O mosaico de leis de privacidade de dados nos EUA e o impacto para empresas e titulares de dados

A paisagem de leis de privacidade de dados nos Estados Unidos continua em rápida evolução, mas sem um padrão nacional uniforme — criando um mosaico regulatório que torna complexa a conformidade para empresas que operam em múltiplos estados.

Nos últimos anos, diversos estados adotaram regimes de proteção de dados pessoais bem estruturados, cada um com suas próprias regras sobre coleta, uso, tratamento e compartilhamento de informações identificáveis. Essas leis não apenas ampliam direitos para titulares de dados, como também impõem novas obrigações operacionais para organizações, desde startups até grandes corporações digitais.

Um exemplo recente é a Maryland Online Data Privacy Act (MODPA), aprovada em 2024 e em vigor desde outubro de 2025. Essa lei é considerada uma das mais rigorosas em solo americano, exigindo que empresas limitem a coleta de dados ao mínimo necessário para fornecer um serviço e proíbam totalmente a venda de dados sensíveis, independentemente do consentimento do titular.

Em Rhode Island, a Data Transparency and Privacy Protection Act tomou efeito em janeiro de 2026 com regras de ampla aplicabilidade, incluindo requisitos de divulgação mesmo para empresas menores que operam com clientes do estado.

Um aspecto de destaque desta tendência regulatória está em Connecticut, que inseriu na lei estadual uma obrigação de transparência sobre o uso de dados pessoais para treinar modelos de inteligência artificial, incluindo grandes modelos de linguagem (LLMs). Empresas terão que detalhar em suas políticas de privacidade se dados são usados nesse contexto, criando precedentes para a intersecção entre proteção de dados e tecnologia de IA.

Na Califórnia, um dos estados pioneiros em proteção de dados com o California Consumer Privacy Act (CCPA) e sua ampliação pelo California Privacy Rights Act (CPRA), há tratamento diferenciado de dados de menores de idade, agora considerados sensíveis e sujeitos a proteções reforçadas.

Além das leis estaduais, atualizações regulatórias federais — como as mudanças nas regras de proteção à privacidade infantil (COPPA) — estão alinhando proteção em níveis diferentes, o que exige que empresas mantenham monitoramento constante e capacidade de se adaptar rapidamente às exigências legais.

Esse mosaico de normas evidencia que, em um contexto de rápidas transformações tecnológicas — especialmente com a expansão da inteligência artificial —, a proteção de dados deixou de ser uma questão isolada para se tornar elemento central de compliance corporativo e de direitos digitais. Estar atento a esse cenário regulatório fragmentado é crucial tanto para a segurança dos titulares de dados quanto para mitigar riscos de litígios e sanções legais.

🔗 Fonte original: The Patchwork of Data Privacy Laws: Recent Developments and Implications — disponível em JDSupra (13 de fevereiro de 2026).