in Artigos

Semelhanças e diferenças entre a LGPD x ADPPA (Lei de Privacidade Americana)

4.4k Visualizações

Poliane Almeida*

Quando analisamos a LGPD (Lei Geral de Proteção de Dados Pessoais) e a Lei Federal Americana sobre a privacidade – ADPPA (American Data Privacy and Protection Act), constatamos que existem muitas semelhanças significativas. 

Ambas trazem em seu escopo questões sobre os direitos dos titulares, transparência do tratamento, processamento de dados pessoais de crianças e adolescentes, disposições específicas sobre os dados sensíveis, Avaliações de Impacto de Proteção de Dados (DPIA) – Avaliação de Impacto na Privacidade (PIA), e mais.

ADPPA (American Data Privacy and Protection Act) – Lei Federal Americana de Privacidade

Para começar, quero exaltar esse momento. Muitos céticos não acreditariam que um dia isso seria possível. Enfim, os Estados Unidos também estão se abrindo à tendência mundial da privacidade e proteção de dados pessoais dos titulares.

O projeto de Lei Federal Americana de Privacidade e Proteção de Dados (ADPPA) foi aprovado com algumas emendas em 20 de julho de 2022. Inicialmente, foi convalidado pelo Comitê de Energia e Comércio da Câmara dos EUA e agora precisará passar pela Câmara dos Representantes dos EUA.

Após mais de 20 anos de debates infrutíferos sobre o tema, existe grande cooperação e apoio bipartidário para que o projeto de lei seja aprovado.

A ADPPA aborda muitos temas explorados pelas leis estaduais de privacidade de alguns estados americanos, embora de maneira significativamente diferente. Por conta disso, também existe bastante resistência por parte dos Estados que já possuem suas leis sobre a privacidade.

Aplicação material das leis

A LGPD tem alcance amplo quando descreve que os dados pessoais estão ligados diretamente aos titulares ou passíveis de ligação. Ou seja, qualquer informação identificável ou passível de identificação do titular é abrangida pela lei. 

Já a ADPPA se aplica para processamento de dados cobertos, ou seja, somente para dados que identificam ou são vinculados ou razoavelmente vinculáveis ao indivíduo. 

Portanto, a ADPPA lista algumas exclusões que não são considerados “dados cobertos”:

1)  dados não identificados; 

2) dados de funcionários; 

3) informações publicamente acessíveis;

4) informações adquiridas a partir de várias outras publicamente disponíveis (que não revelam dados cobertos sensíveis).

Ademais, observa-se que a ADPPA se aplica não somente às informações pessoais dos indivíduos, mas também informações vinculadas ou razoavelmente vinculáveis aos dispositivos dos titulares. 

Semelhantemente, as duas leis (LGPD e ADPPA) trazem definições sobre os dados pessoais sensíveis, entretanto, a ADPPA estende a definição ao abranger informações sobre as atividades online de um indivíduo, informações de geolocalização, financeiras, informações sobre menores, entre outras.

Definições legais

Titular de Dados x Indivíduo

A LGPD determina que o Titular de Dados será pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, ou seja, importa proteger os dados de pessoas vivas cujo tratamento tenha ocorrido em território nacional (ou a coleta tenha ocorrido em solo nacional – aplicação extraterritorial).

Em contrapartida, a ADPPA fornece proteção ao indivíduo pessoa física, que seja residente nos Estados Unidos. Nesse ponto, vemos uma nítida diferença do “ente” que as leis desejam proteger. 

Controlador/Operador x Entidade coberta/Prestador de serviço

Sobre os agentes de tratamento, a LGPD determina que serão pessoas natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Controlador), ou que realiza o tratamento de dados pessoais em nome do Controlador (Operador).

Já a ADPPA descreve que uma Entidade coberta será considerada qualquer entidade ou qualquer pessoa que não seja um indivíduo agindo de forma não comercial, que sozinho ou em conjunto com outros determine as finalidades e os meios do processamento ou transferência de dados cobertos. A ADPPA traz suas hipóteses de “não entidade coberta”, tais como entidade governamental (federal, estadual, territorial, local, agências, autoridades, conselhos e mais), ou pessoa e entidade que esteja agindo em nome das mencionadas acima.

O Prestador de serviço definido pela ADPPA será qualquer pessoa ou entidade que coleta, processa ou transfere dados cobertos em nome (e sob a direção) de uma entidade coberta ou Federal e Governamental (estadual, territorial ou local). 

Dados Pessoais

São semelhantes os contextos sobre dados sensíveis e dados anonimizados trazidos pela LGPD, e dados cobertos pela ADPPA. Contudo, a ADPPA define, especificamente, outros dados como sensíveis. 

A ADPPA fornece mais segurança aos chamados “dados confidenciais cobertos”, trazendo um rol de informações que devem ser consideradas mais sigilosas que as demais. São elas:

  1. Identificador emitido pelo governo: como CPF (Social Security Number), número de passaporte ou número de carteira de motorista;
  2. Comunicações privadas de um indivíduo: chamadas de telefone (recebidas, realizadas, duração e localização) mensagens de voz, e-mails, textos, comunicações de vídeo. Salvo hipóteses em que a entidade coberta seja o remetente ou o destinatário;
  3. Credenciais de logins de conta, dispositivo ou segurança e códigos de acesso;
  4. Informações que identificam as atividades online de um indivíduo em sites de terceiros e serviços online, dentre outros.

Dados pessoais de funcionários

A LGPD não faz distinção de proteção aos dados pessoais entre os diversos grupos existentes de titulares. 

Entretanto, a ADPPA define os dados pessoais de funcionários uma classe diferenciada dos “dados cobertos”. Os dados pessoais de funcionários são definidos como informações relacionadas a um candidato a emprego ou informações tratadas durante a relação de trabalho, coletadas por uma entidade coberta agindo como um potencial empregador. 

Assim, a ADPPA define tratamento diferenciado para informações coletadas durante o processo seletivo, como informações de contato comercial de um funcionário, informações de contato de emergência, informações sobre o cônjuge ou dependentes do funcionário e outros.

Foram apontados, minimamente, alguns pontos de semelhança e diferenças entre a LGPD e ADPPA. Mas obviamente existe um mar de estudos a serem realizados por nós, profissionais de privacidade e proteção de dados.

Entretanto, gostaria de ressaltar o quanto é animador o cenário mundial que estamos vivendo. Inegável a busca dos países pela adequação internacional de dados pessoais.  

Referências

https://www.congress.gov/bill/117th-congress/house-bill/8152/text

https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

https://www.dataguidance.com/resource/comparing-privacy-laws-adppa-v-gdpr

Leia outros artigos da autora:

Particularidades sobre as Leis de Privacidade e a Proteção de Dados Pessoais no Canadá

Lei de Privacidade em Quebec – Canadá: Setor privado e suas inovações para 2023 

Poliane Almeida: é Advogada, Palestrante e Consultora em Privacidade/Proteção de Dados pela DPO Expert. É Pós-Graduada em Direito Civil pela PUC/MG e Pós-Graduada em Direito Digital e Proteção de Dados pela Ebradi. Certificada em Privacidade e Proteção de Dados – CIPM e CDPO/BR pela IAPP. Presidente da Comissão de Proteção de Dados da OAB/MG Subseção de Betim, e Membro da Comissão de Proteção de Dados da OAB/MG.

Reportar

resolução de dosimetria

Resolução de dosimetria: sanções e benefícios
selos de conformidade

LGPD e ANPD: Descubra o que você precisa saber sobre selos de conformidade, homologações de software e as competências do encarregado de dados