Os republicanos da Câmara dos Representantes apresentaram o SECURE Data Act em 21 de abril de 2026 - um amplo projeto de lei federal de privacidade que eliminaria todas as leis de privacidade do consumidor em nível estadual nos Estados Unidos por meio de uma ampla preempção federal. Se promulgada, a legislação anularia instantaneamente a CCPA/CPRA da Califórnia, a CDPA da Virgínia, a CPA do Colorado e as estruturas de privacidade de cerca de 20 outros estados, substituindo-as por um único padrão federal aplicado exclusivamente pela FTC e pelos procuradores-gerais estaduais - sem direito de ação para cidadãos individuais.
O que é o SECURE Data Act
A "Lei de Garantia e Estabelecimento de Direitos Uniformes do Consumidor e Aplicação sobre Dados" (SECURE Data Act) foi apresentada pelo deputado Joyce da Pensilvânia em nome dos republicanos da Câmara. No papel, o projeto de lei concede aos consumidores cinco direitos fundamentais: acesso a seus dados pessoais, correção de registros imprecisos, exclusão de dados, portabilidade de dados em um formato utilizável e a capacidade de cancelar a publicidade direcionada e vendas de dados. Também impõe requisitos de minimização de dados e exige consentimento para o processamento de categorias sensíveis de informações pessoais. Um novo registro administrado pela FTC para corretores de dados está incluído.
O projeto de lei se aplica a entidades que lidam com dados de 200.000 ou mais consumidores anualmente e têm receitas de US$ 25 milhões ou mais, ou a entidades menores em que pelo menos 25% da receita vem da venda de dados pessoais. Esse limite de US$ 25 milhões é notavelmente inferior ao piso de US$ 40 milhões proposto no APRA, o que significa que o SECURE Data Act abrangeria tecnicamente mais pequenas empresas - embora, na prática, os críticos argumentem que suas proteções substantivas mais fracas compensam esse escopo mais amplo.
O problema da preempção: 20 estados perdem suas leis de privacidade
O elemento mais consequente e controverso do SECURE Data Act é sua cláusula de preempção. O projeto de lei anularia qualquer lei ou disposição estadual que se "relacione com" seu assunto. Esta é uma linguagem intencionalmente ampla - ampla o suficiente para eliminar não apenas estatutos dedicados à privacidade do consumidor, como a CCPA, mas potencialmente registros de corretores de dados estaduais, leis de privacidade biométrica e certos regulamentos setoriais também.
A CCPA da Califórnia e sua sucessora mais forte, a CPRA, representam o padrão ouro da lei de privacidade do consumidor dos EUA. Eles dão aos residentes da Califórnia o direito de saber quais dados as empresas coletam, o direito de excluí-los, o direito de cancelar sua venda e, criticamente, um direito de ação privado para certas falhas de segurança de dados. O SECURE Data Act tiraria tudo isso, substituindo as proteções da Califórnia por um piso federal mais fraco e removendo a capacidade dos cidadãos de fazer valer independentemente seus direitos por meio de litígios.
Para os defensores da privacidade, a preempção federal desta forma representa um passo para trás, não para frente. O argumento para um padrão federal é a consistência para empresas que operam além das fronteiras estaduais - mas essa lógica só se sustenta se o padrão federal for pelo menos tão protetor quanto as leis estaduais mais fortes. O SECURE Data Act não é. Ele foi projetado para reduzir a carga de conformidade de grandes empresas de tecnologia e corretores de dados, não para fortalecer os direitos individuais de privacidade.
Sem direito de ação privado: A lacuna de fiscalização
Sob o SECURE Data Act, a autoridade de aplicação cabe inteiramente à FTC e aos procuradores-gerais dos estados. Não há direito de ação privado - o que significa que um cidadão dos EUA cujos direitos de dados são violados não pode abrir um processo contra a empresa responsável. Esta é uma escolha deliberada dos redatores republicanos e reflete a abordagem adotada em propostas federais anteriores de privacidade, como a APRA.
O efeito prático da remoção do litígio privado como mecanismo de fiscalização é significativo. A FTC é cronicamente subfinanciada em relação à escala da economia de dados que seria encarregada de policiar. Os procuradores-gerais do Estado têm recursos limitados e devem priorizar os casos mais flagrantes. Sem a ameaça de ações coletivas movidas diretamente pelos cidadãos, as empresas enfrentam um risco financeiro muito menor por violações de privacidade - e a estrutura de incentivo para a conformidade enfraquece em conformidade.
O que isso significa para sua privacidade digital
Se o SECURE Data Act for aprovado em sua forma atual, os americanos em estados que atualmente têm fortes proteções de privacidade se veriam com menos direitos aplicáveis e menos recursos legais quando esses direitos forem violados. O modelo de exclusão (opt-out) do projeto de lei para publicidade direcionada - onde seus dados são coletados por padrão e você deve solicitar ativamente a exclusão - é mais fraco do que os regimes de consentimento prévio (opt-in) que alguns estados começaram a explorar.
De uma perspectiva prática de privacidade, esse impulso legislativo ressalta uma realidade que os usuários de VPN já entendem: os marcos legais são uma camada de proteção à privacidade, mas não são a única e não são permanentes. Uma VPN criptografa seu tráfego de Internet e mascara sua atividade de navegação para o seu provedor, evitando a coleta de dados no nível da rede que as leis de privacidade tentam regular após o fato. À medida que a legislação federal de privacidade se inclina para padrões mais fracos sob a pressão do setor, as ferramentas de privacidade no nível da rede se tornam cada vez mais importantes como defesa básica.
O projeto de lei ainda precisa passar pelos comitês e por ambas as câmaras do Congresso. Enfrenta a oposição de organizações de direitos digitais e estados que investiram pesadamente em suas próprias estruturas de privacidade. A Califórnia, em particular, dificilmente aceitará a preempção federal da CCPA sem uma luta política significativa.
