Compliance EUA

Modelo setorial e estadual (HIPAA · GLBA · CCPA/CPRA)

Análise harmonizada de governança e proteção de dados nos Estados Unidos, sob a perspectiva do nosso Departamento Jurídico e da matriz LGPD.

CAPÍTULO I: INTRODUÇÃO AO MODELO FRAGMENTADO (PATCHWORK)

Diferente do ordenamento jurídico brasileiro, que centraliza a proteção de dados na Lei Geral de Proteção de Dados Pessoais (LGPD) a nível nacional, os Estados Unidos da América não possuem uma legislação federal única e unificada que regulamente o tema de forma transversal para todas as indústrias e setores econômicos.

O cenário norte-americano é estruturado por meio de um ecossistema descentralizado e fragmentado, dividindo-se entre regras setoriais de competência da União e regras gerais de competência dos Estados federados. Sob a perspectiva de um Departamento Jurídico com foco em mitigação de riscos de conformidade internacional, a operação requer um mapeamento geográfico e setorial minucioso para evitar sanções e incidentes regulatórios.

CAPÍTULO II: ESFERA FEDERAL

No âmbito do governo federal norte-americano, a regulação é restrita e orientada estritamente ao ramo de atuação ou à natureza da atividade comercial. Empresas que não se enquadram nos critérios setoriais específicos encontram-se sujeitas apenas a diretrizes genéricas de defesa do consumidor (como as fiscalizações da Federal Trade Commission - FTC contra práticas enganosas).

Abaixo, destacam-se os principais diplomas vigentes nesta esfera, parametrizados à lógica de conformidade de dados:

HIPAA (HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT):

Regula estritamente o tratamento de dados de saúde, prontuários médicos e informações correlatas. Sob o prisma da LGPD, corresponde à proteção rigorosa de dados pessoais sensíveis (Art. 5º, II, da Lei 13.709/18).

GLBA (GRAMM-LEACH-BLILEY ACT):

Regula o mercado financeiro, de crédito e bancário. Exige salvaguardas administrativas e técnicas para a segurança de dados financeiros privados dos consumidores.

COPPA (CHILDREN'S ONLINE PRIVACY PROTECTION ACT):

Normativa destinada estritamente à proteção e privacidade de crianças no ambiente online (menores de 13 anos). Apresenta forte sinergia com o Art. 14 da LGPD, exigindo consentimento específico, destacado e inequívoco de um dos pais ou responsável legal antes da coleta.

CAPÍTULO III: ESFERA ESTADUAL

Diante da ausência de uma lei geral federal, as unidades federativas (Estados) assumiram o protagonismo regulatório, editando normativas robustas e independentes de privacidade de dados. Este cenário gera um ecossistema de alta complexidade operacional para corporações que transacionam dados entre diferentes fronteiras estaduais.

CCPA / CPRA (CALIFORNIA CONSUMER PRIVACY ACT / CALIFORNIA PRIVACY RIGHTS ACT):

Legislação estadual de referência global, altamente alinhada aos preceitos e princípios da LGPD e do GDPR europeu. Garante aos cidadãos residentes do estado da Califórnia direitos fundamentais como: o direito ao acesso de informações coletadas, direito de exclusão e eliminação de registros, e o direito de oposição à venda ou compartilhamento de dados pessoais (Do Not Sell My Personal Information).

OUTROS ESTADOS (VIRGÍNIA, COLORADO, UTAH, INDIANA E KENTUCKY):

Estados que promulgaram legislações próprias vigentes de privacidade, impondo obrigações corporativas distintas quanto a relatórios de impacto à proteção de dados e governança de segurança da informação.

CAPÍTULO IV: ESFERA MUNICIPAL

A regulação estritamente local ou municipal no cenário norte-americano atua de forma residual ou subsidiária. Cidades e condados possuem autonomia para criar decretos específicos — com foco frequente na limitação de tecnologias de vigilância pública, reconhecimento facial por entes privados ou segurança cibernética em contratos públicos locais. Para fins de conformidade geral, o Departamento Jurídico deve consolidar as regras municipais como camadas adicionais de proteção, desde que não conflitem com as regras estaduais vigentes.

CAPÍTULO V: STATUS ATUAL E PARECER DO DEPARTAMENTO JURÍDICO

SITUAÇÃO ATUAL E PROJETOS DE UNIFICAÇÃO

Existem discussões ativas e projetos de lei em tramitação no Congresso americano (como o projeto SECURE Data Act e equivalentes) que buscam instituir uma lei geral federal única. Contudo, até que ocorra a efetiva promulgação e vacatio legis, o sistema permanece fragmentado estado por estado.

COMPLIANCE ADOTANDO A MATRIZ LGPD

Considerando os rigorosos padrões da LGPD brasileira, o Departamento Jurídico recomenda a adoção do Princípio da Prevenção e da Segurança. Empresas brasileiras com operações ou parceiros nos EUA devem mapear os fluxos de dados com base na localização do titular. Recomenda-se a implementação de um programa de governança global baseado no padrão mais rigoroso disponível (CCPA/CPRA e LGPD), mitigando riscos transversais independentemente da fragmentação legislativa estadual ou federal aplicável.

TABELA DE EQUIVALÊNCIA CONCEITUAL

ÂMBITO DOS EUA	PRINCIPAL NORMA / STATUS	EQUIVALÊNCIA CONCEITUAL LGPD BRASILEIRA
FEDERAL	HIPAA, GLBA, COPPA (Setoriais)	Regras de Dados Sensíveis (Art. 5º) e Dados de Menores (Art. 14).
ESTADUAL	CCPA, CPRA e leis de +20 estados	Direitos dos Titulares (Art. 18) e Princípio do Livre Acesso.
MUNICIPAL	Decretos Locais e Resoluções Residuais	Boas Práticas de Governança e Segurança Local (Art. 50).