Somos rastreados centenas, ou até milhares de vezes por dia no mundo digital. Cookies e rastreadores de sites capturam cada link que clicamos, enquanto códigos instalados em aplicativos móveis monitoram cada local físico visitado por nossos dispositivos — e, consequentemente, por nós. Essas informações são coletadas, combinadas com outros detalhes (obtidos de registros públicos, programas de fidelidade de supermercados, concessionárias de serviços públicos e mais) e utilizadas para criar perfis altamente personalizados, que são compartilhados ou vendidos, muitas vezes sem o nosso conhecimento ou consentimento explícito.
Cresce o consenso de que os norte-americanos precisam de melhores proteções de privacidade — e que a melhor forma de alcançá-las seria o Congresso aprovar uma legislação federal abrangente sobre o tema. Embora a versão mais recente de tal proposta, o American Privacy Rights Act de 2024, tenha ganhado mais força do que tentativas anteriores, o projeto foi diluído a ponto de perder apoio tanto de republicanos quanto de democratas, antes mesmo de ser votado.
Houve algumas vitórias no campo da privacidade, como a imposição de limites ao que corretoras de dados — empresas terceirizadas que compram e vendem informações pessoais de consumidores para anúncios direcionados, mensagens e outras finalidades — podem fazer com dados de localização geográfica.
Esses avanços, no entanto, ainda são pequenos passos, ocorrendo enquanto tecnologias cada vez mais poderosas e invasivas coletam mais dados do que nunca. Ao mesmo tempo, Washington se prepara para uma nova administração presidencial com histórico de ataques à imprensa, promessas de deportações em massa de imigrantes, ameaças de retaliação contra opositores e apoio a leis estaduais restritivas ao aborto. Isso sem mencionar a crescente coleta de dados biométricos, especialmente para reconhecimento facial, e a normalização de seu uso em diversas situações. Nesse contexto, é seguro dizer que nossos dados pessoais nunca estiveram tão vulneráveis e que a privacidade nunca foi tão urgente.
O que os norte-americanos podem esperar em relação aos seus dados pessoais em 2025? Conversamos com especialistas e defensores da privacidade para entender como nossos dados digitais podem ser protegidos ou comercializados nos próximos anos.
Controlando uma indústria problemática
Em dezembro, a Comissão Federal de Comércio (FTC, na sigla em inglês) anunciou acordos judiciais com as corretoras de dados Mobilewalla e Gravy Analytics (e sua subsidiária Venntel). As empresas foram acusadas de rastrear e vender dados de geolocalização de usuários em locais sensíveis, como igrejas, hospitais e instalações militares, sem consentimento explícito. Como parte do acordo, a FTC proibiu a venda desses dados, exceto em circunstâncias específicas. Essa decisão veio após um ano movimentado em regulamentações para corretoras de dados, incluindo várias ações da FTC contra empresas por uso e venda inadequada de dados de localização e uma regra proposta pelo Departamento de Justiça para proibir a venda de grandes volumes de dados a entidades estrangeiras.
No mesmo dia, o Bureau de Proteção Financeira ao Consumidor propôs uma nova regra que classificaria corretoras de dados como agências de relatórios ao consumidor, sujeitando-as a exigências rigorosas de transparência e proteção de dados. A regra proibiria a coleta e o compartilhamento de informações sensíveis, como salários e números de seguridade social, sem “finalidades legítimas.” Apesar de ainda precisar de um período de 90 dias para comentários públicos e de incertezas sobre sua implementação na administração Trump, a medida, se aprovada, poderia limitar fundamentalmente as atividades das corretoras de dados.
Atualmente, há poucos limites para o funcionamento dessas empresas — e tampouco se sabe quantas existem. Estima-se que haja entre 4.000 e 5.000 corretoras de dados no mundo, muitas delas desconhecidas, com nomes que frequentemente mudam. Na Califórnia, o Registro de Corretoras de Dados de 2024 listou 527 empresas registradas voluntariamente. Dessas, 90 declararam coletar dados de geolocalização.
Esses dados estão amplamente disponíveis para compra por qualquer pessoa disposta a pagar. Empresas de marketing os utilizam para anúncios altamente direcionados, enquanto bancos e seguradoras os utilizam para verificar identidades, prevenir fraudes e conduzir avaliações de risco. Forças policiais compram dados de localização para rastrear pessoas sem necessidade de mandados tradicionais. Entidades estrangeiras também podem adquirir informações sensíveis de membros das forças armadas e outros funcionários do governo. E em sites de busca de pessoas, qualquer um pode pagar para obter detalhes de contato e históricos pessoais de outros indivíduos.
As corretoras e seus clientes defendem essas transações alegando que a maioria dos dados é anonimizada — embora seja discutível se isso é possível no caso de dados de localização. Além disso, dados anônimos podem ser facilmente reidentificados, especialmente quando combinados com outras informações pessoais.
Defensores de direitos digitais têm alertado há anos sobre os perigos dessa indústria secreta, especialmente seu impacto em comunidades já marginalizadas. Diversos tipos de coleta de dados também despertam preocupações de diferentes espectros políticos. A deputada republicana Cathy McMorris Rodgers, por exemplo, criticou o uso de dados de localização pelo CDC para avaliar a eficácia dos lockdowns durante a pandemia. Um estudo recente mostrou a facilidade de comprar dados sensíveis sobre militares americanos, o que levou a senadora democrata Elizabeth Warren a alertar sobre riscos à segurança nacional e o senador republicano John Cornyn a se dizer “chocado” ao saber da prática.
Mas foi a decisão da Suprema Corte, em 2022, que eliminou a garantia constitucional ao aborto legal, impulsionando muitas ações federais no ano passado. Logo após o caso Dobbs, o presidente Biden emitiu uma ordem executiva para proteger o acesso a cuidados reprodutivos, incluindo instruções para a FTC impedir que informações sobre visitas a consultórios médicos ou clínicas de aborto fossem vendidas para agências de segurança ou promotores estaduais.
Os novos executores
Com Donald Trump assumindo o cargo em janeiro e os republicanos controlando ambas as casas do Congresso, o destino da regra proposta pelo CFPB (Bureau de Proteção Financeira ao Consumidor) — e da própria agência — é incerto. Republicanos, os idealizadores do Projeto 2025, e Elon Musk (que liderará o recém-criado Departamento de Eficiência Governamental) há tempos defendem que o órgão seja “deletado”, como Musk mencionou na plataforma X. Embora isso exija um ato do Congresso, tornando o cenário improvável, há outras formas de a administração enfraquecer drasticamente seus poderes. Trump provavelmente substituirá o atual diretor por um republicano que poderá revogar regras existentes e impedir novas regulações.
Enquanto isso, as ações da FTC (Comissão Federal de Comércio) só são eficazes quanto mais consistentes forem os esforços de fiscalização. Segundo Ben Winters, ex-funcionário do Departamento de Justiça e diretor de IA e privacidade na Consumer Federation of America, as decisões da FTC não criam precedentes legais como os casos judiciais, mas requerem uma aplicação consistente para “fazer toda a indústria temer uma ação de fiscalização contra eles”. Vale destacar que os acordos da FTC estão focados principalmente em dados de geolocalização, apenas um dos muitos tipos de dados sensíveis que entregamos para participar do mundo digital.
Olhando para o futuro, a professora Tiffany Li, da Universidade de São Francisco, especializada em direito de privacidade e IA, expressa preocupação com uma FTC “desfalcada”, que seria “menos agressiva em ações contra empresas”.
A atual presidente da FTC, Lina Khan, tem liderado as ações de proteção à privacidade nos EUA, observa Li, mas em breve deixará o cargo. O recém-nomeado por Trump para presidir a comissão, Andrew Ferguson, já demonstrou forte oposição às corretoras de dados: “Esse tipo de dado — registros precisos da localização física de uma pessoa — é inerentemente invasivo e revela os assuntos mais privados das pessoas”, escreveu ele em comunicado sobre a decisão contra a Mobilewalla, indicando que provavelmente continuará a agir contra essas empresas. Por outro lado, Ferguson se posicionou contra o uso das ações da FTC como substituto para a legislação de privacidade que deveria ser aprovada pelo Congresso. E aqui voltamos ao grande obstáculo: até agora, o Congresso não conseguiu aprovar essas leis, e não está claro se o próximo conseguirá.
Avanços nos estados
Sem ação legislativa federal, muitos estados dos EUA estão assumindo a responsabilidade pela privacidade de dados.
Em 2025, oito novas leis estaduais de privacidade entrarão em vigor, totalizando 25 em todo o país. Outros estados, como Vermont e Massachusetts, estão considerando aprovar suas próprias legislações de privacidade no próximo ano. Essas leis poderiam, em teoria, forçar a aprovação de uma legislação nacional, segundo Woodrow Hartzog, especialista em direito da tecnologia na Universidade de Boston. “No momento, os estatutos são suficientemente parecidos para que o custo de conformidade seja caro, mas administrável”, explica. No entanto, se um estado aprovar uma lei significativamente diferente das outras, uma lei nacional poderá ser a única forma de resolver o conflito. Além disso, quatro estados — Califórnia, Texas, Vermont e Oregon — já possuem leis específicas que regulam corretoras de dados, incluindo a exigência de que se registrem no estado.
Com novas leis, vem a possibilidade de “dar mais força a essas regulamentações”, diz Justin Brookman, diretor de políticas de tecnologia da Consumer Reports.
Brookman aponta para o Texas, onde algumas das ações mais agressivas de fiscalização em nível estadual têm ocorrido sob o comando do procurador-geral republicano Ken Paxton. Antes mesmo de a nova lei estadual de privacidade entrar em vigor em julho, Paxton criou uma força-tarefa especial para aplicar as leis de privacidade no estado. Desde então, ele mirou diversas corretoras de dados — incluindo a National Public Data, que expôs milhões de registros sensíveis em uma violação de dados em agosto, além de empresas que vendem dados para elas, como a Sirius XM.
Ao mesmo tempo, Paxton tem aplicado rigorosamente as leis restritivas de aborto do estado, de forma que ameaçam a privacidade individual. Em dezembro, ele processou um médico de Nova York por enviar pílulas abortivas pelo correio para uma mulher no Texas. Embora o médico esteja teoricamente protegido pelas leis de Nova York, que oferecem salvaguardas contra processos de outros estados, a ação agressiva de Paxton destaca a importância de os estados incorporarem proteções de privacidade de dados em suas legislações, afirma Albert Fox Cahn, diretor executivo do Surveillance Technology Oversight Project, um grupo de defesa de direitos. “Há uma necessidade urgente de os estados protegerem os dados de seus residentes, proibindo empresas de coletar e compartilhar informações que possam ser usadas contra eles por promotores de outros estados”, diz ele.
Coleta de dados em nome da “segurança”
Embora a privacidade tenha se tornado uma questão bipartidária nos EUA, os republicanos têm demonstrado um interesse particular em abordar corretoras de dados no contexto da segurança nacional, especialmente para proteger informações de militares e funcionários do governo, afirma Ben Winters, da Consumer Federation of America. No entanto, ele considera que os impactos nos direitos reprodutivos e nos imigrantes representam as ameaças mais perigosas à privacidade.
De fato, corretoras de dados (incluindo a Venntel, subsidiária da Gravy Analytics mencionada no recente acordo com a FTC) já venderam dados de localização de celulares para o Serviço de Imigração e Alfândega (ICE) e a Alfândega e Proteção de Fronteiras (CBP). Esses dados foram usados para rastrear indivíduos em processos de deportação, permitindo que as agências ignorassem leis estaduais e locais que proíbem a cooperação de forças policiais em questões de imigração.
Ashley Gorski, advogada da União Americana pelas Liberdades Civis (ACLU), alerta: “Quanto mais dados as corporações coletam, mais dados ficam disponíveis para governos utilizarem em vigilância.”
A ACLU está entre as organizações que pressionam pela aprovação de outra lei federal de privacidade: o Fourth Amendment Is Not For Sale Act. A lei busca eliminar a chamada “brecha das corretoras de dados,” que permite que agências de inteligência e aplicação da lei comprem informações pessoais sem um mandado judicial. O projeto limitaria drasticamente a capacidade do governo de comprar dados privados dos americanos, afirma Gorski. Introduzido em 2021, o projeto foi aprovado na Câmara em abril de 2024, com apoio de 123 republicanos e 93 democratas, mas estagnou no Senado.
Enquanto Gorski mantém a esperança de que a lei avance, outros estão menos otimistas e preocupados com o risco de a nova administração “cooptar sistemas privados para fins de vigilância,” como explica Woodrow Hartzog, especialista em direito da tecnologia. Segundo ele, muitas das informações pessoais coletadas para um propósito específico podem ser “facilmente usadas pelo governo para nos rastrear.”
Essa preocupação é agravada pelo fato de que a próxima administração deixou claro seu interesse em usar todas as ferramentas disponíveis para implementar políticas de deportação em massa e retaliar inimigos. Winters observa que uma possível mudança seria simplificar os processos de aquisição do governo, tornando-os mais abertos a tecnologias emergentes, com menos proteções de privacidade. “Atualmente, é complicado adquirir qualquer coisa como agência federal,” afirma, mas ele espera que uma abordagem mais “rápida e flexível” seja adotada.
Essa tendência já é evidente, com agências de todos os níveis utilizando ferramentas de empresas controversas como a Clearview AI, conhecida por seu software de reconhecimento facial.
O elemento imprevisível da IA
Por trás de todos esses debates legislativos está o fato de que as empresas de tecnologia — especialmente de IA — continuam demandando enormes quantidades de dados, incluindo dados pessoais, para treinar seus modelos de aprendizado de máquina. No entanto, esses recursos estão se esgotando rapidamente.
Essa escassez é um fator imprevisível em qualquer previsão sobre dados pessoais. Idealmente, explica Jennifer King, especialista em privacidade no Instituto de IA Centrada no Ser Humano da Universidade de Stanford, isso levaria a maneiras de consumidores se beneficiarem diretamente, talvez financeiramente, do valor de seus próprios dados. Contudo, é mais provável que “a indústria resista ainda mais a propostas de legislações federais abrangentes de privacidade,” afirma. “As empresas se beneficiam do status quo.”
A busca incessante por mais dados pode levar empresas a mudarem suas próprias políticas de privacidade, diz Whitney Merrill, ex-funcionária da FTC que trabalha com privacidade de dados na Asana. Ela observa que, durante a recessão tecnológica atual e com taxas de juros elevadas, empresas têm tentado monetizar dados no mundo da IA, mesmo às custas da privacidade dos usuários. Ela cita o acordo de US$ 60 milhões anuais da Reddit para licenciar seu conteúdo à Google para treinar IA.
No início deste ano, a FTC alertou que seria “injusto e enganoso” alterar políticas de privacidade de forma oculta para permitir o uso de dados de usuários no treinamento de IA. No entanto, a aplicação dessas regras depende de quem está no comando.
O futuro da privacidade em 2025
Embora os recentes acordos da FTC e a regra proposta pelo CFPB representem passos importantes na proteção de privacidade — pelo menos no que se refere a dados de localização —, as informações pessoais dos americanos ainda permanecem amplamente disponíveis e vulneráveis.
Rebecca Williams, estrategista da ACLU para privacidade e governança de dados, argumenta que cabe a cada um de nós, como indivíduos e comunidades, fazer mais para nos proteger. Ela sugere “resistir, optando por não participar” de tantas formas de coleta de dados quanto possível, verificando configurações de privacidade em contas e aplicativos, além de usar serviços de mensagens criptografadas.
Enquanto isso, Albert Fox Cahn, do Surveillance Technology Oversight Project, afirma que continuará lutando para proteger sua comunidade local, promovendo salvaguardas que garantam princípios éticos e compromissos declarados. Ele cita uma proposta de legislação em Nova York que proibiria o compartilhamento de dados de localização originados dentro dos limites da cidade como exemplo.
Hartzog aponta que esse tipo de ativismo local já foi eficaz para proibir o uso de reconhecimento facial em algumas cidades.
“Os direitos de privacidade estão em risco, mas não desapareceram completamente, e não é útil ter uma visão excessivamente pessimista agora,” diz Tiffany Li, professora de direito da Universidade de São Francisco. “Ainda temos direitos de privacidade e, quanto mais lutarmos por eles, mais conseguiremos protegê-los.”
Eileen Guo
