anonym.legal

By · Last updated 2026-06-05

Voltar ao BlogGDPR & Conformidade

FTC Estados Unidos: Aplicação da Seção 5 sobre...

A FTC emitiu 19 ações de aplicação relacionadas à IA em 2024. Multa de $875M para Amazon Alexa. 25 leis estaduais de privacidade ativas.

June 5, 20269 min de leitura
FTC enforcementUS privacy lawAI privacy complianceSection 5state privacy laws

FTC Seção 5: aplicação de IA em privacidade nos EUA

Atualizado para 2026.

A Federal Trade Commission (FTC) aplica a lei federal de privacidade dos EUA por meio da Seção 5 do FTC Act. Essa seção proíbe "práticas desleais ou enganosas." Não existe nos EUA uma lei federal única de privacidade comparável ao RGPD. Ainda assim, a agência bateu um novo recorde de fiscalização em 2024.

2024: Um ano de fiscalização sem precedentes

A comissão abriu 19 ações relacionadas a IA em 2024. Isso supera os três anos anteriores somados. A isso se somam 25 leis estaduais de privacidade ativas. Juntas, criam uma carga de conformidade comparável ao RGPD em complexidade.

Casos principais de 2024:

Amazon Alexa (US$ 25 milhões, 2023/em andamento): A Amazon pagou US$ 25 milhões por violações do COPPA. A empresa havia mantido arquivos de voz de crianças além dos prazos declarados. A agência concluiu que a Amazon usou esses arquivos para treinar modelos de IA sem o consentimento adequado. A Amazon foi obrigada a excluir os arquivos retidos.

Proibição à Meta de publicidade para menores: Os reguladores federais proibiram a Meta de usar registros de usuários menores de 18 anos para publicidade. Isso baseou-se em uma ordem de consentimento existente.

Ações contra corretores de dados IA: A agência atuou contra vários corretores. Esses vendiam perfis pessoais gerados por IA sem a divulgação ou o consentimento adequados. Os casos estabeleceram uma regra essencial: a criação de perfis de IA a partir de registros pessoais é processamento "sensível." Essa classificação ativa obrigações de divulgação reforçadas.

Casos de registros de saúde: A comissão tem competência sobre dados de saúde não cobertos pela HIPAA. Aplicativos de consumo, wearables e certas plataformas de telemedicina se enquadram aqui. Vários casos de 2024 atingiram empresas que compartilharam esses registros sem autorização.

25 leis estaduais: o mosaico de privacidade dos EUA

Nenhuma lei federal única protege todos os residentes dos EUA. Em vez disso, 25 leis estaduais cobrem coletivamente a maior parte da população.

California CPRA (desde 2023): A lei estadual mais abrangente dos EUA. Protege 40 milhões de californianos. Aplica-se a empresas com mais de US$ 25 milhões em receita ou que processem registros de 100 000+ consumidores da Califórnia. Criou a California Privacy Protection Agency (CPPA) como órgão regulador dedicado.

Virginia VCDPA, Colorado CPA, Connecticut CTDPA: Três leis adicionais com direitos semelhantes. Juntas cobrem vários milhões de residentes.

Texas TDPSA, Florida FDBR: Dois grandes estados com leis de privacidade ativas.

Washington My Health MY Data Act: A lei de registros de saúde mais rigorosa dos EUA fora da Califórnia. Estende as proteções além da HIPAA para aplicativos de saúde ao consumidor.

Para empresas que operam em todo o país, as 25 leis compartilham um conjunto básico de obrigações. Direitos do consumidor, avisos de privacidade, contratos com fornecedores e minimização de registros são todos necessários. As regras específicas variam por estado.

Consulte o guia de conformidade legal para ver como essas obrigações se articulam.

O que as ações de 2024 significam tecnicamente

As ações de 2024 oferecem orientação técnica clara.

Transparência nos dados de treinamento: As empresas devem documentar quais registros pessoais treinaram cada modelo de IA. Devem demonstrar que o consentimento cobria esse uso. Devem também confirmar os prazos de retenção aplicados.

Limitação de finalidade: Os perfis gerados por IA não podem ser usados além do que foi comunicado no momento da coleta. Usar análise de comportamento para contratação quando apenas publicidade foi declarada é uma violação da Seção 5.

Obrigações com fornecedores: A agência trata os fornecedores SaaS como responsabilidade da empresa que os implanta. Se uma ferramenta processa registros de usuários, isso deve constar nos avisos de privacidade. A conduta do fornecedor deve corresponder às finalidades declaradas.

Sistemas de conhecimento zero: O cerne dos casos de fornecedores de IA é o uso não divulgado de registros. Um sistema de conhecimento zero mantém apenas arquivos criptografados. O fornecedor não tem a chave para decifrá-los. Não pode usar os registros de formas não declaradas. Esse limite técnico alinha-se diretamente com o que os reguladores federais visam.

Saiba como a anonym.legal usa sistemas de conhecimento zero em /security-compliance.

Regra proposta sobre vigilância comercial

A regra proposta pela comissão sobre rastreamento comercial está pendente desde 2025. Se aprovada, criará regras federais explícitas.

  • Minimização de registros para uso de IA.
  • Direito de oposição à elaboração automatizada de perfis.
  • Proibição de usar registros coletados para novas finalidades.
  • Regras de segurança para registros pessoais armazenados.

Essa regra estabeleceria obrigações de minimização semelhantes ao RGPD para qualquer empresa que atenda consumidores dos EUA. Elevaria significativamente o nível de conformidade em todo o mercado americano.

Leia mais sobre minimização de registros em /docs/faq.

Fontes

  • FTC: Federal Trade Commission. ftc.gov.
  • FTC: Ações de fiscalização relacionadas a IA em 2024. ftc.gov/news-events/news/press-releases/.
  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • FTC: Regras propostas sobre vigilância comercial. ftc.gov/legal-library/browse/rules/commercial-surveillance-rulemaking.

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.