	Multa de US$ 2.500 por infração ou US$ 7.500 se a infração for intencional ou envolver informações pessoais de uma criança.	Multa de não mais do que US$ 20.000  por infração.	Multa de até US$ 7.500 para cada infração.	Multa de até US$ 5.000 para cada infração intencional, mais as despesas incorridas pelo procurador geral com a investigação e preparação do caso, incluindo honorários advocatícios.	Ao instaurar uma ação, o Procurador Geral pode obter (i) uma indenização ao consumidor; e (ii) uma quantia que não exceda US$ 7.500 por cada infração.