Virgínia proíbe a venda de dados de geolocalização
(hunton.com)- A Virgínia proibiu a venda de dados de geolocalização por meio de uma emenda à VCDPA, reforçando as restrições ao comércio de dados de localização nas leis estaduais de proteção de privacidade
- A emenda foi confirmada com a sanção da S.B. 388, e a proibição passa a valer em 1º de julho de 2026
- Na VCDPA, a definição de venda (sale) se limita aos casos em que dados pessoais são transferidos a terceiros mediante compensação monetária, o que torna seu alcance mais estreito que o de outros estados
- Maryland e Oregon também proibiram a venda de dados de geolocalização, mas ambos incluem na definição de venda também outra contraprestação de valor, além de dinheiro
- Projetos de lei semelhantes na California, Massachusetts, Vermont e Washington State, além de investigação do California Attorney General e acordo da FTC, mostram que a venda de dados de geolocalização está ganhando destaque como foco regulatório
Emenda da VCDPA na Virgínia
- A governadora da Virgínia, Abigail Spanberger, sancionou a S.B. 388 em 13 de abril de 2026
- A lei altera a Virginia Consumer Data Protection Act (VCDPA) para proibir a venda de dados de geolocalização
- Na VCDPA, venda é definida como “o ato de um controlador trocar dados pessoais com terceiros mediante compensação monetária”
- Por isso, a definição de venda na Virgínia permanece com escopo mais limitado do que o das leis abrangentes de privacidade de outros estados
Data de entrada em vigor e diferenças em relação a outros estados
- A proibição da venda de dados de geolocalização entra em vigor em 1º de julho de 2026
- A Virgínia segue Maryland e Oregon, que também proibiram a venda de dados de geolocalização
- Maryland e Oregon definem venda de forma mais ampla, como a troca de dados pessoais por “compensação monetária ou outra contraprestação de valor”
Projetos de lei semelhantes e investigações regulatórias
- Outros estados também propuseram projetos de lei semelhantes para proibir a venda de dados de geolocalização
- Esse movimento legislativo está alinhado com a tendência de investigações regulatórias sobre a venda de dados de geolocalização
- O California Attorney General conduziu uma investigação sobre o setor de dados de localização em março de 2025
- Um acordo da FTC em 2024 proibiu um data broker de vender dados de geolocalização
1 comentários
Opiniões no Hacker News
Quando as pessoas recebem uma escolha realmente informada e sem coerção, elas rejeitam esse tipo de coleta de dados e, especialmente, a venda deles.
O mesmo vale para o uso desses dados para finalidades diferentes dos serviços que elas achavam ter autorizado explicitamente, como navegação ou ajuste de horário. É bom ver algumas cláusulas de proteção, mas é preciso haver poder real de aplicação. Se os dados foram coletados sob pretextos falsos ou de forma coercitiva, deveria haver não só multas, mas também processo criminal.
Edit: só agora meu cérebro processou a informação: se houver processo criminal, isso teria um pouco mais de efeito dissuasório. Claro que ninguém faria algo ilegal, mas ;)
Seria possível um produto exibir em destaque, na tela de pagamento: “vamos vender seus dados de localização”? O simples fato de alguém querer esse produto já tornaria isso coercitivo?
É um bom começo. Em 2024, foi noticiado que “uma investigação revelou que uma empresa rastreou visitas a cerca de 600 unidades da Planned Parenthood em 48 estados e forneceu esses dados a uma das maiores campanhas publicitárias antiaborto dos EUA” - https://www.politico.com/news/2024/02/13/planned-parenthood-...
Por exemplo, o que acontece se uma empresa constituída em Delaware vender dados de localização coletados na Virgínia, mas essa empresa não operar na Virgínia?
Por outro lado, us-east-1 fica na Virgínia, e não dá para saber quantos servidores de processamento de pagamentos rodam lá.
Mas o fato de us-east-1 ficar na Virgínia provavelmente complica bastante a questão, e parece ser algo que os tribunais terão de resolver.
Alguns anos atrás, o NYTimes cobriu como seguradoras de automóveis usam esse tipo de dado. A matéria falava de rastrear freadas bruscas, direção noturna, dirigir acima de 80 mph etc.
Em áreas rurais de Utah há trechos com limite de velocidade de 80 mph, e também há leis de velocidade que presumem infração prima facie. Muitos motoristas de Utah passam regularmente de 80 mph, e imagino que alguns façam isso legalmente. É um número estranho para usar como critério.
Como alguém que trabalha na área de compra de anúncios, acho esse tipo de lei excelente. Esses pontos de dados não deveriam estar à venda, para começo de conversa.
Isso evita que a proteção das pessoas dependa apenas da boa vontade. É um passo na direção certa.
Este artigo é de abril, e a proibição entrou em vigor em 1º de julho.
Se isso realmente mira a “venda” de dados e impõe restrições rígidas a data brokers e a vários agentes mal-intencionados, sou totalmente a favor.
Por outro lado, se for como a lei da Califórnia, que chama todo uso de dados de “venda de dados” e acaba turvando as águas sem impor uma regulamentação realmente valiosa aos maus atores do setor, seria uma pena. Também há valor em manter o significado das palavras claro e consistente. Não há problema em o Google usar seus próprios dados do Google Maps para oferecer recomendações melhores, mas a AT&T vender a terceiros dados agregados de localização que facilitam identificar indivíduos é um grande problema. Espero que seja um caminho claro para proibir o segundo caso sem mexer no primeiro.
Já que estão se dando ao trabalho de criar uma lei dessas, fico me perguntando por que proibir apenas a venda, e não todo compartilhamento.
Talvez a lógica seja que entidades comerciais terceiras, como operadoras, coletam e compartilham por necessidade, mas provavelmente não vendem. Só que isso também cria brechas interessantes. Dá para firmar um acordo de compartilhamento e depois recuperar por outro mecanismo a taxa que originalmente seria cobrada. Se o Provedor A quiser vender dados ao Provedor B, e B quiser comprar, mas a venda for proibida por lei, A pode embutir o custo em outro contrato não relacionado com B e, com uma piscadela, um aperto de mão e um aceno, compartilhar “gratuitamente” os dados de localização como parte da “relação”. Os dois lados sabem que o custo está em outro contrato, mas só A conhece o custo por item; B apenas calcula se o preço de outro pacote, junto com o compartilhamento amigável de dados de localização, compensa o custo total. Para ser justo, antes de o dinheiro entrar na jogada, as pessoas tendem a ser menos maliciosas no uso e na intenção das informações. Nem sempre, mas em média sim.
O fato de que a venda dos dados de localização precisos das pessoas já foi tratada como um modelo de negócio normal é, francamente, absurdo.
Sabemos que já houve coleta massiva de dados. Leis assim são apenas o mínimo para tentar correr atrás do prejuízo. Seria bom se também pudéssemos criar leis para punir essas empresas a ponto de tornar inviável a própria existência delas, mas é difícil esperar isso.
Achei interessante que a localização aproximada de um endereço IP também seja “dado de localização”, mas a lei fala em dados de localização precisos, então parece limitar isso a dados informados pelo dispositivo.