Virginia proíbe a venda de dados precisos de geolocalização

Âmbito da lei da Virgínia

  • Proíbe a venda de “dados precisos de geolocalização”, definidos como informações de localização com precisão de até 1.750 pés.
  • Exclui dados de medidores inteligentes de serviços públicos e o conteúdo das comunicações.
  • Entrou em vigor em 1º de julho e segue medidas semelhantes em Maryland e Oregon; vários outros estados estão considerando leis relacionadas.
  • Alguns observam que a aplicação é limitada ao Procurador-Geral do estado; indivíduos não podem processar diretamente.

Venda vs. compartilhamento e prováveis contornos para contornar a lei

  • Muitos apontam que a lei mira a “venda”, não todo “compartilhamento”, deixando espaço para:
    • Modelos de “dados grátis com hardware/serviço pago”.
    • Co-contratação em que os dados são “compartilhados”, mas os custos ficam ocultos em outros acordos.
    • Geolocalização “anônima” ou “difusa” que ainda permite reidentificação.
  • Comentadores esperam que empresas redefinam relações (por exemplo, “parceiros”, “serviços”) para evitar acionar a definição de “venda”.

Eficácia do limite de 1.750 pés

  • Críticos argumentam que dados grosseiros ainda são altamente identificáveis quando combinados ao longo do tempo (casa, trabalho, rotinas).
  • A discussão faz referência à k-anonymity e à facilidade de desanonimizar padrões de movimento.
  • Alguns chamam a lei de um gesto político que não interrompe de fato os danos baseados em rastreamento.

Questões de jurisdição e entre estados

  • Não está claro como a Virgínia lidará com empresas de fora do estado (por exemplo, data brokers incorporados em Delaware) vendendo dados coletados de residentes da Virgínia.
  • Especula-se que a aplicação entre estados dependeria de tribunais, presença no estado ou infraestrutura localizada na Virgínia (por exemplo, data centers).

Privacidade, consentimento e coerção

  • Há um forte tema de que dados de geolocalização são altamente sensíveis e que sua venda irrestrita anterior era “absurda”.
  • Debate sobre se os dados deveriam ser considerados “de propriedade” dos coletores ou dos indivíduos.
  • Preocupações com:
    • Uso na precificação de seguros, concessão de crédito, saúde e possível redlining.
    • Consentimento “coercitivo”, em que o acesso a produtos/serviços depende da entrega de dados.
  • Alguns querem proibições mais amplas à venda de dados pessoais em nível nacional e responsabilização criminal significativa por práticas abusivas.

Contexto mais amplo e reações

  • Muitos veem isso como um passo positivo e tardio, e esperam que “se espalhe como fogo”.
  • Outros acham que é fraco demais, dado o amplo monitoramento já existente (operadoras, ALPRs, data brokers) e as brechas e a aplicação limitada da lei.