1 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • A Virgínia proibiu a venda de dados de geolocalização por meio de uma emenda à VCDPA, reforçando as restrições ao comércio de dados de localização nas leis estaduais de proteção de privacidade
  • A emenda foi confirmada com a sanção da S.B. 388, e a proibição passa a valer em 1º de julho de 2026
  • Na VCDPA, a definição de venda (sale) se limita aos casos em que dados pessoais são transferidos a terceiros mediante compensação monetária, o que torna seu alcance mais estreito que o de outros estados
  • Maryland e Oregon também proibiram a venda de dados de geolocalização, mas ambos incluem na definição de venda também outra contraprestação de valor, além de dinheiro
  • Projetos de lei semelhantes na California, Massachusetts, Vermont e Washington State, além de investigação do California Attorney General e acordo da FTC, mostram que a venda de dados de geolocalização está ganhando destaque como foco regulatório

Emenda da VCDPA na Virgínia

  • A governadora da Virgínia, Abigail Spanberger, sancionou a S.B. 388 em 13 de abril de 2026
  • A lei altera a Virginia Consumer Data Protection Act (VCDPA) para proibir a venda de dados de geolocalização
  • Na VCDPA, venda é definida como “o ato de um controlador trocar dados pessoais com terceiros mediante compensação monetária”
  • Por isso, a definição de venda na Virgínia permanece com escopo mais limitado do que o das leis abrangentes de privacidade de outros estados

Data de entrada em vigor e diferenças em relação a outros estados

  • A proibição da venda de dados de geolocalização entra em vigor em 1º de julho de 2026
  • A Virgínia segue Maryland e Oregon, que também proibiram a venda de dados de geolocalização
  • Maryland e Oregon definem venda de forma mais ampla, como a troca de dados pessoais por “compensação monetária ou outra contraprestação de valor”

Projetos de lei semelhantes e investigações regulatórias

  • Outros estados também propuseram projetos de lei semelhantes para proibir a venda de dados de geolocalização
  • Esse movimento legislativo está alinhado com a tendência de investigações regulatórias sobre a venda de dados de geolocalização
    • O California Attorney General conduziu uma investigação sobre o setor de dados de localização em março de 2025
    • Um acordo da FTC em 2024 proibiu um data broker de vender dados de geolocalização

1 comentários

 
GN⁺ 4 시간 전
Opiniões no Hacker News
  • Quando as pessoas recebem uma escolha realmente informada e sem coerção, elas rejeitam esse tipo de coleta de dados e, especialmente, a venda deles.
    O mesmo vale para o uso desses dados para finalidades diferentes dos serviços que elas achavam ter autorizado explicitamente, como navegação ou ajuste de horário. É bom ver algumas cláusulas de proteção, mas é preciso haver poder real de aplicação. Se os dados foram coletados sob pretextos falsos ou de forma coercitiva, deveria haver não só multas, mas também processo criminal.

    • Concordo totalmente. Pessoas que dizem “não tenho nada a esconder” parecem não entender o quanto podem ser prejudicadas quando não há proteção à privacidade nem leis que a garantam. Ou talvez simplesmente não tenham instinto de autopreservação.
    • Se você for rico, imagino que simplesmente pague a multa e siga em frente. Ouvimos com frequência que grandes empresas levam multas de bilhões de dólares por esse tipo de coisa todos os anos e nem ligam.
      Edit: só agora meu cérebro processou a informação: se houver processo criminal, isso teria um pouco mais de efeito dissuasório. Claro que ninguém faria algo ilegal, mas ;)
    • Fico curioso sobre onde fica o limite da coerção.
      Seria possível um produto exibir em destaque, na tela de pagamento: “vamos vender seus dados de localização”? O simples fato de alguém querer esse produto já tornaria isso coercitivo?
  • É um bom começo. Em 2024, foi noticiado que “uma investigação revelou que uma empresa rastreou visitas a cerca de 600 unidades da Planned Parenthood em 48 estados e forneceu esses dados a uma das maiores campanhas publicitárias antiaborto dos EUA” - https://www.politico.com/news/2024/02/13/planned-parenthood-...

  • Por exemplo, o que acontece se uma empresa constituída em Delaware vender dados de localização coletados na Virgínia, mas essa empresa não operar na Virgínia?
    Por outro lado, us-east-1 fica na Virgínia, e não dá para saber quantos servidores de processamento de pagamentos rodam lá.

    • É o mesmo que sempre acontece em ações que atravessam fronteiras estaduais. O processo vai para uma das jurisdições ou, se atender aos requisitos de jurisdição por diversidade, vai para a Justiça Federal.
    • Se a empresa de Delaware não tiver nenhuma presença na Virgínia, o estado da Virgínia não pode fazer muita coisa.
      Mas o fato de us-east-1 ficar na Virgínia provavelmente complica bastante a questão, e parece ser algo que os tribunais terão de resolver.
    • O vendedor provavelmente vai decidir se cumpre ou não. Se quiser cumprir, vai excluir todos os dados da Virgínia dos conjuntos de dados coletados e exigir por contrato que usuários downstream isentem o vendedor de responsabilidade caso o conjunto de dados afete moradores da Virgínia.
  • Alguns anos atrás, o NYTimes cobriu como seguradoras de automóveis usam esse tipo de dado. A matéria falava de rastrear freadas bruscas, direção noturna, dirigir acima de 80 mph etc.

    • Como observação lateral, fico curioso sobre por que 80 mph foi escolhido como um critério arbitrário.
      Em áreas rurais de Utah há trechos com limite de velocidade de 80 mph, e também há leis de velocidade que presumem infração prima facie. Muitos motoristas de Utah passam regularmente de 80 mph, e imagino que alguns façam isso legalmente. É um número estranho para usar como critério.
    • Exato. É a troca, com fins lucrativos, de dados privados e pessoais sem o consentimento ou sequer o conhecimento do usuário.
    • Esses dados não são coletados com consentimento, como parte de programas de seguro, e de forma bastante explícita?
  • Como alguém que trabalha na área de compra de anúncios, acho esse tipo de lei excelente. Esses pontos de dados não deveriam estar à venda, para começo de conversa.
    Isso evita que a proteção das pessoas dependa apenas da boa vontade. É um passo na direção certa.

  • Este artigo é de abril, e a proibição entrou em vigor em 1º de julho.

  • Se isso realmente mira a “venda” de dados e impõe restrições rígidas a data brokers e a vários agentes mal-intencionados, sou totalmente a favor.
    Por outro lado, se for como a lei da Califórnia, que chama todo uso de dados de “venda de dados” e acaba turvando as águas sem impor uma regulamentação realmente valiosa aos maus atores do setor, seria uma pena. Também há valor em manter o significado das palavras claro e consistente. Não há problema em o Google usar seus próprios dados do Google Maps para oferecer recomendações melhores, mas a AT&T vender a terceiros dados agregados de localização que facilitam identificar indivíduos é um grande problema. Espero que seja um caminho claro para proibir o segundo caso sem mexer no primeiro.

  • Já que estão se dando ao trabalho de criar uma lei dessas, fico me perguntando por que proibir apenas a venda, e não todo compartilhamento.

    • Boa pergunta, e também me pergunto isso. Penso em serviços de emergência 911, operadoras de telecomunicações e dados exigidos por intimações de órgãos de aplicação da lei.
      Talvez a lógica seja que entidades comerciais terceiras, como operadoras, coletam e compartilham por necessidade, mas provavelmente não vendem. Só que isso também cria brechas interessantes. Dá para firmar um acordo de compartilhamento e depois recuperar por outro mecanismo a taxa que originalmente seria cobrada. Se o Provedor A quiser vender dados ao Provedor B, e B quiser comprar, mas a venda for proibida por lei, A pode embutir o custo em outro contrato não relacionado com B e, com uma piscadela, um aperto de mão e um aceno, compartilhar “gratuitamente” os dados de localização como parte da “relação”. Os dois lados sabem que o custo está em outro contrato, mas só A conhece o custo por item; B apenas calcula se o preço de outro pacote, junto com o compartilhamento amigável de dados de localização, compensa o custo total. Para ser justo, antes de o dinheiro entrar na jogada, as pessoas tendem a ser menos maliciosas no uso e na intenção das informações. Nem sempre, mas em média sim.
    • Porque os dados são muito úteis para refletir o risco dos motoristas nos prêmios de seguro. Naturalmente, motoristas perigosos deveriam pagar taxas mais altas.
  • O fato de que a venda dos dados de localização precisos das pessoas já foi tratada como um modelo de negócio normal é, francamente, absurdo.
    Sabemos que já houve coleta massiva de dados. Leis assim são apenas o mínimo para tentar correr atrás do prejuízo. Seria bom se também pudéssemos criar leis para punir essas empresas a ponto de tornar inviável a própria existência delas, mas é difícil esperar isso.

  • Achei interessante que a localização aproximada de um endereço IP também seja “dado de localização”, mas a lei fala em dados de localização precisos, então parece limitar isso a dados informados pelo dispositivo.

    • Provavelmente entra na definição de dados de localização precisos que pode ser configurada nas opções do celular. É a opção mais granular que você pode ativar ao compartilhar localização.
    • Acho que qualquer coisa com coordenadas se enquadra. Desde que não seja algo como “atrás do bordo do outro lado da rua, em frente à Ross Dress for Less”.