O American Privacy Rights Act (APRA) e um projeto de lei federal bicameral de privacidade proposto pelo Congresso dos EUA. Embora o projeto aborde muitas lacunas de longa data na legislacao americana de privacidade, suas regras sobre publicidade direcionada sao notavelmente obscuras e por vezes contraditorias.

Por que o APRA Importa

Os EUA ainda carecem de legislacao federal abrangente de privacidade, criando uma lacuna regulatoria que deixou a economia digital sem protecoes basicas significativas. A FTC tentou preencher esse vazio, e estados individuais como a California aprovaram suas proprias leis, mas a colcha de retalhos resultante cria complexidade de conformidade sem protecao consistente para os consumidores.

Disposicoes Principais

Abrangencia: O APRA se aplica amplamente, mas isenta pequenas empresas, entidades governamentais e empreiteiros governamentais. Dados de funcionarios tambem sao excluidos, o que muitos criticos consideram uma fraqueza significativa dado o crescimento das ferramentas de vigilancia no local de trabalho. A lei nao substitui legislacao setorial especifica como a HIPAA.

Direitos do consumidor: O projeto inclui direitos de acesso, correcao, exclusao e portabilidade de dados pessoais, alem do direito de optar por nao participar de publicidade direcionada e divulgacoes de dados. Tambem inclui um direito privado de acao permitindo que individuos processem por violacoes, embora muitas disposicoes importantes estejam isentas desse mecanismo.

Minimizacao de dados: O processamento deve ser necessario, proporcional e limitado, com uma lista detalhada de propositos permitidos. Na pratica, isso cria uma estrutura complexa de regras amplas e longas excecoes.

Dados sensiveis: As categorias incluem dados de saude, geolocalizacao precisa, informacoes sobre comportamento sexual, comunicacoes pessoais, identificadores governamentais, dados de menores de 17 anos, comportamento de usuario entre sites e dados comportamentais de grandes plataformas de redes sociais. A divulgacao de dados sensiveis geralmente requer consentimento opt-in.

O Problema da Publicidade Direcionada

A publicidade direcionada e permitida com base em opt-out sob o APRA, e o projeto parece proibir a coleta de dados exclusivamente para fins publicitarios -- as organizacoes so podem usar dados ja coletados para outros propositos legitimos.

No entanto, a interacao entre as regras gerais de publicidade direcionada e as disposicoes de dados sensiveis cria uma ambiguidade seria. Divulgacoes de dados sensiveis exigem consentimento opt-in, mas a publicidade direcionada e regida por regras de opt-out. Quando essas disposicoes se sobrepoem -- particularmente em relacao a dados de atividade entre sites e dados comportamentais de redes sociais que alimentam a maior parte da publicidade direcionada -- o resultado e incerto. A publicidade direcionada baseada em dados sensiveis pode ser opt-in ou efetivamente proibida, dependendo da interpretacao.

Avaliacao

Pontos fortes: O principio de minimizacao de dados vai alem da dependencia de consentimento frequentemente sem sentido. A proibicao de dark patterns na coleta de consentimento e bem-vinda. As categorias de dados sensiveis sao louvavelmente amplas, e a lei protege dados de saude fora do escopo da HIPAA.

Pontos fracos: Muitas disposicoes estao isentas de acao legal privada, potencialmente enfraquecendo a aplicacao. As regras sobre dados sensiveis e publicidade direcionada sao mal redigidas e contraditorias. A exclusao de dados de funcionarios e uma lacuna seria.

Preempcao estadual: O APRA substituiria a maioria das leis estaduais de privacidade, criando uniformidade mas potencialmente enfraquecendo protecoes em estados com legislacao existente mais forte. Essa questao inviabilizou o projeto predecessor do APRA, o ADPPA.