Entre 2020 e 2025, os Estados Unidos vivenciaram uma intensificação na regulação de privacidade de dados e debates sobre inteligência artificial (IA). Embora o país ainda não tenha uma lei federal abrangente de proteção de dados, houve uma proliferação de leis estaduais de privacidade e iniciativas regulatórias relacionadas à IA (Data protection laws in the United States – Data Protection Laws of the World) (Which States Have Consumer Data Privacy Laws?). Este relatório analisa esse cenário jurídico em evolução, abordando os fundamentos legais da proteção de dados e do uso de IA nos EUA, comparando abordagens estaduais e iniciativas federais, bem como contrastando-as com legislações da União Europeia e China. Também são avaliados impactos práticos dessas normas para empresas de tecnologia, cidadãos, soberania digital e liberdades civis, balanceando perspectivas corporativas (geralmente favoráveis a regras uniformes e flexíveis) e de direitos civis (defensoras de proteções robustas ao indivíduo).
Escopo: Focamos no período de 2020 a 2025, abrangendo leis já aprovadas nesse intervalo, como a California Consumer Privacy Act (CCPA) e sua emenda California Privacy Rights Act (CPRA), a Virginia Consumer Data Protection Act (VCDPA), entre outras estaduais, além de marcos setoriais (p.ex. HIPAA na saúde) e ações regulatórias federais consolidadas. Propostas legislativas não aprovadas (p.ex. projetos federais pendentes) são mencionadas apenas para contextualização, sem análise especulativa. Referências confiáveis (artigos acadêmicos, legislação, decisões judiciais, relatórios técnicos) embasam cada afirmação – com pelo menos 5 fontes verificáveis por ponto relevante – e o nível de consenso entre especialistas é indicado.
Metodologia: A pesquisa foi estruturada em estágios progressivos (“raciocínio em cadeia” adaptativo), partindo dos conceitos básicos de privacidade e IA, evoluindo para análises específicas de normas. A técnica Least-to-Most Prompting foi empregada para decompor a análise em subtarefas (primeiro entendendo leis individuais, depois comparando abordagens e, por fim, examinando implicações complexas). Adicionalmente, utilizamos uma espécie de “árvore de decisão semântica” (Tree-of-Thought) para explorar a relação e eventuais conflitos entre regulações estaduais e federais, mapeando cenários de prevalência de cada qual. Essa combinação metodológica permitiu abordar o tema de forma abrangente e organizada. (Nível de consenso metodológico: elevado – abordagens multidisciplinares são comumente recomendadas em pesquisa jurídica complexa (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts).)
Fundamentação Teórica
A proteção de dados pessoais nos EUA historicamente baseia-se em um mosaico normativo (patchwork) de leis setoriais federais e leis estaduais, ao contrário de jurisdições como a UE que adotam um regime unificado (Data protection laws in the United States – Data Protection Laws of the World) (Data privacy laws in the United States (updated March 2025) | Didomi). Até 2025, não existe nos EUA uma lei federal geral de proteção de dados de caráter abrangente, fato reconhecido amplamente por especialistas e reguladores (Data protection laws in the United States – Data Protection Laws of the World) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (Consenso: elevado, virtualmente todas as análises concordam que falta uma “GDPR americana”). Em vez disso, vigora uma combinação de:
- Leis Federais Setoriais: Normas focadas em setores ou tipos de dados específicos. Por exemplo, o Health Insurance Portability and Accountability Act (HIPAA) de 1996 protege dados de saúde mantidos por determinadas entidades (p.ex. prestadores de saúde e planos) (Data protection laws in the United States – Data Protection Laws of the World). A Gramm-Leach-Bliley Act (GLBA) (1999) impõe obrigações de privacidade a informações financeiras em instituições bancárias. A Children’s Online Privacy Protection Act (COPPA) (1998) protege dados de crianças menores de 13 anos online. Há ainda leis sobre crédito (Fair Credit Reporting Act), comunicações eletrônicas (Electronic Communications Privacy Act) etc., formando um arcabouço fragmentado (Data protection laws in the United States – Data Protection Laws of the World). Essas leis continuam relevantes entre 2020-2025; por exemplo, a HIPAA tem sido invocada em debates sobre apps de saúde e dados de COVID-19. No entanto, elas cobrem apenas setores delimitados, deixando grandes volumes de dados de consumidores sob pouca regulação específica (Data privacy laws in the United States (updated March 2025) | Didomi) (Consenso: elevado, doutrina e órgãos governamentais concordam que a legislação federal atual é insuficiente diante do “big data” moderno (Data privacy laws in the United States (updated March 2025) | Didomi) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org)).
- Federal Trade Commission (FTC) e regulação geral de práticas desleais: Na ausência de lei geral, a FTC atua como órgão de aplicação indireta de proteção de dados, enquadrando certos abusos de privacidade como práticas de comércio desleais ou enganosas sob a Seção 5 do FTC Act (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine). Foi com base nessa autoridade genérica que a FTC firmou acordos marcantes, como o caso Facebook/Cambridge Analytica (2019) e, dentro do período em análise, o acordo FTC vs. Everalbum (2021), no qual a FTC alegou que a empresa de app de fotos enganou usuários sobre reconhecimento facial e uso indevido de dados (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine) (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine). O acordo resultou em obrigações inéditas, incluindo a exclusão de algoritmos de IA treinados com dados obtidos sem consentimento – uma forma de “desfazimento algorítmico” (algorithmic disgorgement) (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine) (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine). Comentário: Essa exigência de deletar não só os dados coletados ilegalmente, mas também os modelos de IA derivados deles, sinaliza uma evolução na fundamentação legal: passa-se a reconhecer que modelos de IA construídos sobre dados violando privacidade constituem um produto do ilícito, devendo ser eliminados (Consenso: moderado – a comunidade jurídica concorda que a FTC inaugurou um precedente importante (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine) (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine), embora haja debate sobre sua base legal e aplicação futura (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine) (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine)).
- Leis Estaduais de Privacidade Gerais: A partir de 2018, com a Califórnia à frente, estados começaram a aprovar leis de privacidade de caráter abrangente para dados de consumidores. Essas leis buscavam cobrir lacunas deixadas pela ausência de norma federal ampla, inspirando-se parcialmente no modelo europeu do GDPR (mas com adaptações à realidade norte-americana) (Data protection laws in the United States – Data Protection Laws of the World) (Which States Have Consumer Data Privacy Laws?). Os fundamentos teóricos dessas leis estaduais residem nos direitos de autodeterminação informativa e privacidade como extensão da proteção do consumidor. Em 2020, entrou em vigor a California Consumer Privacy Act (CCPA) – a primeira lei geral de privacidade dos EUA – estabelecendo direitos básicos aos californianos sobre seus dados pessoais e impondo deveres a empresas (transparência, opção de opt-out da venda de dados, etc.) (Which States Have Consumer Data Privacy Laws?). Em 2023, a CCPA foi fortalecida pela California Privacy Rights Act (CPRA), aprovada por referendo em 2020, que adicionou direitos (p.ex. correção de dados, limitação de uso de dados sensíveis) e criou a primeira agência reguladora especializada em privacidade nos EUA, a California Privacy Protection Agency (Which States Have Consumer Data Privacy Laws?). Outros estados seguiram: Virgínia (lei aprovada em 2021), Colorado (2021), Utah e Connecticut (2022), entre muitos que se somaram até 2025, como veremos adiante. Essas leis, embora variem em detalhes, compartilham fundamentos como: garantir transparência no uso de dados, dar controle ao usuário (direitos de acesso, exclusão, etc.) e responsabilizar empresas quanto à segurança e uso ético da informação (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org).
- Marcos Legais Relacionados à IA: No início da década de 2020, a regulação de inteligência artificial nos EUA encontrava-se mais em diretrizes de órgãos e leis setoriais do que em leis específicas de IA. Não existe (até 2025) uma “Lei de IA” federal abrangente; porém, certos fundamentos legais gerais tocam a IA: leis de não discriminação (que se aplicam se sistemas automatizados causarem vieses em emprego, crédito, etc.), deveres de cuidado em produtos (caso de IA defeituosa causar danos), além das já citadas leis de privacidade (que abrangem processamento automatizado de dados pessoais). Conceitos como accountability (prestação de contas) e transparência algorítmica ganharam espaço em documentos de orientação. Em 2022, a Casa Branca (OSTP) publicou o Blueprint for an AI Bill of Rights, delineando princípios para orientar o desenvolvimento e uso de sistemas automatizados de forma que respeitem direitos fundamentais (prevenção de vieses algoritmos, proteção da privacidade, explicabilidade, alternativas humanas, etc.) (Unpacking the White House blueprint for an AI Bill of Rights | Brookings). Embora seja um guia sem força de lei, ele afirma um marco teórico de direitos na era da IA, alinhando-se a valores nacionais de equidade e transparência (Unpacking the White House blueprint for an AI Bill of Rights | Brookings) (Consenso: elevado entre acadêmicos de política tecnológica – reconhece-se a importância de diretrizes éticas federais, ainda que se discuta sua efetividade sem força vinculante (Unpacking the White House blueprint for an AI Bill of Rights | Brookings) (Unpacking the White House blueprint for an AI Bill of Rights | Brookings)). Além disso, o Congresso aprovou o National AI Initiative Act (NAIIA) de 2020, estabelecendo iniciativas de pesquisa e coordenação em IA (foco em inovação e não regulação direta) (Reconciling the U.S. Approach to AI). Complementarmente, o Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu, em colaboração público-privada, o Framework de Gerenciamento de Riscos de IA (AI RMF 1.0), lançado em janeiro de 2023 (AI Risk Management Framework | NIST) (AI Risk Management Framework | NIST). Esse framework voluntário fornece bases técnicas para identificar e mitigar riscos de sistemas de IA, incorporando princípios de “IA confiável” – p.ex. justiça, transparência, robustez – e tem sido visto como uma ferramenta para operacionalizar os princípios do AI Bill of Rights na prática (AI Risk Management Framework | NIST) (AI Risk Management Framework | NIST) (Consenso: moderado – amplamente elogiado na comunidade técnica como avanço na governança de IA (AI Risk Management Framework | NIST), mas observado que sua adoção é voluntária, o que limita impacto sem apoio regulatório obrigatório).
Em resumo, o período 2020–2025 nos EUA é caracterizado teoricamente por uma transição de vácuos normativos para um pluralismo regulatório: mantêm-se os pilares setoriais (HIPAA, etc.) e de enforcement geral (FTC), mas com a emergência de novas normas estaduais gerais de privacidade e de princípios-guia federais para IA. Todos esses elementos formam a base para análise normativa a seguir. (Consenso geral sobre diagnóstico: elevado – há concordância de que os EUA entraram nos anos 2020 em uma “fase de transição” rumo a maior proteção de dados, embora de forma descentralizada (Data protection laws in the United States – Data Protection Laws of the World) (Data privacy laws in the United States (updated March 2025) | Didomi).)
Análise Normativa e Comparativa
Panorama Normativo nos Estados Unidos: Estados vs. União
Leis Estaduais de Privacidade: A Califórnia inaugurou a tendência de comprehensive privacy laws nos EUA com a CCPA (efetiva em 2020). Essa lei garante aos residentes da Califórnia direitos como acessar dados pessoais mantidos por empresas, solicitar exclusão, saber com quem seus dados foram compartilhados e optar para que seus dados não sejam vendidos a terceiros (Which States Have Consumer Data Privacy Laws?). A CPRA, em vigor desde 2023, ampliou esses direitos (introduzindo, por exemplo, o direito de correção de informações e o direito de limitar o uso de dados pessoais sensíveis, como dados de saúde, orientação sexual, origem étnica, etc.) (Which States Have Consumer Data Privacy Laws?). A CPRA também estabeleceu requisitos de “privacy by design” e avaliações de risco para usos de alto risco (como perfilização algoritmica), além de criar a agência reguladora estadual dedicada (Which States Have Consumer Data Privacy Laws?).
Logo após, a Virgínia aprovou sua lei (VCDPA, março/2021) (Which States Have Consumer Data Privacy Laws?), seguida pelo Colorado (CPA, julho/2021) (Which States Have Consumer Data Privacy Laws?), Utah e Connecticut (ambas em 2022). Até abril de 2025, 20 estados já haviam promulgado leis gerais de privacidade (Which States Have Consumer Data Privacy Laws?), cobrindo, além dos mencionados, estados como Iowa, Indiana, Texas, Tennessee, Montana, Oregon, Delaware, entre outros (Consenso: elevado – todas as fontes convergem nesse número aproximado de 20 estados (Which States Have Consumer Data Privacy Laws?) (Which States Have Consumer Data Privacy Laws?)). Essas leis possuem semelhanças influenciadas pela CCPA/CPRA e, em certa medida, pelo GDPR europeu, mas também diferenças importantes:
- Âmbito de Aplicação: As leis estaduais tipicamente aplicam-se a empresas que fazem negócios no estado ou direcionam serviços a residentes do estado e que atinjam certos critérios de porte ou volume de dados. Por exemplo, a CCPA/CPRA vale para empresas com faturamento anual > US$ 25 milhões, ou que processam dados pessoais de 100 mil ou mais consumidores, ou que obtenham 50% da receita com venda/compartilhamento de dados (Comparison Charts: U.S. State vs. EU Data Privacy Laws | Bloomberg Law). Já a lei da Virgínia aplica-se a controladores que processam dados de ≥100 mil residentes ou ≥25 mil residentes se obtiverem 50% da receita da venda de dados (Which States Have Consumer Data Privacy Laws?). Assim, microempresas podem ficar isentas, focando a regulação em companhias de médio/grande porte (Consenso: alto – analistas concordam que esses limiares visam excluir negócios pequenos de onerosidade excessiva (Comparison Charts: U.S. State vs. EU Data Privacy Laws | Bloomberg Law) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters)).
- Direitos dos Titulares: Em geral, todas as leis estaduais concedem direito de acesso aos dados pessoais (saber que dados a empresa tem sobre o indivíduo) e direito de exclusão (solicitar deleção de dados coletados) (Which States Have Consumer Data Privacy Laws?). Também é comum o direito de portabilidade (receber seus dados em formato utilizável) e o direito de opt-out de certos processamentos. A CCPA enfatiza o opt-out da venda de dados a terceiros (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org), enquanto Virgínia, Colorado e outras incluem opt-out de publicidade direcionada e de profiling para decisões automatizadas de impacto legal ou significativo (Which States Have Consumer Data Privacy Laws?). A CPRA (Califórnia) e as leis de VA/CO/CT/UT também introduzem o direito de correção de dados imprecisos (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (a CPRA a partir de 2023). Não há, todavia, um direito explícito de opt-in universal como no GDPR – o modelo americano é mais voltado a consentimento implícito com opção de opt-out, salvo para categorias especiais. Por exemplo, dados sensíveis (saúde, biométricos, geolocalização precisa, etc.) exigem consentimento explícito prévio em algumas leis (Virgínia, Colorado) ou pelo menos a oferta de opt-out específico (CPRA) (State Privacy Laws Map: Active and Passed (Updated 2023)) (State Privacy Laws Map: Active and Passed (Updated 2023)). (Nível de consenso: alto – as fontes mapeiam convergências nos direitos básicos entre as leis (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org), com pequenas variações.)
- Obrigações de Empresas: As empresas cobertas devem divulgar avisos de privacidade claros (informando que dados coletam, com que finalidade, com quem compartilham) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org). Devem honrar as solicitações dos titulares dentro de prazos (30-45 dias geralmente). Muitas leis obrigam avaliações de impacto de dados (Data Protection Assessments) para certos usos de alto risco, inspiradas nos DPIAs do GDPR (Which States Have Consumer Data Privacy Laws?). Por exemplo, a Virgínia requer avaliações para processamento visando ads direcionados, venda de dados e profiling de alto risco (Which States Have Consumer Data Privacy Laws?). O Colorado detalha ainda mais essa necessidade e prevê a implementação de um mecanismo universal de opt-out para consumo (como o sinal Do Not Sell ou Global Privacy Control) (State Privacy Laws Map: Active and Passed (Updated 2023)) (State Privacy Laws Map: Active and Passed (Updated 2023)). A Califórnia, via CPRA, outorgou poderes à sua agência para futuramente regular decisões automatizadas, e um esboço regulatório de 2023 propôs obrigações de transparência sobre algoritmos (exigindo que empresas revelem lógica de algoritmos significativos e permitam opt-out de ferramentas de IA em certos casos) (State Privacy Laws Map: Active and Passed (Updated 2023)) (State Privacy Laws Map: Active and Passed (Updated 2023)). Isso demonstra um movimento para incluir IA no escopo da privacidade, pelo menos quando decisões automatizadas afetam consumidores – mesmo sem legislar IA separadamente, as leis de privacidade a tangenciam (Consenso: moderado – há concordância de que esses regulamentos aproximam-se de questões de IA (State Privacy Laws Map: Active and Passed (Updated 2023)) (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler), embora especialistas discutam até que ponto leis de privacidade são veículo adequado para regulação algorítmica ampla).
- Aplicação e Sanções: Nas leis estaduais americanas, a aplicação principal é feita por autoridades públicas (tipicamente o Procurador-Geral do Estado – Attorney General). A Califórnia é exceção por ter a agência dedicada (CPPA) atuando em cooperação com o Procurador-Geral (Which States Have Consumer Data Privacy Laws?). As multas por descumprimento variam: na Califórnia, até US$ 2.500 por violação (ou por consumidor afetado) ou US$ 7.500 se for violação intencional ou envolvendo menores (Comparison Charts: U.S. State vs. EU Data Privacy Laws | Bloomberg Law); em Colorado e outros estados, as multas seguem padrões semelhantes via leis de práticas comerciais. Um ponto crucial: direito de ação privada – o GDPR permite que cidadãos processem diretamente empresas por violações de dados, mas as leis estaduais dos EUA em geral não conferem amplo direito de ação individual. A CCPA/CPRA só autoriza ações privadas em caso de violação de segurança (data breach) decorrente de falta de medidas adequadas (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org); fora isso, os indivíduos dependem da atuação das autoridades. Leis como VA, CO, UT, etc., não têm provisão para ação privada (Consenso: alto – há consenso que a ausência de ação privada foi compromisso para aprovação política dessas leis (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Maybe This Time : Federal Government Proposes the American …), visto como vitória de interesses corporativos que temiam litígios massivos).
Gráfico 1: Número de estados dos EUA com leis gerais de privacidade de dados aprovadas (2018–2025). Observa-se o crescimento acelerado a partir de 2021, atingindo 20 estados com tais leis até 2025, o que evidencia a tendência de “federalismo normativo” suprindo a inércia federal (Which States Have Consumer Data Privacy Laws?) (Consenso: elevado, amplamente reconhecido que estados lideraram a proteção de dados nos EUA nesse período (Data protection laws in the United States – Data Protection Laws of the World) (Which States Have Consumer Data Privacy Laws?)).
(image Gráfico 1: Evolução do número de estados norte-americanos com leis gerais de privacidade de dados (2018–2025). Fonte: compilação a partir de dados legislativos estaduais (Which States Have Consumer Data Privacy Laws?).
Em paralelo às leis gerais de privacidade, existem leis estaduais específicas ou setoriais relevantes: destaque para a Illinois Biometric Information Privacy Act (BIPA), lei pioneira (2008) que ganhou protagonismo em 2020–25 por proteger dados biométricos (exigindo consentimento informado para coleta de impressões digitais, reconhecimento facial, etc., e permitindo ação civil privada) – sob ela, empresas de tecnologia enfrentaram multas milionárias (ex: caso Facebook – US$ 650 milhões em 2020 por uso de reconhecimento facial em fotos sem consentimento) e a controversa Clearview AI foi processada por coletar imagens da internet para identificação facial (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine). Vários estados seguiram com leis de biometria (Texas, Washington), e municípios baniram uso governamental de reconhecimento facial (São Francisco, Boston em 2020, etc.), refletindo preocupação local com IA de vigilância (Consenso: alto sobre preocupações – coalizões de direitos civis impulsionaram essas medidas, apesar da resistência de setores de segurança pública (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts)).
Iniciativas Federais Consolidadas: Em contraste com a colcha de retalhos estadual, houve esforços notáveis em nível federal entre 2020 e 2025, embora nenhum resulte (até 2025) em uma lei geral aprovada. A American Data Privacy and Protection Act (ADPPA) – um projeto bipartidário de 2022 – chegou perto de ser votado, propondo uma lei nacional de privacidade. O ADPPA visava impor obrigações a empresas em todo o país e, crucialmente, preemptaria grande parte das leis estaduais em favor de um padrão único (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). Esse ponto gerou intenso debate de preempção: congressistas da Califórnia, apoiados por defensores dos consumidores e direitos civis (p.ex. ACLU), se opuseram a um modelo que “nivelasse por baixo” e suplantasse proteções estaduais mais fortes (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts). Por outro lado, setores da indústria tecnológica e legisladores alinhados argumentaram que uma lei federal com preempção facilitaria a conformidade e evitaria um patchwork complexo e oneroso de 50 regras diferentes (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts). O impasse girou também em torno do direito de ação privada federal – defensores queriam que a lei permitisse que indivíduos processassem violações, enquanto o lobby empresarial preferia restringir a enforcement a agências. Até 2025, nenhum compromisso foi alcançado, e o ADPPA não foi aprovado (Consenso: alto quanto aos fatos – há concordância geral de que preempção e direito de ação foram obstáculos principais (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (U.S. House Republicans Reignite Efforts to Pass Federal Privacy Law); consenso dividido quanto à posição normativa – grupos corporativos e de direitos civis têm visões opostas sobre preempção, ver seção seguinte). Outros projetos, como o Online Privacy Act e a Privacy Bill of Rights, também não avançaram no Congresso (em parte ofuscados pelo ADPPA).
Apesar disso, houve avanços institucionais: a FTC iniciou em 2022 procedimentos para possivelmente editar regras sobre “comercial surveillance” e dados, visando regulamentar por via administrativa aspectos de privacidade e algoritmos (ainda em consulta em 2025). No campo da IA, além do AI Bill of Rights mencionado na Fundamentação Teórica, o governo Biden emitiu a Ordem Executiva 14091 (fev/2023) promovendo equidade racial inclusive em tecnologias de IA governamentais, e agências como EEOC e Departamento de Justiça lançaram orientações para aplicação das leis antidiscriminação em sistemas automatizados (ex: o EEOC em 2022 alertou que algoritmos de recrutamento não podem violar o Título VII – igualdade no emprego – e iniciou casos de teste). Em resumo, no plano federal consolidado, o período foi de tentativas de marco geral frustradas, mas com uso incremental de mecanismos regulatórios alternativos – regras administrativas e enforcement agressivo – para endereçar lacunas. (Consenso: alto – análises convergem que o vácuo legislativo federal persistiu, exigindo atuação de “segunda via” por agências (Data protection laws in the United States – Data Protection Laws of the World) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters).)
Disputa entre Regulação Estadual e Federal: “Floor vs. Ceiling”
A proliferação de leis estaduais reacendeu a questão: a eventual lei federal de privacidade deveria suplantar (preempt) as estaduais, criando um “teto” uniforme, ou estabelecer um piso mínimo permitindo que estados mantenham regras mais rígidas? Esse debate jurídico-político foi central entre 2020-2025.
- Perspectiva dos Estados e ativistas (Floor): Defendem que a lei federal sirva de piso, garantindo direitos básicos nacionalmente, mas preservando a autonomia dos estados de impor proteções adicionais. Argumentam que muitas leis federais de consumo (por exemplo, normas de segurança de produtos, direitos do consumidor) historicamente não preemptam leis estaduais mais protetivas ([PDF] Local, State, and National Advocacy Concerns with APRA’s … – ACLU). A posição, articulada por entidades como a ACLU e procuradores de estados pioneiros (Califórnia), é que preempção total arriscaria “nivelar por baixo” a privacidade: uma vez que vários estados (CA, CO, etc.) adotaram padrões fortes, uma lei federal inferior poderia retroceder direitos de seus residentes (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts). Citam também a dinâmica de laboratórios regulatórios: os estados testam abordagens inovadoras (como a agência da Califórnia, ou as exigências de opt-out universal no Colorado) que poderiam ser sufocadas pela preempção. A senadora L. Cantwell (principal autora do concorrente American Privacy Rights Act – APRA, 2022) advogou contra preempção ampla, ecoando esse entendimento. Em suma, esse grupo busca garantir que a lei nacional não impeça proteções locais mais amplas, especialmente diante de novas tecnologias (Consenso entre defensores: elevado – coalizões de privacidade e vários democratas são coesos nessa posição (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts)).
- Perspectiva Corporativa e de alguns legisladores (Ceiling): Grandes empresas de tecnologia e comércio argumentaram veementemente a favor de preempção federal, buscando uma regra nacional única que substitua o mosaico estadual (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts). Eles alegam que conformar-se a múltiplas leis (com diferenças sutis de definições e procedimentos) aumenta custos e insegurança jurídica, especialmente para negócios inter-estaduais. Por exemplo, empresas com clientes em todos os EUA devem hoje implementar mecanismos variados: atender pedidos de exclusão sob Califórnia, sinais de opt-out global sob Colorado, distinções em dados sensíveis sob Virgínia, etc., o que é complexo. Assim, a indústria pressiona por um “portanto os EUA carecem de uma lei federal abrangente” (o chamado call for one federal standard) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). Porém, com essa unificação, tipicamente advogam que a lei federal seja menos onerosa – muitos apoiaram o texto do ADPPA justamente porque preemption evitaria ter que cumprir a CPRA californiana integralmente (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). Essa facção frequentemente resiste a direitos de ação privada amplos, preferindo enforcement apenas governamental. Em suma, veem a preempção como forma de garantir segurança jurídica nacional e evitar um “Frankenstein regulatório” (Consenso no setor: alto – praticamente todas as associações empresariais de tecnologia e comércio defenderam preempção (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters); já entre acadêmicos há visões mistas, alguns apoiando uniformidade, outros alertando para redução de direitos (Maybe This Time : Federal Government Proposes the American …) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts)).
Estado Atual: Até 2025, a disputa floor vs. ceiling permanece em aberto. O projeto ADPPA de 2022 tentou uma via intermediária – preempção da maioria das leis estaduais exceto algumas específicas (e.g. não afetaria a BIPA de Illinois nem certas partes da CPRA sobre notificações de violação) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). Ainda assim, a resistência da Califórnia em abrir mão de sua lei foi decisiva para travar o projeto (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). No Senado, a APRA (alternativa) optava pelo piso, mas não andou. Assim, o país segue com abordagens diferentes convivendo, o que gera incerteza: empresas adaptam programas de conformidade a múltiplas jurisdições, enquanto consumidores em alguns estados têm mais direitos que em outros – um desequilíbrio que tanto liberais quanto conservadores reconhecem como problemático, embora discordem da solução (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Heated Debate Surrounds Proposed Federal Privacy Legislation) (Consenso: alto quanto à constatação do problema – “patchwork” é quase unanimemente citado como insustentável (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Which States Have Consumer Data Privacy Laws?); baixo quanto à solução – o Congresso permanece dividido). Esta tensão federativa é comparável a outras áreas (como proteção ambiental ou defesa do consumidor) em que regras estaduais mais avançadas precederam a federal. A expectativa, respaldada pelo histórico, é de que se uma lei nacional vier, definirá um padrão mínimo e alguma forma de preempção seletiva – mas o equilíbrio entre uniformidade e salvaguarda de experimentações locais seguirá como ponto nevrálgico do direito digital americano.
Perspectiva Internacional: União Europeia e China
Para melhor compreender o contexto regulatório dos EUA, é instrutivo compará-lo às duas outras principais jurisdições que avançaram marcos de privacidade e IA nos anos recentes: União Europeia e China. Ambas adotaram abordagens abrangentes e centralizadas, porém com filosofias distintas, oferecendo um contraponto ao modelo americano descentralizado.
União Europeia (GDPR e além): A UE é frequentemente o paradigma de referência. O General Data Protection Regulation (GDPR), em vigor desde 2018, é uma lei uniforme que se aplica a todos os países-membros e também a empresas estrangeiras que processem dados de residentes europeus. O GDPR consagra a privacidade como um direito fundamental e impõe um regime de consentimento ou bases legais explícitas para o tratamento de dados pessoais (CCPA vs GDPR: Key Differences and Similarities – Usercentrics) (Comparison Charts: U.S. State vs. EU Data Privacy Laws | Bloomberg Law). Comparativamente:
- O GDPR abrange qualquer entidade que processe dados pessoais, sem mínimos de faturamento ou volume (ou seja, não há isenção por porte como nas leis americanas) (Comparison Charts: U.S. State vs. EU Data Privacy Laws | Bloomberg Law) (Comparison Charts: U.S. State vs. EU Data Privacy Laws | Bloomberg Law). Ele é setorialmente neutro (cobre todos os setores, com exceções limitadas como segurança nacional) (Comparison Charts: U.S. State vs. EU Data Privacy Laws | Bloomberg Law). Isso contrasta com o panorama dos EUA, onde a ausência de lei federal abrangente significa que muitos dados do cotidiano (ex: compras online, uso de redes sociais) só são regulados via as leis estaduais ou não são regulados de forma específica se não estiverem em um dos setores federais cobertos (Data protection laws in the United States – Data Protection Laws of the World).
- Os direitos individuais sob o GDPR são mais extensos: além de acesso, retificação, apagamento (“direito ao esquecimento”), portabilidade e objeção a processamentos, o GDPR confere o direito de não se sujeitar a decisões automatizadas que produzam efeitos legais ou significativamente similares, sem intervenção humana, salvo exceções (art. 22) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org). As leis americanas geralmente não garantem explicitamente esse nível de proteção contra decisões algorítmicas – por exemplo, um consumidor nos EUA não tem, via lei de privacidade, o direito de exigir revisão humana de uma recusa de crédito feita por algoritmo (ele pode ter proteções pela Equal Credit Opportunity Act, mas não um direito generalizado como no GDPR). A Califórnia planeja regulamentar decisões automatizadas via CPPA, mas isso ainda não estava efetivo em 2025 (State Privacy Laws Map: Active and Passed (Updated 2023)) (State Privacy Laws Map: Active and Passed (Updated 2023)). (Consenso: alto – há acordo de que o GDPR apresenta um catálogo de direitos mais amplo que qualquer lei individual nos EUA (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org).)
- Obrigações e princípios como minimização de dados, limitação de finalidade e privacy by design são mandatórios no GDPR, orientando que se colete apenas o necessário e se proteja os dados desde a concepção de sistemas. Já a maioria das leis americanas não codificam explicitamente tais princípios (embora práticas de data minimization sejam recomendadas pela FTC e apareceram, por exemplo, no ADPPA proposto).
- Fiscalização: O GDPR criou autoridades de proteção de dados independentes em cada país, coordenadas por um Comitê Europeu. As multas podem chegar a 4% do faturamento global anual de uma empresa (CCPA vs GDPR: Key Differences and Similarities – Usercentrics) – penalidades de escala sem precedentes, efetivamente aplicadas (p.ex., multa de €746 milhões à Amazon em 2021 por infrações de privacidade). Nos EUA, até 2025, nenhuma multa sob leis estaduais chega perto desse montante; as punições se contavam em poucos milhões de dólares (ex: a primeira ação pública da CCPA foi contra a Sephora em 2022, multa de US$ 1,2 milhão (Which States Have Consumer Data Privacy Laws?)). Mesmo somando sanções da FTC (ex: Facebook foi multado em US$ 5 bilhões em 2019 por violar um consentimento anterior), a capacidade dissuasória percebida do GDPR é vista como maior, por ter bases legais mais amplas e multas proporcionais ao porte das empresas (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC) (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC).
Em síntese, a UE adotou uma abordagem centralizada, de amplo espectro e fundamentada em direitos do indivíduo, servindo de inspiração para muitas disposições das leis estaduais americanas (a ponto de estudos mostrarem que o GDPR influenciou políticas internas de empresas americanas mais do que a CCPA inicialmente (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC) (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC)). No entanto, os EUA não importaram integralmente o modelo europeu, em parte por diferenças culturais e jurídicas (na Europa privacidade é um direito da personalidade com status quase constitucional, nos EUA tende a ser tratado mais como questão de consumo e comércio). Essa diferença filosófica cria tensões transatlânticas, por exemplo, quanto a transferências internacionais de dados: a UE só permite transferência de dados pessoais a países com “nível adequado” de proteção. Em 2020, a Corte Europeia (caso Schrems II) invalidou o acordo de transferência UE-EUA (Privacy Shield) alegando que a falta de direitos federais de privacidade nos EUA e a extensão dos programas de vigilância de inteligência americanos (como PRISM, sob FISA 702) tornavam a proteção “inadequada” (Schrems II and Beyond: EU-US International Data Transfers) (Schrems II: EU-US Privacy Shield Struck Down, but European …). Isso levou, em 2022-23, a negociações e à adoção do EU-US Data Privacy Framework com compromissos americanos de limitar acesso de inteligência e criar mecanismo de recurso para cidadãos da UE (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). Em julho de 2023 a Comissão Europeia reconheceu os EUA (especificamente as entidades aderentes a esse novo acordo) como adequados novamente (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). Contudo, organizações de privacidade (p.ex. NOYB, de Max Schrems) mantêm ceticismo e já preveem novo desafio judicial (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). Esse episódio ilustra como a ausência de uma lei federal robusta nos EUA se tornou um entrave para a soberania digital e o fluxo internacional de dados – forçando o Executivo a medidas administrativas específicas. (Consenso: alto – a comunidade internacional concorda que a fragmentação e a vigilância americana conflitam com as exigências europeias, vide repetidas invalidações de acordos de transferência (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (EU-US Data Privacy Framework: A brief history | Blog | OneTrust).)
China (PIPL e governança de IA): A China, por sua vez, promulgou em 2021 a Personal Information Protection Law (PIPL), frequentemente comparada ao GDPR pela abrangência. A PIPL é parte de um trio de leis de segurança de dados (inclui a Cybersecurity Law de 2017 e a Data Security Law de 2021) que consolidam a estratégia de soberania digital chinesa. Características principais da PIPL:
- Assim como o GDPR, ela tem aplicação extraterritorial – empresas estrangeiras lidando com dados de indivíduos na China estão sujeitas a ela (PIPL vs GDPR – Key Differences and Implications for Compliance in China) (PIPL vs GDPR – Key Differences and Implications for Compliance in China). Define dados pessoais de forma abrangente e requer bases legais para tratamento (consentimento do indivíduo é a principal, mas permite exceções como necessidade contratual, interesse público, etc., similares ao GDPR) (PIPL vs GDPR – Key Differences and Implications for Compliance in China) (PIPL vs GDPR – Key Differences and Implications for Compliance in China). Os direitos garantidos incluem acesso a dados, correção, exclusão e possibilidade de retirar consentimento (PIPL vs GDPR – Key Differences and Implications for Compliance in China). Há previsão de que indivíduos possam processar controladores por violações (e governo pode apoiar ações coletivas), embora, na prática, a aplicação seja majoritariamente administrativa.
- Uma distinção marcante é a ênfase em segurança nacional e governamental: A PIPL impõe restrições fortes à transferência internacional de dados – empresas que coletam grande volume de dados na China devem armazená-los domesticamente e passar por avaliações de segurança para exportá-los (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (PIPL vs GDPR – Key Differences and Implications for Compliance in China). Isso reflete a política de localização de dados (data localization) – parte do esforço da China em manter “soberania cibernética”. Por exemplo, informações de infraestrutura crítica ou grandes bases de dados de cidadãos não podem ser livremente enviadas a servidores estrangeiros (PIPL vs GDPR – Key Differences and Implications for Compliance in China) (PIPL vs GDPR – Key Differences and Implications for Compliance in China). Diferentemente do GDPR, que permite transferência mediante cláusulas ou adequação, a PIPL (combinada com a DSL) demanda mecanismos mais estritos e, em certos casos, proíbe ou dificulta saídas de dados (PIPL vs GDPR – Key Differences and Implications for Compliance in China) (PIPL vs GDPR – Key Differences and Implications for Compliance in China). (Consenso: alto – analistas concordam que a PIPL incorpora uma visão de segurança nacional além da privacidade individual, restringindo fluxos transfronteiriços bem mais que o Ocidente (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (PIPL vs GDPR – Key Differences and Implications for Compliance in China).)
- Fiscalização: A PIPL é aplicada por agências estatais poderosas (Administração do Ciberespaço da China – CAC, Ministério da Indústria e TI, etc.). As multas podem chegar a ¥50 milhões ou 5% do faturamento anual (GDPR vs China PIPL [Infographic] – CookieYes), e a lei prevê penalidades pessoais a responsáveis e até punições criminais em casos graves. Essa severidade ocorre num contexto de enforcement significativo: já em 2021-2022, autoridades chinesas multaram empresas como a DiDi Global em US$ 1,2 bilhão por violações de segurança de dados (sob DSL e PIPL) e ordenaram retificações de práticas.
Em relação à IA, a China optou por regulações específicas e céleres: regulamentações administrativas para algoritmos de recomendação (Provisão 2022) obrigam provedores a registrar algoritmos e oferecer opção de desligar recomendações personalizadas; regras sobre deepfakes (2022) exigem marcações e consentimento; em 2023, a China expediu medidas provisórias para IA generativa, requerendo licenciamento para certos serviços e censura de conteúdos proibidos. Em síntese, a China combina uma lei geral de dados estilo GDPR com controles estatais rígidos e regulação dedicada de tecnologias de IA – visando tanto proteger usuários quanto manter o controle governamental sobre o ecossistema digital.
Comparação Essencial: A UE prioriza direitos individuais e livre fluxo responsável (entre países adequados), a China prioriza controle estatal e restrição de fluxos (dado temor de influência estrangeira e fuga de dados), enquanto os EUA historicamente priorizaram a liberdade de negócio e inovação, ficando para trás em uma proteção unificada. Entretanto, a onda regulatória estadual nos EUA e o engajamento recente do governo americano em diretrizes de IA indicam que os EUA estão tentando reduzir o gap regulatório em relação a UE/China (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). Em 2025, podemos dizer que:
- Em privacidade, UE > EUA em abrangência de direitos e coerência normativa (consenso altíssimo entre especialistas (Data protection laws in the United States – Data Protection Laws of the World) (Data privacy laws in the United States (updated March 2025) | Didomi)),
- China > EUA em controle sobre dados e IA (embora sob viés governamental, não de liberdades civis – um “paradoxo”: China dá forte proteção no uso corporativo de dados pessoais, mas não limita o acesso do Estado; já os EUA têm restrições constitucionais ao Estado, mas pouco regulam o setor privado em comparação).
- Contudo, EUA ≠ vácuo: através de múltiplos instrumentos (leis estaduais, enforcement FTC, etc.), os EUA aplicam proteções relevantes – por exemplo, empresas globais frequentemente estendem a todos os usuários certos padrões dados pela GDPR (por praticidade e pressão social). Muitas grandes empresas americanas aderiram voluntariamente a selos ou práticas globais de privacidade influenciadas pela GDPR (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC) (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC). Assim, do ponto de vista prático, cidadãos americanos começaram a desfrutar de mais direitos em 2020-25 do que antes, ainda que de forma desigual e menos garantida por lei que europeus ou chineses.
(Nível de consenso: elevado quanto ao papel de liderança da UE e à rigorosidade da China (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (PIPL vs GDPR – Key Differences and Implications for Compliance in China); médio quanto à efetividade do modelo americano – alguns observadores creem que a autorregulação e leis fragmentadas são insuficientes, enquanto outros ressaltam a inovação e o dinamismo econômico mantidos pela flexibilidade maior nos EUA (Data privacy laws in the United States (updated March 2025) | Didomi) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts).)
Impactos e Implicações Práticas
Para Empresas de Tecnologia e Economia Digital
A proliferação de leis de privacidade e as primeiras normas sobre IA tiveram efeitos significativos nas empresas de tecnologia nos EUA. De 2020 a 2025, as grandes corporações (Big Tech, varejistas online, data brokers) enfrentaram novos requisitos de compliance: criar portais de atendimento a direitos do consumidor (para gerir pedidos de acesso/exclusão), reavaliar políticas de dados, inserir avisos de opt-out de venda de informações, e implementar medidas de segurança mais robustas para evitar incidentes que possam gerar multas e responsabilidade (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org). Estudos apontam que adequar-se ao CCPA e leis similares custou dezenas de milhões de dólares para grandes empresas, envolvendo equipes jurídicas e de TI dedicadas (Consenso: alto – amplamente reportado aumento de investimentos corporativos em privacidade pós-CCPA (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC) (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine)). Empresas menores, em contrapartida, por vezes ficaram de fora do escopo (pelos limiares de aplicação), aliviando-as de custo regulatório direto – porém, se atuam como fornecedoras de dados para empresas cobertas, acabaram envolvidas contratualmente em obrigações (ex: grandes contratantes exigindo conformidade de seus parceiros).
Do ponto de vista estratégico, as corporações de tecnologia em geral adotaram uma postura pública de apoio a uma lei federal uniforme (conforme discutido, visando um cenário regulatório claro) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters), ao mesmo tempo em que se adaptavam ao patchwork existente. Muitas empresas aplicaram voluntariamente certos direitos a todos os usuários nos EUA – por exemplo, várias Big Tech permitiram que usuários de qualquer estado solicitassem exclusão de dados ou baixassem uma cópia de seus dados, inspiradas pelo GDPR e CCPA, mesmo antes de serem obrigadas em todos os locais. Essa tendência de “elevar pelo padrão global” ocorreu por praticidade operacional e pressão do mercado por transparência (Consenso: moderado – há evidências de empresas estendendo práticas, mas também casos de geo-discriminarem recursos conforme a lei mínima exigida (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC) (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC)).
Um efeito colateral para negócios foi o surgimento de um mercado de tecnologia de conformidade: softwares de gestão de consentimento, de atendimento de direitos (DSAR – Data Subject Access Request), soluções de privacy tech se multiplicaram, sinalizando que a privacidade tornou-se matéria de governança corporativa de primeira linha. Pesquisas indicaram consenso entre executivos de que a privacidade de dados é agora um fator competitivo – empresas que respeitam a privacidade podem ganhar mais confiança do consumidor (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) (Data privacy laws in the United States (updated March 2025) | Didomi) (Consenso: alto – tanto relatórios da Deloitte, Cisco quanto declarações de CISOs confirmam essa visão).
Por outro lado, preocupações corporativas persistem: as empresas temem que a multiplicidade de requisitos dificulte a inovação com dados e IA. Por exemplo, startups menores expressaram receio de que as exigências de compliance representem barreiras à entrada, possivelmente favorecendo incumbentes com mais recursos para compliance (um fenômeno apontado na UE pós-GDPR também) (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC) (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC). No campo da IA, empresas que desenvolvem modelos preditivos ou utilizam algoritmos de machine learning precisam agora considerar potenciais vieses e documentar decisões, especialmente se atuam em setores regulados (financeiro, emprego) ou em estados com exigências de auditoria algorítmica (como o caso de Nova York para RH (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler)). Várias empresas, antevendo regulamentação futura, começaram voluntariamente a implementar avaliações éticas de IA e comitês internos para examinar sistemas automatizados críticos, numa abordagem de self-governance.
Em resumo, para o setor empresarial, o período 2020-2025 marcou a transição de um cenário de “far west” dos dados (Data privacy laws in the United States (updated March 2025) | Didomi) para um ambiente em que privacidade e uso responsável de IA são fatores legais e reputacionais incontornáveis. Empresas que lidam com dados pessoais em larga escala passaram a incorporar a conformidade regulatória em seu core business, semelhante ao que ocorreu com compliance financeiro pós-Lei Sarbanes-Oxley (Consenso: alto – raramente hoje uma grande empresa tech deixará de ter um Chief Privacy Officer ou programas de ética em IA, o que era incomum uma década atrás (Data privacy laws in the United States (updated March 2025) | Didomi) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts)). Ao mesmo tempo, ainda há incerteza normativa (com possíveis novas leis a caminho), o que requer das empresas agilidade adaptativa nas práticas de dados.
Para Cidadãos e Sociedade Civil
Do ponto de vista dos cidadãos americanos, o impacto principal das novas leis de privacidade foi conferir-lhes direitos até então inexistentes sobre suas informações pessoais. Antes de 2020, fora casos específicos (crianças, pacientes médicos, etc.), consumidores em geral não podiam legalmente solicitar a uma empresa: “me diga que dados meus você tem e apague-os”. A partir da vigência do CCPA e afins, milhões de residentes (inicialmente da Califórnia, depois outros estados) passaram a ter essa prerrogativa. Houve um aprendizado gradual: no primeiro ano do CCPA, apenas uma parcela modesta de consumidores exerceu esses direitos, mas o volume de solicitações de opt-out e deleção aumentou anualmente conforme a conscientização cresceu (Which States Have Consumer Data Privacy Laws?). Empresas relataram picos de requisições após escândalos midiáticos de privacidade ou quando disponibilizaram ferramentas fáceis (por exemplo, a função “Excluir tudo” em serviços). Grupos de defesa do consumidor realizaram campanhas educativas para que as pessoas utilizassem seus novos direitos, enquanto procuradores estaduais fizeram cumprir as leis, reforçando a confiança de que as disposições não ficariam só no papel (ex.: a ação contra a Sephora na Califórnia em 2022, por vender dados apesar do Do Not Sell, serviu de alerta público) (Which States Have Consumer Data Privacy Laws?).
Apesar disso, desafios permanecem para os cidadãos: a falta de padronização torna difícil saber quais direitos valem para si – um residente de Nova York em 2025, por exemplo, não tinha lei estadual abrangente aprovada; se usar serviços de uma empresa sediada na Califórnia, possivelmente teria aqueles direitos pela empresa estender a todos, mas não por obrigação legal direta. Essa desigualdade geográfica levanta questões de justiça digital. De fato, críticos apontam que residentes de estados sem leis específicas ficaram dependentes da autorregulação empresarial, potencialmente recebendo menor proteção (Consenso: moderado – há reconhecimento do problema, mas alguns argumentam que grandes empresas aplicam as mesmas práticas a todos os usuários dos EUA por eficiência, atenuando a disparidade (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC)).
Para a sociedade civil e liberdades civis, os anos 2020-25 trouxeram tanto ganhos quanto preocupações persistentes. Organizações como EFF, EPIC e ACLU comemoraram a passagem das leis estaduais de privacidade como vitória do direito à privacidade do indivíduo e pressionaram por mais (federal). Elas também atuaram fortemente contra usos de IA que julgam invasivos ou discriminatórios: houve sucesso em proibir reconhecimento facial por órgãos públicos em algumas cidades, influenciar a FTC a adotar postura firme contra IA enganosas e a pressionar por transparência nos algoritmos que afetam direitos (ex.: algoritmos de liberação de sentenças criminais, sistemas de pontuação de crédito). A campanha “Ban Facial Recognition” argumentou que a tecnologia, sem salvaguardas, viola liberdades civis e o direito à privacidade; isso encontrou respaldo na população em certos locais, levando a moratórias. Por outro lado, defensores de direitos civis expressaram preocupação de que a falta de uma lei federal abrangente deixasse brechas, especialmente quanto à vigilância governamental. Por exemplo, a Patriot Act e as práticas de coleta da NSA não foram diretamente endereçadas pelas novas leis (que se focam no setor privado). Assim, o cidadão americano ainda carece de garantias robustas contra vigilância eletrônica em massa – ao contrário dos europeus, que através do GDPR e da jurisprudência (caso Schrems) indiretamente ganharam proteção contra transferência de seus dados a sistemas de vigilância dos EUA (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). Em resposta, a sociedade civil nos EUA pressionou por reformas de vigilância (p.ex. expiração do trecho 702 da FISA em 2023 exigiu debate sobre renovação com mais salvaguardas de privacidade), mas esse é um campo fora do escopo das leis de privacidade analisadas aqui, embora intimamente ligado em termos de soberania digital e liberdades.
No concernente à soberania digital – entendida como a capacidade de um país ou bloco de ditar regras sobre o espaço digital que afetam seus cidadãos e empresas – a União Europeia e a China se destacaram, e os EUA enfrentaram implicações: a já mencionada dificuldade de atender exigências da UE para fluxos de dados forçou os EUA a se adaptarem (via ordem executiva de 2022 criando um tribunal de revisão de queixas de europeus sobre abuso de dados por agências americanas) (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). Em outro vetor, os EUA viram seu poder de moldar padrões globais de IA ser desafiado pelo ativismo regulatório europeu (com a UE elaborando a Lei de IA em tramitação) e pela velocidade chinesa. Ainda assim, empresas americanas de IA dominam globalmente em inovação, e o governo dos EUA começou a articular políticas de IA confiável para preservar liderança tecnológica com responsabilidade. Em 2023, sob coordenação da Casa Branca, várias big tech americanas (OpenAI, Google, Meta, etc.) voluntariamente assumiram compromissos de segurança e ética em IA (como testes externos, divulgação de vieses) – um movimento interpretado como tentativa de autorregulação preventiva para evitar regulações mais rígidas e conservar a confiança do público.
Em suma, para os cidadãos, a última metade da década de 2010 e começo de 2020 trouxe avanços palpáveis em privacidade, mas também revelou o caminho que falta percorrer para uma proteção uniforme e compreensível. A consciência pública sobre privacidade aumentou (mais pessoas usando ad blockers, gerenciando cookies, lendo políticas de dados – ainda que muitos as aceitem sem ler, a GDPR e as leis de cookies globalmente acabaram educando indiretamente usuários americanos também). Liberdades civis obtiveram algumas vitórias (limitando usos de IA intrusivas localmente), porém continuam alertas contra a vigilância e discriminação algorítmica. Soberania digital tornou-se um conceito discutido nos EUA talvez pela primeira vez, muito em função do embate com normas estrangeiras – isso pode levar, segundo especialistas, a maior empenho dos EUA em estabelecer suas próprias regras de referência, para não ficarem somente reagindo a UE e China (Consenso: moderado – alguns analistas veem os EUA agora engajando em “diplomacia digital” e formulando estratégias, enquanto outros consideram que o país ainda age pontualmente e que precisa de legislação para realmente liderar (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts)).
Interesses Corporativos vs. Direitos Civis: Equilíbrio e Tensões
É importante destacar as diferentes lentes ideológicas pelas quais se avaliam esses impactos. De uma perspectiva mais liberal (pró-regulação e direitos civis), os avanços legislativos são bem-vindos, mas ainda insuficientes: argumenta-se que sem um “Privacy Bill of Rights” federal, os americanos continuarão com proteção fragmentada e sujeita aos humores do mercado (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts). Organizações civis sustentam que privacidade é essencial à liberdade de expressão e à autonomia individual, e pedem mais restrições à coleta massiva de dados, veto a tecnologias intrusivas (como reconhecimento facial policial, credit scoring oculto) e mecanismos fortes de responsabilização das empresas (incluindo ação judicial privada) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts). Esses grupos muitas vezes invocam a UE como prova de que é possível combinar inovação com altos padrões de privacidade, e alertam contra o lobby corporativo que busca preempção como tentativa de “enfraquecer direitos emergentes” (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). Em resumo, do lado dos direitos civis, o ideal defendido é uma estrutura onde as liberdades individuais sejam prioritárias, vendo com ceticismo iniciativas que possam diluir conquistas estaduais.
Já sob uma ótica mais conservadora ou pró-mercado, alguns argumentam que o excesso de regulação pode sufocar a inovação e a competitividade das empresas americanas, especialmente em IA. Eles apontam para os custos e ineficiências do mosaico estatal e temem que normas demasiadamente restritivas (por ex., exigir consentimento explícito para muitas atividades de dados) possam onerar desproporcionalmente negócios, especialmente startups, e reduzir opções para consumidores (como serviços gratuitos financiados por publicidade dirigida) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). Esse lado tende a preferir autorregulação e padrões flexíveis, confiando que reputação e escolha do consumidor ajustem comportamentos das empresas. Defensores dessa posição destacam o impacto econômico positivo do modelo americano de dados aberto que permitiu o florescimento de gigantes de tecnologia e argumentam que restrições severas (à la GDPR) poderiam ter impedido algumas inovações de chegarem ao mercado (Data privacy laws in the United States (updated March 2025) | Didomi). Também enfatizam a importância de não sobrecarregar empresas domésticas em relação a concorrentes estrangeiros (há quem veja as regras da UE e China como possivelmente protecionistas). Assim, muitos nessa linha apoiam uma lei federal uniforme e “leve”, que dê direitos básicos ao consumidor sem as complexidades do GDPR, e que preempte as estaduais para garantir simplicidade (Consenso entre indústria e alguns legisladores: alto, conforme discutido) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). Essa visão, contudo, reconhece a necessidade de alguma regulação – o vácuo total já não é defendido abertamente por quase ninguém em 2025, dado o clamor popular por privacidade (até empresas adaptaram seu discurso para valorizar privacidade do usuário em marketing, algo impensável anos antes).
O equilíbrio entre esses interesses é o grande desafio regulatório. Até 2025, ele vem sendo buscado caso a caso: na Califórnia, por exemplo, o CPRA foi fruto de compromisso – manteve fortes direitos (vitória dos defensores), mas continuou sem ação privada ampla e com exceções para não prejudicar pequenas empresas (ponto para o lado corporativo). No ADPPA proposto, víamos outro compromisso: incluía proibição de anúncios direcionados a menores de 17 anos e limites estritos a coleta de dados sensíveis (atendendo preocupações civis), mas ao mesmo tempo preemptaria leis estaduais (um aceno ao setor empresarial) (Privacy Bill Faceoff: Comparing the APRA and ADPPA | ITIF) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). A não aprovação indicou que o ponto de equilíbrio ainda não foi consensualmente encontrado.
No campo da IA, a tensão se manifesta, por exemplo, no debate sobre regulação de algoritmos em RH: Nova York aprovou (2021) a obrigatoriedade de auditoria de viés em algoritmos de contratação (visto como ganho pelos defensores de igualdade), porém associações empresariais alertaram para o risco de responsabilidade excessiva e o fato de que “algoritmos por si só não resolvem discriminação, mas também não devem ser demonizados se bem projetados”. Até o uso de IA em moderação de conteúdo online gera divisão: regulações de IA poderiam conflitar com a liberdade de expressão e com o regime de imunidade (Section 230) – um debate mais ligado à esfera de discurso, mas tangente à IA.
Em conclusão, interesses corporativos e de direitos civis não são irreconciliáveis – ambos buscam, em última análise, um ambiente digital confiável, mas diferem em ênfase: empresas pedem clareza e viabilidade operacional, ativistas pedem robustez e abrangência na proteção de direitos. O período 2020-2025 mostrou avanços impulsionados por vozes de direitos civis (que originaram leis estaduais fortes) e algum engajamento construtivo de empresas (muitas se adequando e algumas até excedendo requisitos mínimos). O nível de consenso entre todos os atores aumentou no sentido de reconhecer que a privacidade e a governança de IA são temas centrais e permanentes – hoje raros são aqueles que defendem “nenhuma regulação” ou “regulação totalizante a qualquer custo”; a discussão migra para qual a melhor regulação. Essa maturidade do debate é um legado importante do quinquênio.
Estudos de Caso
Para ilustrar concretamente como as questões legais se desenrolaram, analisamos brevemente alguns casos emblemáticos no período:
Caso 1: Aplicação da Lei de Privacidade – People vs. Sephora (Califórnia, 2022). A Sephora, gigante do varejo de cosméticos, foi uma das primeiras empresas sancionadas sob a CCPA. Investigação do Procurador-Geral da Califórnia revelou que a Sephora compartilhava dados dos consumidores (como histórico de compras e geolocalização) com terceiros para fins de publicidade comportamental, caracterizando “venda de dados” segundo a lei, sem oferecer a opção de opt-out de forma adequada (Which States Have Consumer Data Privacy Laws?). Além disso, a Sephora não respeitava o sinal global de privacidade (Global Privacy Control) enviado pelos navegadores dos usuários (um mecanismo padronizado para opt-out automático). Em 2022, a Sephora fechou acordo pagando ~US$ 1,2 milhão e comprometendo-se a corrigir suas práticas (Which States Have Consumer Data Privacy Laws?). Esse caso foi marco por várias razões: (i) deixou claro que as autoridades estavam dispostas a aplicar as novas leis e multar empresas renomadas – dissipando qualquer impressão de que a CCPA “não pegaria” (Consenso: alto – amplamente divulgado na comunidade de privacidade (Which States Have Consumer Data Privacy Laws?) (Which States Have Consumer Data Privacy Laws?)); (ii) esclareceu a interpretação de “venda” de dados (que a Sephora alegava não ocorrer) como abrangente, incluindo trocas de dados por benefícios como analytics – confirmando um entendimento pró-privacidade; (iii) impulsionou a adoção do Global Privacy Control como ferramenta efetiva, pois as empresas passaram a reconhecê-lo temendo sanção. Para os consumidores, o caso demonstrou que eles poderiam exercer direitos e esperar cumprimento real. Para as empresas, sinalizou a necessidade de due diligence nos contratos com terceiros e no respeito às preferências de privacidade expressas pelo usuário. Em suma, People vs. Sephora funcionou como um teste do “dente” da lei – e a lei mordeu, estabelecendo precedente de enforcement. (Após esse caso, dezenas de outras empresas entraram em conformidade rapidamente, e outros acordos se seguiram na CA).
Caso 2: Reconhecimento Facial e Privacidade – ACLU vs. Clearview AI (2020–2022). A Clearview AI, uma startup, desenvolveu um sistema de reconhecimento facial controverso: “raspou” da internet bilhões de fotos públicas (de redes sociais, sites de notícias etc.) sem consentimento dos retratados, criando uma base gigantesca usada para identificar pessoas via IA. De 2019 a 2020, vendeu o serviço principalmente para órgãos policiais. A prática levantou alarmes jurídicos: violaria a BIPA de Illinois, que proíbe coletar identificadores biométricos sem consentimento. Em 2020, a ACLU processou a Clearview AI em Illinois sob a BIPA. Em 2022, firmou-se um acordo judicial histórico: a Clearview concordou em cessar vendas para empresas privadas globalmente e bloquear acesso para a maioria das entidades em Illinois, além de implementar medidas de compliance e pagar custas (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine). Embora as agências de segurança pública ainda pudessem usar Clearview (o acordo não as proíbe fora de IL), o caso foi visto como uma vitória da privacidade biométrica. Mostrou que leis estaduais fortes (BIPA, única com ação privada robusta) podem atingir até startups fora do estado (Clearview é de NY) devido ao alcance extraterritorial – any face of an Illinois resident implicava jurisdição. Esse caso ilustra o poder e limite da regulação americana: poder porque conseguiu, via ação civil, tolher significativamente uma tecnologia considerada lesiva a direitos civis (Consenso entre defensores: alto – celebrou-se a decisão como salvaguarda contra vigilância privada em massa (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts)); limite porque não veio de uma lei geral, mas de uma lei estadual específica de biometria. Após Clearview, outros casos de reconhecimento facial vieram à tona (alguns indivíduos foram presos por engano devido a correspondências faciais errôneas – p.ex. caso de Robert Williams em Michigan, 2020). Esses episódios impulsionaram discussões legislativas sobre banir ou restringir reconhecimento facial – cidades como Boston (2020) proibiram totalmente uso governamental. O Clearview AI se tornou quase sinônimo dos perigos de IA sem regras, reforçando demandas por accountability algorítmica. Em resposta, inclusive em nível federal, a força-tarefa de IA do DOJ e órgãos como o NIST estudaram padrões para algoritmos de reconhecimento (p.ex. melhora de acurácia para evitar viés racial). O caso, portanto, evidencia como uma lei de privacidade pode impactar diretamente uma aplicação de IA e servir de remédio onde não há regulação específica de IA.
Caso 3: Lei de IA e Viés Algorítmico – NYC Local Law 144 (2021) e sua implementação. Nova Iorque, maior cidade americana, aprovou uma lei inédita exigindo que a partir de 2023 empresas que usem ferramentas automatizadas de decisão em recrutamento (AEDT – Automated Employment Decision Tools) realizem auditorias independentes anuais contra vieses e notifiquem candidatos sobre o uso de tais ferramentas (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler) (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler). A lei visa garantir que algoritmos de triagem de currículos ou de entrevista não perpetuem discriminação ilegal (por exemplo, excluindo candidatos de certa raça ou gênero). A implementação encontrou desafios: definir “viés” e padrões de auditoria. Regulamentações finais saíram em abril de 2023, dando detalhes: exigem divulgação pública dos resultados da auditoria (p. ex., taxas de seleção por categoria demográfica) e notificação aos candidatos que podem solicitar alternativa humana (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler) (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler). A data de aplicação foi adiada para julho 2023 para maior preparação (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler). Este caso é significativo por ser a primeira lei voltada diretamente à IA nos EUA (a nível local) a entrar em vigor. Empresas de RH e desenvolvedores de software de recrutamento tiveram que contratar auditores externos e aprimorar seus algoritmos para atender critérios de equidade. Algumas critiques surgiram: e se a auditoria mostrar viés – a lei não proíbe o uso, apenas requer divulgação, então o remédio final depende dos usuários pressionarem por mudança ou risco de reputação; também debateu-se se as métricas definidas capturam todas as formas de viés. Ainda assim, a comunidade de IA e direito acompanha de perto Nova Iorque como case de regulação algorítmica. Diversos outros locais avaliam projetos similares, e no nível federal discute-se incorporar princípios assim nas leis de emprego existentes (o EEOC em 2023 emitiu orientação afirmando que a Lei dos Americanos com Deficiência se aplica a ferramentas de seleção automatizada, requerendo acomodações). O efeito prático imediato foi que muitas empresas que operam nacionalmente adotaram políticas uniformes: se têm que auditar suas ferramentas para NYC, acabam auditando para todos os mercados, elevando o padrão de equidade de forma ampla (Consenso: moderado – alguns grandes empregadores indicaram que aplicarão as melhorias globalmente, embora outros possam tentar manter dupla abordagem). Esse caso demonstra a abordagem “cirúrgica” que cidades/estados estão usando para IA: não uma lei de IA genérica, mas sim regras em setores sensíveis (RH no caso). Ele reforça também a ideia de transparência como elemento central da governança de IA: forçar a abertura de resultados e lógica dos algoritmos para escrutínio público, como maneira de proteger direitos civis sem necessariamente banir a tecnologia.
Caso 4: Schrems II e a Soberania Digital (2020) – Já discutido anteriormente, merece citação como caso pela forte repercussão. Em julho de 2020, a Corte de Justiça da UE (CJEU) invalidou o acordo Privacy Shield que desde 2016 permitia transferências de dados UE–EUA, por entender que a legislação dos EUA (especialmente as permissões de inteligência sob FISA 702 e EO 12333) não oferecia proteção adequada aos dados de europeus, nem meios de recurso legais (Schrems II and Beyond: EU-US International Data Transfers) (Schrems II: EU-US Privacy Shield Struck Down, but European …). A decisão – conhecida como Schrems II – criou um vácuo legal que afetou milhares de empresas que rotineiramente transferiam dados (de usuários, funcionários, etc.) aos EUA. No curto prazo, empresas tiveram que recorrer a cláusulas contratuais padrão e adicionar salvaguardas (como criptografia de ponta a ponta ou armazenar dados europeus em data centers locais), incorrendo em custos e complexidade jurídica (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). No médio prazo, forçou negociações diplomáticas: o governo dos EUA se viu pressionado a reformar aspectos de vigilância (o que levou ao EO 14086/2022 criando mecanismos adicionais de supervisão e recurso) para alcançar um novo acordo, resultando no Data Privacy Framework (DPF) adotado em 2023 (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). Esse caso ressalta as implicações das diferenças legais: a partir de um litígio de um ativista (Max Schrems) na Europa, toda a arquitetura de transferência de dados transatlântica foi revista, impactando empresas de ambos lados e usuários (que arriscavam ter serviços interrompidos ou degradados devido à incerteza). Sob a ótica deste relatório, demonstra que a ausência de uma lei federal robusta nos EUA tem efeitos extraterritoriais – incentivou litígios no exterior e impôs mudanças unilaterais. Com o DPF em vigor em 2023, empresas americanas podem se certificar para receber dados europeus, comprometendo-se a princípios similares aos do GDPR e aceitando supervisão do Dept. de Comércio e FTC (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). A longevidade do DPF, porém, é incerta, pois se suas medidas (p.ex. corte de revisão) serão consideradas suficientes pelo CJEU só saberemos se/quando Schrems III ocorrer (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). De todo modo, Schrems II enfatizou que soberania digital e direito internacional de dados são realidades entrelaçadas: nenhum país ou bloco é uma ilha autônoma em privacidade, e divergências normativas podem acarretar disputas que forçam acomodações. Para os EUA, a lição foi clara: para continuar fluindo livremente dados – vitais ao comércio global digital – precisarão elevar as garantias legais domésticas ou pelo menos criar remédios equivalentes aos estrangeiros (Consenso: alto entre juristas internacionais – ou os EUA aprovam uma lei abrangente, ou seguirão remendando acordos temporários com a UE (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (EU-US Data Privacy Framework: A brief history | Blog | OneTrust)). Esse caso também catapultou o tema de privacidade para discussões de alto nível de política externa, envolvendo até chefes de Estado, o que realça a importância adquirida pelo assunto no cenário pós-2020.
Cada um desses casos exemplifica facetas distintas – enforcement local (Sephora/CCPA), ação civil estratégica (Clearview/BIPA), regulação setorial de IA (NYC RH law) e conflito transnacional (Schrems) – pintando um quadro vívido de como as normas de privacidade e IA não ficaram apenas na letra da lei, mas engajaram diversas arenas (tribunais, agências, diplomacia). Todos contribuíram para moldar a evolução contínua do direito digital.
Conclusão
Entre 2020 e 2025, o quadro jurídico dos Estados Unidos em matéria de privacidade de dados e inteligência artificial passou por transformações significativas, marcadas pela ascensão de legislações estaduais abrangentes, esforços federais incipientes e uma intensa interação com normas estrangeiras. Se no início da década de 2020 os EUA eram frequentemente descritos como “farol da inovação, mas faroeste em privacidade” (Data privacy laws in the United States (updated March 2025) | Didomi), ao final de 2025 já se identifica uma trajetória rumo a maior ordem legal no ambiente digital – ainda que distinta do modelo europeu ou chinês. Recapitulando os pontos-chave:
- Fundamentos consolidados: Hoje há muito mais clareza de que dados pessoais são um ativo juridicamente sensível, e não meramente uma commodity livre. Conceitos outrora restritos a círculos acadêmicos – como direito de ser esquecido, proteção por design, accountability algorítmica – entraram no léxico comum de legisladores e juízes americanos (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) (Unpacking the White House blueprint for an AI Bill of Rights | Brookings). Mesmo sem uma lei federal única, um corpo de princípios e obrigações emergiu das diversas fontes: transparência, consentimento (nos contextos devidos), segurança da informação, avaliação de impacto, não discriminação automatizada. Esse arcabouço teórico-normativo serve de base para futuras normas e para a atuação das agências (Consenso: elevado – há concordância geral sobre esses princípios básicos, muitas vezes espelhados em guias como o AI Bill of Rights (Unpacking the White House blueprint for an AI Bill of Rights | Brookings) (AI Risk Management Framework | NIST)).
- Complexidade federativa: Os estados assumiram protagonismo – ao ponto de 40% da população americana estar coberta por alguma lei estadual de privacidade em 2025 – porém isso veio ao custo de uma paisagem regulatória fragmentada (Which States Have Consumer Data Privacy Laws?) (Which States Have Consumer Data Privacy Laws?). A não resolução da tensão federal vs. estadual significa que, no curto prazo, as empresas e os cidadãos continuarão navegando em requisitos diferentes conforme a jurisdição. O consenso entre especialistas é que tal situação não é ideal; a tendência histórica nos EUA é que eventualmente uma lei federal harmonizadora seja aprovada (Data protection laws in the United States – Data Protection Laws of the World) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). A questão pendente é quão robusta será essa lei – e aqui, o equilíbrio de poder entre interesses corporativos e de defesa do consumidor será determinante. A experiência de 2020-25 mostrou que ambos os lados têm força: corporações conseguiram barrar aspectos como ação privada em certos estados, mas defensores asseguraram que as leis tivessem direitos inspirados no GDPR. Assim, é provável que uma lei federal siga um meio-termo americano, consagrando direitos básicos (acesso, exclusão, portabilidade, talvez opt-out universal de tracking) com enforcement centralizado pela FTC e alguma preempção de leis estaduais, mas possivelmente preservando exceções (como BIPA e partes da CPRA) em reconhecimento aos avanços locais (esta era, inclusive, a estrutura do ADPPA proposto (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters)). (Nível de consenso prospectivo: moderado – muitos analistas creem nessa aprovação em poucos anos devido à pressão internacional e interestadual (Data protection laws in the United States – Data Protection Laws of the World), mas divergências políticas internas ainda podem atrasar mais).
- IA sob o guarda-chuva da privacidade (por enquanto): Não houve até 2025 nos EUA uma lei nacional específica de IA (ao contrário do que a UE encaminha com a AI Act e a China com regulações setoriais já ativas). As preocupações com IA – vieses, falta de transparência, impactos trabalhistas – começaram a ser tratadas usando-se mecanismos existentes: leis de direitos civis aplicadas a algoritmos (via orientação do EEOC, CFPB etc.), leis de privacidade incluindo avaliação de algoritmos (como Colorado, Califórnia pretendendo via regulação), e iniciativas “soft law” como o NIST AI RMF (AI Risk Management Framework | NIST). Essa abordagem incremental tem a vantagem de ser flexível e rápida, evitando engessar uma tecnologia em rápida evolução. Por outro lado, deixa lacunas – certos usos de(Conclusão continuada)
- IA sob o guarda-chuva da privacidade (por enquanto): Até 2025, não surgiu nos EUA uma lei nacional específica para IA; as preocupações com algoritmos vêm sendo tratadas dentro de marcos existentes. Leis de privacidade estaduais exigem avaliações de impacto para decisões automatizadas (Which States Have Consumer Data Privacy Laws?), e normativas de direitos civis estão sendo aplicadas para combater vieses algorítmicos (ex.: leis antidiscriminação em crédito e emprego abrangendo sistemas de IA). Essa abordagem incremental e setorial tem a vantagem da flexibilidade, mas deixa lacunas – certos usos de IA (como veículos autônomos, IA generativa) carecem de diretrizes legais específicas, criando incerteza. Há consenso médio de que uma regulação mais abrangente de IA será necessária nos próximos anos para questões transversais (segurança, responsabilidade por decisões automatizadas, transparência) (Unpacking the White House blueprint for an AI Bill of Rights | Brookings) (State Privacy Laws Map: Active and Passed (Updated 2023)). O diálogo instaurado pelo Blueprint de 2022 e o envolvimento de órgãos como NIST e FTC indicam que o arcabouço pode vir em forma de padrões e best practices incorporados em futuras leis ou regras. Em suma, nos EUA a governança de IA está em desenvolvimento, ancorando-se provisoriamente em princípios de privacidade e ética já consolidados (Consenso: alto de que IA deve ser “digna de confiança” e respeitar direitos (Unpacking the White House blueprint for an AI Bill of Rights | Brookings), baixo ainda sobre a via exata – legislação rígida vs. autorregulação).
Considerações Finais: O período de 2020 a 2025 posicionou os Estados Unidos em um caminho de reforço da proteção de dados e responsabilização no uso de IA, porém de forma distinta das outras potências regulatórias. Os EUA reafirmaram valores liberais – de inovação e livre iniciativa – buscando integrá-los a uma estrutura de direitos do consumidor e antidisciminação adequada à era digital (Data privacy laws in the United States (updated March 2025) | Didomi) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts). O país começa a diminuir o abismo regulatório em relação à UE e China, impulsionado tanto por demandas internas quanto por pressões externas (como o imperativo de viabilizar fluxos internacionais de dados sob padrões globais) (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (EU-US Data Privacy Framework: A brief history | Blog | OneTrust). A grande expectativa para além de 2025 é a possível aprovação de uma Lei Federal de Privacidade dos EUA, que unifique e eleve as garantias a nível nacional – culminando um movimento iniciado nos estados e encerrando a fragmentação. Se bem desenhada, essa lei poderia consolidar um consenso bipartidário raro: assegurar direitos fundamentais aos indivíduos e, simultaneamente, oferecer segurança jurídica às empresas e reforçar a posição dos EUA no diálogo internacional sobre governança digital (Data protection laws in the United States – Data Protection Laws of the World) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters). Em relação à IA, prevê-se continuidade da abordagem calibrada: incentivo à inovação responsável com diretrizes técnicas (via NIST, parcerias público-privadas) e intervenções legais pontuais quando há risco a direitos (viés, segurança, transparência).
Em suma, o balanço de 2020-2025 mostra avanços significativos na tutela da privacidade e primeiros passos na regulação de IA, mas também evidencia que o sistema jurídico americano ainda está se adaptando plenamente aos desafios da economia de dados. O período consolidou a ideia de que privacidade e uso ético da inteligência artificial não são antagonistas do progresso tecnológico, mas sim elementos essenciais para um progresso sustentável e legítimo. O caminho adiante envolverá aperfeiçoar esse equilíbrio – um objetivo compartilhado por juristas, legisladores, empresas e cidadãos, conforme se depreende do amplo (embora nem sempre convergente) debate travado nesses anos. A própria convergência parcial de opiniões (por exemplo, o reconhecimento quase unânime da necessidade de alguma regulação nacional) sugere um alto grau de consenso de que a proteção de dados e a governança de IA serão pilares do direito digital americano nas próximas décadas (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts), restando definir, por meio do processo democrático e da experiência prática, a dosagem exata que melhor sirva aos ideais de liberdade, segurança e inovação.
Referências Selecionadas:
- DLA Piper. Data Protection Laws in the USA: Overview. (Atualizado 2024) (Data protection laws in the United States – Data Protection Laws of the World) (Data protection laws in the United States – Data Protection Laws of the World) – (Consenso doutrinário: elevado, referência de panorama geral)
- Reuters (Westlaw). Federal data privacy legislation: Differences with state laws raise preemption issues. Aug. 10, 2022 (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) (Federal data privacy legislation: Differences with state laws raise preemption issues | Reuters) – (Análise setorial, consenso: alto sobre obstáculos em preempção)
- Bloomberg Law. Which States Have Consumer Data Privacy Laws? Apr. 7, 2025 (Which States Have Consumer Data Privacy Laws?) (Which States Have Consumer Data Privacy Laws?) – (Reporte técnico, consenso: elevado quanto aos fatos de adoção estadual)
- ACLU Massachusetts. Federal data protection legislation must be a floor—not a ceiling. Oct. 22, 2018 (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) (Federal data protection legislation must be a floor—not a ceiling—for our digital rights | ACLU Massachusetts) – (Visão advocatícia de direitos civis, consenso nesse grupo: alto contra preempção ampla)
- Brookings Institution. Unpacking the White House Blueprint for an AI Bill of Rights. Dec. 5, 2022 (Unpacking the White House blueprint for an AI Bill of Rights | Brookings) – (Discussão de princípios de IA responsável, consenso: alto que princípios como transparência e equidade são necessários)
- Davis Wright Tremaine. FTC Sets Its Eye on Algorithms… Jan. 2021 (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine) (FTC Sets Its Eye on Algorithms, Automated Tech, and AI-Enabled Applications | Artificial Intelligence Law Advisor | Davis Wright Tremaine) – (Análise jurídica prática, consenso: moderado, aponta tendência emergente de enforcement)
- OneTrust. EU–US Data Privacy Framework: A Brief History. Jul. 2023 (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) (EU-US Data Privacy Framework: A brief history | Blog | OneTrust) – (Resumo do caso Schrems II e novo acordo, consenso internacional: elevado sobre necessidade de abordar vigilância para garantir fluxos de dados)
- Security.org. 47 States Have Weak or Nonexistent Consumer Data Privacy Laws. 2020 (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) (47 States Have Weak or Nonexistent Consumer Data Privacy Laws | Security.org) – (Avaliação crítica pré-ondas legislativas, ilustra mudança de cenário; consenso à época: alto de que faltava abrangência)
- Littler Law. NYC Final Regulations on Use of AI in Hiring (Local Law 144). Apr. 2023 (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler) (New York City Adopts Final Regulations on Use of AI in Hiring and Promotion, Extends Enforcement Date to July 5, 2023 | Littler) – (Exemplo de regulação local de IA, consenso: aplaudido por direitos civis, visto com cautela pela indústria – moderado)
- Berkeley CLTC. Comparing effects of GDPR and CCPA/CPRA. 2022 (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC) (Comparing Effects of and Responses to the GDPR and CCPA/CPRA – CLTC) – (Pesquisa empírica, consenso: elevado de que GDPR influenciou até empresas dos EUA; CCPA efeito menor porém perceptível)