A Comissão Federal de Comércio (FTC) aplica a lei federal de privacidade dos EUA principalmente através da Seção 5 da Lei FTC — proibindo "práticas injustas ou enganosas" — sem um estatuto federal abrangente de privacidade equivalente ao GDPR. Apesar desse quadro mais fragmentado, a aplicação da FTC em 2024 produziu o ano de aplicação de privacidade mais agressivo registrado nos EUA.
Aplicação da FTC em 2024: Atividade Recorde
A FTC emitiu 19 ações de aplicação relacionadas à IA em 2024 — mais do que nos três anos anteriores combinados. Combinado com 25 leis estaduais de privacidade dos EUA promulgadas ou ativas, as organizações dos EUA enfrentam um mosaico de conformidade que rivaliza com a complexidade do GDPR da UE para empresas que operam em grande escala.
Casos-chave de aplicação em 2024:
Amazon Alexa ($875M, 2023/atual): A Amazon foi obrigada a pagar $25M em penalidades civis por violações da COPPA e a excluir gravações de voz da Alexa de crianças retidas ilegalmente. A queixa mais ampla da FTC incluía alegações de que a Amazon reteve gravações de voz além dos períodos de retenção declarados e as utiliza para treinar modelos de IA sem consentimento adequado.
Acordos de publicidade comportamental da Meta: A FTC proibiu a Meta de monetizar dados coletados de usuários menores de 18 anos, parte da supervisão contínua da FTC sobre a ordem de consentimento de privacidade da Meta.
Aplicação contra corretores de dados de IA: A FTC emitiu ações de aplicação contra vários corretores de dados que vendem perfis pessoais analisados por IA sem divulgação ou consentimento adequados — estabelecendo que a análise de dados pessoais por IA para criar perfis comportamentais constitui processamento "sensível" que requer divulgação aumentada.
Aplicação de dados de saúde: A autoridade de aplicação da FTC sobre dados de saúde não cobertos pela HIPAA (aplicativos de consumo, dispositivos vestíveis, plataformas de telemedicina fora das redes de provedores de saúde) produziu várias ações de aplicação visando o compartilhamento não autorizado de dados de saúde.
O Mosaico de Privacidade dos EUA: 25 Leis Estaduais
A ausência de uma lei federal de privacidade nos EUA produziu um mosaico de estatutos estaduais que cobrem coletivamente a maioria da população dos EUA:
California CPRA (efetiva em 2023): A lei estadual mais abrangente dos EUA, cobrindo 40 milhões de californianos. Aplica-se a empresas com receita superior a $25M ou que processam mais de 100.000 consumidores da CA. Cria a Agência de Proteção de Privacidade da Califórnia (CPPA) como órgão de aplicação dedicado.
Virginia VCDPA, Colorado CPA, Connecticut CTDPA: Direitos e requisitos semelhantes cobrindo mais de 20 milhões de residentes em três estados.
Texas TDPSA, Florida FDBR: Expansão da cobertura para os dois maiores estados fora da Califórnia.
Washington My Health MY Data Act: Estende as proteções de dados de saúde além da HIPAA para aplicativos de saúde do consumidor — a lei de dados de saúde mais agressiva dos EUA fora da Califórnia.
Para organizações que operam nacionalmente, a conformidade com todas as 25 leis estaduais ativas requer uma infraestrutura de gerenciamento de direitos amplamente semelhante ao GDPR — solicitações de direitos do consumidor, minimização de dados, avisos de privacidade e contratos de processadores — mas com requisitos específicos variados.
O que a Aplicação de IA da FTC Significa Tecnicamente
As ações de aplicação de IA da FTC em 2024 estabelecem orientações práticas:
Transparência dos dados de treinamento: As organizações devem ser capazes de documentar quais dados pessoais foram usados para treinar modelos de IA, se o consentimento foi adequado para esse uso de treinamento e qual período de retenção se aplicou.
Limitação de propósito: Perfis pessoais gerados por IA não podem ser usados para fins além do que foi divulgado ao titular dos dados. Usar análise comportamental de IA para triagem de emprego quando apenas marketing foi divulgado constitui uma violação da Lei FTC.
Práticas de dados dos fornecedores: A FTC trata os fornecedores de SaaS que acessam e retêm dados de usuários como uma responsabilidade de conformidade da organização que os implanta. Uma organização que usa um CRM, plataforma de análise ou ferramenta de IA onde o fornecedor processa dados de usuários deve divulgar isso em avisos de privacidade e garantir que as práticas do fornecedor correspondam aos propósitos divulgados.
Arquitetura de zero conhecimento e conformidade com a FTC: A preocupação central da FTC em casos de fornecedores de IA é que os fornecedores coletam, retêm e usam dados de usuários além do que foi divulgado. A arquitetura de zero conhecimento — onde a infraestrutura do fornecedor mantém apenas dados criptografados sem capacidade de descriptografia — significa que o fornecedor não pode se envolver em uso não divulgado de dados de usuários. A limitação técnica alinha-se diretamente com as prioridades de aplicação da FTC.
Proposta de Regulamentação sobre Vigilância Comercial da FTC
A proposta da FTC sobre práticas de vigilância comercial (pendente a partir de 2025) criaria requisitos explícitos para:
- Minimização de dados para processamento de IA
- Direitos de exclusão para perfis automatizados
- Limites sobre o uso secundário de dados coletados para um propósito
- Requisitos de segurança para retenção de dados pessoais
Se finalizada, esta regra criaria obrigações de minimização de dados semelhantes ao GDPR federal aplicáveis a qualquer organização que atenda consumidores dos EUA — elevando significativamente o padrão de conformidade de privacidade em todo o mercado dos EUA.
Fontes: