O federal [SECURE Data Act](https://d1dth6e84htgma.cloudfront.net/SECURE_Data_Act_for_introduction_7c80a347ac.pdf) está sob escrutínio por seu potencial impacto na privacidade do consumidor. As preocupações estão aumentando de que o projeto, se aprovado, representaria um recuo significativo das proteções atuais, embora insuficientes, em nível estadual. Republicanos do [House Energy and Commerce Committee](https://energycommerce.house.gov/posts/committees-on-energy-and-commerce-and-financial-services-introduce-pair-of-privacy-bills-to-establish-comprehensive-data-protections-for-all-americans) introduziram o rascunho da legislação no final do mês passado sem consenso bipartidário. Críticos argumentam que o projeto é mais fraco do que propostas anteriores do Congresso e muitas das [21 leis estaduais de privacidade do consumidor](https://iapp.org/resources/article/us-state-privacy-legislation-tracker) já em vigor. ### Preocupações com Preempção Um ponto principal de discórdia é o potencial do projeto de preempir numerosas leis estaduais de privacidade. A Seção 15 do projeto preempiria qualquer “lei, regra, regulamento, requisito, padrão ou outra disposição [que] se relaciona com as disposições deste Ato”. Isso poderia efetivamente anular as leis existentes de privacidade do consumidor em 21 estados. Por exemplo, a Califórnia mantém uma [ferramenta de exclusão de corretor de dados](https://privacy.ca.gov/drop/) e exige que as empresas cumpram [sinais automáticos de opt-out](https://www.eff.org/gpc-privacy-badger)—incluindo um que está integrado ao [Privacy Badger da EFF](https://privacybadger.org/#What-is-Global-Privacy-Control). Como o SECURE Data Act possui disposições relacionadas à privacidade e segurança de dados, ele poderia preempir [todas as 50 leis estaduais de violação de dados](https://www.ncsl.org/technology-and-communication/security-breach-notification-laws) e [muitas outras](https://www.congress.gov/crs-product/R48667). Ele também poderia preempir leis estaduais relacionadas a dados sensíveis específicos, como proibições de venda de informações [biométricas](https://www.ilga.gov/Legislation/ILCS/Articles?ActID=3004&ChapterID=57) ou de [localização](https://www.doj.state.or.us/consumer-protection/id-theft-data-breaches/privacy/privacy-law-faqs-for-consumers/). Alguns [estados como a Califórnia](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CONS&sectionNum=SECTION%201.&article=I) têm disposições constitucionais que protegem o direito individual à privacidade, que podem ser aplicadas [contra empresas](https://btlj.org/wp-content/uploads/2025/01/39-2_Ozer.pdf). Essa disposição constitucional, bem como [processos de privacidade estaduais](https://scholarship.law.bu.edu/faculty_scholarship/628/), também poderiam estar em perigo se este projeto fosse aprovado. ### Falta de Direito de Ação Privado Outra preocupação significativa é a ausência de um direito de ação privado, que permitiria aos indivíduos processar empresas por violações de privacidade. Críticos argumentam que essa omissão prejudica a eficácia do projeto, pois as agências reguladoras podem não ter os recursos para garantir o cumprimento de forma abrangente. Em vez disso, a **FTC**, juntamente com os procuradores-gerais estaduais, teria a autoridade primária de fiscalização. A lei também concede às empresas 45 dias para “curar” qualquer violação sem penalidade após serem descobertas. ### Padrões de Privacidade Fracos e Minimização de Dados O projeto também é criticado por seus padrões de privacidade fracos, colocando o ônus sobre os consumidores para optar por não participar de práticas de dados invasivas. Embora o projeto exija consentimento para o processamento de dados sensíveis, críticos argumentam que isso pode levar a solicitações de consentimento manipuladoras. A Seção 3 do projeto usa o termo “minimização de dados”, mas isso é feito apenas no nome. A disposição não limita o processamento de dados de uma empresa apenas ao que é necessário para fornecer ao cliente o bem ou serviço que ele solicitou. Em vez disso, a disposição limita o processamento de dados apenas ao que uma empresa “divulgou ao cliente”—o que significa que, se estiver na política de privacidade confusa que ninguém lê, está tudo bem. E o projeto nem sequer permitiria restringir certos usos de seus dados. À medida que as empresas buscam mais dados para sistemas de IA, muitos usuários da internet não querem que seus dados pessoais privados sejam usados para treinar esses modelos. No entanto, o projeto deixa claro que “nada neste Ato pode ser interpretado como restrição” a uma empresa de coletar, usar ou reter seus dados para “desenvolver” ou “melhorar” uma nova tecnologia. ### Outras Preocupações * **Contratados do governo**: Sob a Seção 13(b)(2), os contratados do governo estão isentos do projeto, o que pode ser indevidamente interpretado para isentar certos corretores de dados de restrições de venda quando essas vendas são feitas ao governo. Esse tipo de isenção pode beneficiar empresas de vigilância como a **Clearview AI**, que