**Privacidade como espaço de resistência: repensar o consentimento, recuperar a dignidade**
Prof. Dr. Bernardo Grossi

Há uma ilusão persistente na maneira como o debate sobre proteção de dados pessoais tem sido construído: a de que o consentimento informado, livre e inequívoco seria o fundamento real da autodeterminação informativa. Como se bastasse um clique, geralmente sobre um termo pré-formatado, para que o titular de dados exercesse sua autonomia plenamente, compreendendo riscos, consequências e os reais usos de suas informações mais íntimas. A retórica da transparência, transformada em fórmula jurídica genérica, oculta uma assimetria estrutural de poderes.

Não é novidade que o consentimento tornou-se um instituto esvaziado na prática digital massificada. Na linguagem de Stefano Rodotà, ele assume feições de “contrato de adesão ontológica”: o sujeito da relação jurídica não negocia realmente os termos, mas apenas aceita ou se exclui da experiência social mediatizada. E quando a participação no mundo digital é, de fato, condição para o pleno exercício da cidadania, a pretensa liberdade de consentir não passa de abstração formal. Fala-se em escolha. Mas que escolha se dá quando o encerramento da conta bancária, a exclusão de um aplicativo de transporte ou a recusa em aceitar cookies compromete a própria funcionalidade da vida cotidiana?

É precisamente nesse ponto que a lógica civil-constitucional deve se impor com maior vigor. A proteção de dados, enquanto projeção direta da dignidade da pessoa humana, não pode submeter-se ao fetiche contratualista. O consentimento, a rigor, não é mais — e talvez nunca tenha sido na era digital — um instrumento suficiente para garantir a salvaguarda da identidade pessoal. O sujeito de dados não é apenas um agente negocial, mas um portador de direitos que antecedem e transcendem sua capacidade de disposição.

Neste cenário, não podemos seguir tratando a autodeterminação informativa como sinônimo de liberdade negocial. Trata-se, antes, da afirmação de um mínimo inviolável de integridade pessoal diante de estruturas de poder informacional. A assimetria, aqui, não é apenas técnica ou cognitiva: é existencial. No mundo dos algoritmos e das arquiteturas opacas de decisão, o que está em jogo é a própria possibilidade de o sujeito manter controle sobre sua identidade e sua representação simbólica no espaço público e comercial.

É preciso, portanto, rever radicalmente o papel do consentimento nas bases legais da Lei Geral de Proteção de Dados. A linguagem da LGPD não pode ser lida como um catálogo de autorizações, mas como a enunciação de garantias mínimas, que sinalizam a existência de um dever estrutural de cuidado e respeito à pessoa — especialmente quando calada ou vulnerável. A dignidade não se exaure em escolhas; ela se realiza sobretudo nos limites éticos que impomos às relações de poder, ainda que formalmente consentidas.

Talvez seja o momento de resgatar a ideia da privacidade como espaço de não direito, no sentido proposto por Norberto Bobbio e reelaborado por Gustavo Tepedino: um território protegido contra qualquer forma de interferência, inclusive de natureza contratual. Onde o silêncio, a opacidade e a recusa de exposição não precisem ser justificados, porque são expressão legítima da intimidade como valor existencial.

Se a proteção de dados pessoais pretende ser efetiva, ela deve parar de perguntar “com base em que consentimento?”, e começar a indagar: “em nome de que dignidade?”. Por vezes, proteger o outro é não repetir a pergunta.

O post Editorial da semana: Transformações e paradoxos da privacidade apareceu primeiro em Privacidade e proteção de dados.

A privacidade entre algoritmos e contratos: quando o consentimento é uma ficção

Prof. Dr. Bernardo Grossi

A cada nova versão de um aplicativo, uma súbita e compulsória notificação nos obriga a aceitar os novos “termos de uso”, sob pena de bloqueio imediato do serviço. Uma caixa de diálogo se abre: “Você aceita?” Não há ambiguidade, nem espaço para diálogo. Não aceitar é, invariavelmente, deixar de participar. E, no entanto, chamamos isso de consentimento.

No plano jurídico, a operação parece inócua. Articula-se com familiaridade a vontade ao ato jurídico, como se o sujeito soubesse o que está renunciando, ou mesmo que tivesse margem para não fazê-lo. Mas quando tratamos de proteção de dados pessoais, esse esquema clássico perde densidade. Estamos diante de uma assimetria estrutural de poder que contamina as relações contratuais de tal modo que insistir em modelos fundados na autonomia da vontade como fundamento suficiente da legitimidade do tratamento de dados se torna não apenas anacrônico, mas perigoso.

O tema remete à crítica já consagrada à figura do consentimento como pilar da autodeterminação informativa crítica essa que ganha novo fôlego com o avanço das tecnologias de vigilância algorítmica, dos dark patterns e das condutas manipulativas travestidas de interação usuária. Como observa Shoshana Zuboff, em sua crítica ao capitalismo de vigilância, o consentimento opera, nesses contextos, como um álibi: um ritual vazio que mascara relações de poder profundamente desequilibradas.

A Lei Geral de Proteção de Dados Pessoais (LGPD), nesse ponto, é ambivalente talvez propositadamente. Ao listar diversas hipóteses de legitimidade para o tratamento de dados, acaba, muitas vezes, por ser lida como uma coletânea de autorizações. Mas há algo substancial que não pode ser negligenciado: essas bases legais não são portas abertas, mas mecanismos de contenção. Elas não se esgotam em si. Devem ser lidas à luz da dignidade da pessoa humana e do princípio da finalidade, compreendida aqui não como um mero requisito formal, mas como expressão do respeito à identidade informacional do titular. O Estado Constitucional de Direito, após tudo, não admite zonas de exceção à proteção da personalidade.

Esse debate lança luz sobre o papel da boa-fé objetiva. De pouco adianta exigir transparência ou exigir que se disponibilizem informações em linguagem simples se as estruturas contratuais forem montadas de forma a conduzir o usuário, involuntária e inconscientemente, a escolhas que não lhe pertencem. Os padrões obscuros de design (dark patterns) subvertem exatamente isso: transformam a suposta liberdade de escolha em encenação. A manifestação de vontade, aí, é fabricada e, precisamente por isso, deve ser juridicamente deslegitimada.

Se o consentimento dado nesse contexto não é livre, tampouco é consciente. E se não é livre nem consciente, não é consentimento, ao menos não na perspectiva do Direito Civil contemporâneo, comprometido com a proteção da integridade existencial do sujeito nas relações privadas. A eficácia horizontal dos direitos fundamentais exige que releiamos as normas sob esse prisma: não há contrato válido que viole a autonomia informacional.

Por isso, o desafio não é apenas regulatório ou técnico. É eminentemente jurídico. Está em compreender que o sistema brasileiro de proteção de dados se ancora numa concepção solidária e relacional de liberdade. A liberdade de tratamento não pode ser assegurada se isso significar a liberdade de oprimir, capturar ou explorar dados de maneira inconsciente. Como bem formulou Stefano Rodotà, a proteção de dados é, antes de tudo, uma política de civilização: o esforço de conter a instrumentalização da pessoa num ambiente digital radicalmente colonizado por estratégias de acumulação informacional.

Diante disso, talvez já seja hora de reconhecer que o consentimento, como tradicionalmente entendido, não deve ser o centro gravitacional do debate regulatório. O núcleo do sistema é, e precisa continuar sendo, a pessoa em sua dimensão existencial, e não como fonte ou fornecedora de dados.

Defender a privacidade hoje é, portanto, assumir uma postura crítica frente a um modelo jurídico-formalista que ainda se refugia em ficções para legitimar práticas opressivas. O jurista não pode ser mero espectador de um mundo que já não cabe mais nas categorias do século XX. Se a proteção de dados pretende ser, de fato, um campo de emancipação, ela terá de superar seus pilares individualistas e formular uma concepção relacional da liberdade.

E isso começa, talvez, por não nos iludirmos mais com a pergunta: “Você aceita?”

Referências:
– Zuboff, Shoshana. The Age of Surveillance Capitalism. PublicAffairs, 2019.
– LGPD – Lei 13.709/2018, disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

O post Editorial da semana: Transformações e paradoxos da privacidade apareceu primeiro em Privacidade e proteção de dados.

**Consentimento, uma ficção em ruínas: o colapso do pilar contratual na era dos dados**

A ideia de consentimento, durante tempos, carregou consigo a promessa de liberdade: ao consentir, supostamente escolhemos, autodeterminamos, traçamos os limites entre o público e o privado. Na moldura liberal clássica, o consentimento representou o núcleo de legitimação das trocas contratuais, inclusive quando se tratava de renunciar à própria privacidade. Porém, em um pano de fundo marcado pela datificação crescente da vida, pela opacidade algorítmica e pela assimetria radical entre plataformas digitais e usuários, não há mais como sustentar essa ilusão sem incorrer em má-fé intelectual.

O nodo problemático da proteção de dados, hoje, está menos na ausência de consentimento e mais em sua suposta presença. A este respeito, os termos de uso das grandes plataformas funcionam como instrumentos de captura, não de autodeterminação. O “aceito” com o qual o usuário supostamente adere a políticas de privacidade não é expressão de uma escolha substantiva, mas uma obediência performática a um jogo regido por regras alheias — um “consentimento compulsório”, que traça a fronteira inquietante entre liberdade jurídica e dominação tecnológica.

O Direito Civil-constitucional, mais do que qualquer outro, possui os instrumentos teóricos para dar nome a essa distorção. Já não se trata de debater a validade formal do consentimento, mas de seu conteúdo material sob a ótica da boa-fé objetiva e da função instrumental dos contratos enquanto espaços de realização da pessoa. Nesta chave, invocar a autonomia privada sem considerar as estruturas de poder envolvidas na economia da vigilância equivale a uma abdicação teórica grave. Como alertava Stefano Rodotà, o corpo social está se tornando um corpo exposto, submetido não mais a um contrato, mas a uma engenharia de disposição constante da intimidade.

Mais ainda: a LGPD, no que tem de promissora, não deve ser lida por lentes estritamente formais. Sua eficácia deve ser interpretada à luz da eficácia horizontal dos direitos fundamentais. Isso significa compreender que o “consentimento” não é um talismã jurídico capaz de legitimar qualquer forma de tratamento de dados, mas um elemento que, para ser válido, deve ser informado, livre e inequívoco — e, nesse ponto, devemos ter coragem intelectual para reconhecer que, em muitos casos, simplesmente não o é.

A questão, portanto, ultrapassa a técnica legislativa. Ela nos convoca a revisitar os fundamentos filosóficos do próprio Direito Privado. A privacidade, enquanto esfera de resguardo contra a ingerência (inclusive privada), não pode ser transacionada como qualquer outro bem econômico. A pretensão de fazê-lo revela uma precariedade conceitual evidente. Judith Martins-Costa já propunha uma reconceituação dos vínculos obrigacionais, compreendendo-os como lócus de realização existencial, não de dominação privada.

A crise, portanto, é de paradigma. Não estamos diante de um impasse regulatório, mas de uma transformação do modo como o próprio conceito de sujeito de direitos é posto em risco. Quando algoritmos anteveem nossos desejos antes que os formulemos, o consentimento deixa de ser um ato de vontade e se transforma em uma cena encenada. E não se pode basear um regime jurídico justo em um teatro.

Resta-nos, então, perguntar: o que vem depois do consentimento? Que formas de proteção deverão emergir quando o mito da escolha individual não puder mais esconder a lógica de apropriação estrutural? Se queremos que o Direito cumpra seu papel civilizatório e de contenção do arbítrio, é hora de retirarmos o consentimento do pedestal e recolocá-lo onde sempre deveria ter estado — sob o crivo crítico da dignidade humana.

Prof. Dr. Bernardo Grossi

O post Editorial da semana: Transformações e paradoxos da privacidade apareceu primeiro em Privacidade e proteção de dados.

Avanços e impasses na regulação da inteligência artificial: o desafio dos estados norte-americanos

Enquanto os algoritmos assumem um protagonismo obscuro em decisões que afetam diretamente vidas humanas, o esforço para regulá-los permanece hesitante, fragmentado e, por vezes, superficial. Nos Estados Unidos, a tentativa de domesticar os riscos dos chamados “sistemas de IA de alto risco” encontrou, recentemente, caminhos opostos em diferentes estados. A tensão é sintomática: o embate entre inovação tecnológica e direitos fundamentais está longe de encontrar síntese.

Na Virgínia, a proposta de lei HB 2094 – que visava submeter sistemas de IA com impactos substanciais sobre decisões em áreas como emprego, crédito e saúde a obrigações específicas – foi vetada pelo governador Glenn Youngkin. O projeto previa mecanismos de avaliação de impacto, documentação técnica rigorosa, governança de riscos e a possibilidade de revisão de decisões automatizadas desfavoráveis. Nada além do mínimo ético para sistemas que, na prática, exercem poder sobre a autodeterminação de pessoas. Ainda assim, o veto foi justificado com base no receio de prejudicar o crescimento econômico do Estado e na suposição de que já existem leis suficientes para mitigar abusos algorítmicos – uma visão tão otimista quanto débil diante da velocidade das transformações tecnológicas.

Por sua vez, o Colorado caminha em direção oposta, embora de forma cautelosa. Aprovada em 2023, sua Lei de Governança de IA tem sua vigência prevista apenas para 2026 e já enfrenta questionamentos técnicos. Um relatório recente de seu Grupo de Trabalho mapeia impasses conceituais cruciais, como a definição precisa de “decisões consequenciais” e de “discriminação algorítmica”. A dificuldade em consolidar consensos revela a complexidade jurídica e filosófica de lidar com agentes não-humanos que operam discriminações sem intenções, mas com efeitos concretos.

No Texas, um projeto de lei originalmente ambicioso foi diluído. Retirou-se a menção à discriminação algorítmica, substituindo-a por uma vedação à “intenção de discriminar” – um retorno à lógica obsoleta da culpa individual. O projeto também estipula que o “impacto desigual” de um sistema não serve, por si só, como prova de discriminação, ignorando décadas de jurisprudência sobre discriminação estrutural e indireta.

A fragmentação dos modelos estaduais e sua hesitação normativa refletem não apenas disputas políticas, mas um dilema mais profundo: como garantir justiça, transparência e não-discriminação em sistemas criados precisamente para otimizar decisões a partir de padrões opacos. A inteligência artificial não apenas desafia categorias clássicas do direito – como dolo, culpa ou responsabilidade – como põe em jogo a própria noção de imputabilidade. Regular a IA, afinal, não é apenas controlar uma tecnologia, mas interrogar a arquitetura do poder que ela instaura e legitima. O difícil é perceber que talvez seja esta própria arquitetura que os vetos pretendem preservar.

O post De olho na privacidade!
US State AI Legislation: Virginia Vetoes, Colorado (Re)Considers, and Texas Transforms apareceu primeiro em Privacidade e proteção de dados.

SEC institui nova unidade de fiscalização para enfrentar riscos de tecnologias emergentes

A Comissão de Valores Mobiliários dos Estados Unidos (SEC) anunciou, em fevereiro de 2025, a criação da Cyber and Emerging Technologies Unit (CETU), um novo braço de fiscalização voltado exclusivamente para enfrentar práticas ilícitas associadas ao uso de tecnologias emergentes. A medida marca um reposicionamento estratégico do órgão, que desmantelou sua anterior “Crypto Assets and Cyber Unit” para dar lugar a uma atuação mais coerente com os desafios contemporâneos que orbitam desde o uso de inteligência artificial até os desdobramentos regulatórios do blockchain.

Ao reunir cerca de trinta advogados e especialistas técnicos alocados em diversas unidades da SEC, a CETU nasce como resposta institucional a um fenômeno já visível: a erosão da confiança pública diante da apropriação indevida de inovações tecnológicas por atores mal-intencionados. O alvo são práticas como manipulações algorítmicas, fraudes veiculadas por redes sociais e deep web, invasões destinadas ao acesso privilegiado a informações sensíveis e abusos ligados ao mercado de criptoativos.

Sob a liderança de Laura D’Allaird, com longa trajetória dentro da própria comissão, a criação da unidade não se limita à reorganização administrativa. Representa uma inflexão ética. Quando o uso da tecnologia desafia as balizas morais mínimas na regulação dos mercados — especialmente aqueles voltados ao investidor comum — impõe-se não apenas uma resposta repressiva, mas uma nova arquitetura de vigilância sensível ao risco sistêmico provocado pela opacidade digital.

A iniciativa também reafirma a tensão permanente entre inovação e responsabilidade jurídica, dilema clássico que atravessa todo o regime de direitos fundamentais a partir do momento em que tecnologias computacionais começam a legislar no lugar do humano. O uso de IA para manipulação de mercados ou a divulgação distorcida de riscos cibernéticos por companhias abertas, por exemplo, não são apenas problemas de compliance — são sintomas de uma ordem econômica condicionada à assimetria informacional massificada e automatizada.

Neste contexto, a existência de uma unidade especializada como a CETU pode ser compreendida como uma tentativa de reconstrução da esfera pública informacional — um espaço onde o investimento individual, longe de ser mero ato de fé no progresso técnico, possa emergir como exercício consciente de cidadania econômica.

Mais do que coibir fraudes de ocasião, a criação da CETU parece indicar o esboço de uma era regulatória em que tecnologias emergentes não serão julgadas apenas por sua eficiência ou inovação, mas pela forma como preservam, ou não, a dignidade de seus usuários.

O post De olho na privacidade!
SEC Creates New Tech-Focused Enforcement Team apareceu primeiro em Privacidade e proteção de dados.

Claro. A seguir, está o artigo reescrito com base nas informações do post original, em conformidade com a proposta apresentada. O conteúdo é original, reflexivo e juridicamente embasado, evitando qualquer cópia direta do material-fonte:

Título: Utah inaugura novo paradigma regulatório ao impor restrições etárias nas lojas de aplicativos

A paisagem regulatória da tecnologia nos Estados Unidos entrou em novo terreno com a promulgação do App Store Accountability Act, sancionado recentemente pelo governador de Utah. A legislação estabelece restrições inéditas relacionadas à idade para o download de aplicativos, incidindo diretamente sobre lojas de aplicativos e desenvolvedores. Embora sua implementação total esteja prevista até o final de 2026, os contornos normativos já esboçam uma reconfiguração substancial dos limites entre autonomia digital, privacidade de dados e tutela estatal da infância.

Ao determinar que plataformas como Google Play e App Store implementem mecanismos de verificação etária com base em “medidas comercialmente razoáveis”, a lei insufla um novo debate sobre a viabilidade técnica e legal de exigir responsabilidades de intermediários digitais sem romper com os pilares do livre desenvolvimento da personalidade e da neutralidade da rede. O modelo legal presume uma arquitetura técnica de controle granular da idade, que, por sua natureza, poderá tensionar direitos fundamentais como a autodeterminação informativa e a privacidade.

A exigência de consentimento parental vinculativo para o uso de aplicativos por menores representa outro divisor de águas. Mais do que uma tentativa de reconduzir os pais ao centro das decisões digitais dos filhos, trata-se da imposição legal de uma arquitetura moralista de vigilância, que pode escalar tanto em risco de exclusão digital de jovens vulneráveis, quanto em concentração de poder por parte de desenvolvedores com mais recursos para adaptar-se a essas obrigações.

No entanto, a inserção de cláusulas de safe harbor para desenvolvedores que agirem de boa-fé na dependência da informação fornecida pelas lojas pode ser lida como um reconhecimento tácito da complexidade técnica envolvida — além de uma tentativa de modular a responsabilidade civil dentro do sistema.

Ainda que juridicamente questionável sob parâmetros da Primeira Emenda ou da cláusula do comércio interestadual da Constituição dos EUA, a norma de Utah produz, desde já, uma inflexão simbólica: emerge uma “infância digital administrada”, onde não se tutela apenas a proteção contra conteúdos prejudiciais, mas se regula preventivamente o acesso à própria experiência digital.

Resta saber se, ao objetivar proteger os mais jovens, não se recai num paternalismo tecnológico que contorna, em nome da segurança, a liberdade. Porque, como sempre, o direito às vezes protege matando aquilo que pretende guardar.

O post De olho na privacidade!
Utah Pioneers App Store Age Limits apareceu primeiro em Privacidade e proteção de dados.

Editorial | Privacidade.Org.Br

A privacidade algorítmica e o desmonte silencioso da autonomia privada

Prof. Dr. Bernardo Grossi

O que significa, hoje, exercer a autonomia privada em um ambiente informacional saturado de opacidades e manipulações preditivas? A pergunta parece retórica, mas é urgente. Em um mundo em que algoritmos decidem o que vemos, consumimos, lemos e até com quem interagimos, a ideia clássica de liberdade contratual — fundada na autodeterminação individual (privada) — começa a se desmanchar no ar, como advertia Zygmunt Bauman sobre tantas outras estruturas modernas.

A promessa inicial da Era Digital era de empoderamento. Esperávamos plataformas abertas, pluralidade de vozes, ampliação do acesso. Mas o que se assiste, paulatinamente, é o avanço de uma estrutura concentrada de coleta e processamento de dados, em que os indivíduos são duplamente vulneráveis: enquanto consumidores e enquanto fontes permanentes de informações monetizáveis. Nesse cenário, o titular de dados deixa de ser um sujeito de direitos para converter-se em objeto de inferência. Perdemos o controle sobre nossas informações, sobre nossas escolhas e, enfim, sobre nossa própria narrativa.

Esse fenômeno tem nome e técnica: chama-se vigilância preditiva. Shoshana Zuboff, em sua obra seminal A Era do Capitalismo de Vigilância, descreve com precisão esse sistema que não apenas observa comportamentos, mas os antecipa e os orienta. O dado pessoal, então, deixa de ser mero insumo e passa a ser arquitetura. Ele molda o campo das escolhas disponíveis e, por extensão, interfere decisivamente na esfera de liberdade pessoal.

Na tradição do direito privado ancorado na dignidade da pessoa humana, como defendem Rodotà, Perlingieri e Gustavo Tepedino, a autonomia não pode ser compreendida como um consentimento formal ou um clique apressado em um botão de “aceito”. É preciso restaurar o conteúdo material da autonomia privada: a capacidade efetiva de compreender, avaliar, escolher, resistir e delimitar objetivamente as escolhas que são feitas sobre si. Consentimento informado exige, minimamente, assimetria reduzida, linguagem acessível, possibilidade concreta de recusa. O que temos hoje, nas plataformas digitais, é justamente o oposto: estruturas contratuais que impõem, em massa, adesões opacas e irrevogáveis, disfarçadas de opção livre.

Diante disso, urge reconhecer que a proteção de dados pessoais não é mero capítulo técnico da conformidade regulatória, mas componente estrutural da eficácia horizontal dos direitos fundamentais. Trata-se de reafirmar a privacidade como o último reduto da liberdade individual nas relações privadas saturadas por assimetrias informacionais. Negá-la ou esvaziá-la, como têm feito alguns setores sob o argumento da dinamização econômica, é comprometer a essência do próprio direito.

Mais do que isso: é imprescindível compreender a privacidade como espaço de “não-direito”, nos termos de Karl Larenz e mais precisamente Rodotà, onde a pessoa possa se retirar do olhar da máquina, silenciar suas pegadas digitais, deliberar sem vigilância. Sim, precisamos de uma privacidade contra o algoritmo, contra a microgestão da vida por entes privados com poder quase soberano sobre o fluxo de informações.

Não se trata de romantismo jurídico, tampouco de nostalgia de uma autonomia que nunca foi plenamente realizada. Trata-se, antes, de compreender que a proteção de dados pessoais, quando autêntica, é a linguagem contemporânea da dignidade. Enquanto não reconstruirmos uma concepção robusta de privacidade e autodeterminação informativa, todo o edifício do direito privado moderno se tornará um simulacro.

O desafio está posto: seguiremos chamando de “liberdade” aquilo que já não é escolha?

O post Editorial da semana: Transformações e paradoxos da privacidade apareceu primeiro em Privacidade e proteção de dados.

Título:

O Direito à Privacidade no Oregon: Avanços, Deficiências e o Fim do Período de Cura

A experiência recente do Estado do Oregon com sua Lei Estadual de Privacidade (conhecida como OCPA – Oregon Consumer Privacy Act), após seis meses de vigência, fornece uma amostra reveladora do estágio atual dos direitos digitais nos Estados Unidos. A publicação do relatório semestral pelo Gabinete do Procurador-Geral reflete não apenas um esforço institucional de monitoramento e transparência, mas expõe o lento amadurecimento da proteção de dados pessoais nos ordenamentos estaduais norte-americanos ― onde predominam modelos reativos e fragmentários.

Esse documento, além de compilar as principais obrigações impostas às empresas sob a legislação, também chama atenção para deficiências recorrentes nas práticas do setor privado. Em 21 casos de fiscalização encerrados até agora, as inconformidades residem principalmente em três aspectos: falta de clareza nas políticas de privacidade, ausência de mecanismos adequados para o exercício de direitos pelos titulares e divulgações ambíguas — ou simplesmente inexistentes — sobre as categorias de terceiros com acesso aos dados.

Embora o diploma legal do Oregon ainda esteja dentro do chamado “período de cura” — dispositivo que concede às empresas um prazo de 30 dias para sanar eventuais violações antes da imposição formal de sanções —, essa janela está com os dias contados: expira em 1º de janeiro de 2026. O que inicialmente se apresenta como uma oportunidade pedagógica, pode perder seu valor se continuar funcionando apenas como escudo para a inércia corporativa.

Essas constatações evidenciam um ponto cada vez mais negligenciado pelos agentes econômicos e mesmo por muitos legisladores: o direito à privacidade não é mera formalidade contratual, tampouco uma concessão graciosa do setor privado. Ele deve ser compreendido como condição estruturante da liberdade pessoal em sociedades digitais, onde o controle sobre as informações pessoais passa a mediar a autodeterminação individual e a equidade nas relações de poder.

Não basta citar estados em rodapés de políticas vagas ou camuflar complexidade em fluxos de consentimento ininteligíveis. O desafio posto é substantivo: articular informação e acessibilidade, garantir que os titulares compreendam, decidam e revisem, com autonomia, o destino de seus dados. O relatório do Oregon sinaliza que a linguagem opaca, os mecanismos inócuos e o descaso informacional não serão mais tolerados sob a aparência de conformidade superficial.

À medida que o tempo avança e o fim do período de cura se aproxima, as empresas serão forçadas a abandonar estratégias defensivas e revisar, com rigor e autenticidade, todas as suas práticas de governança de dados. Não se trata apenas de evitar penalidades. Trata-se, sobretudo, de reconhecer que proteger dados é proteger pessoas — e que nenhuma democracia sustentada sobre fluxos digitais pode abrir mão dessa premissa.

Palavras-chave otimizadas para SEO: lei de privacidade do Oregon, proteção de dados nos EUA, direitos dos consumidores, OCPA, período de cura, fiscalização de privacidade, conformidade de dados pessoais.

O post De olho na privacidade!
Oregon’s Privacy Law: Six Month Update, With Six Months to End of Cure Period apareceu primeiro em Privacidade e proteção de dados.

Título: Aplicativos Educacionais e Privacidade de Estudantes: O Caso Saturn Technologies e as Lições para a Regulação Digital

A recente intervenção da Procuradoria-Geral de Nova York no caso envolvendo a Saturn Technologies, desenvolvedora de um aplicativo voltado a estudantes do ensino médio e universitário, lança luz sobre as vulnerabilidades que emergem na intersecção entre tecnologia educacional, proteção de dados e transparência comercial.

O aplicativo, projetado como uma ferramenta híbrida entre rede social e calendário acadêmico, prometia criar um ambiente seguro e exclusivo para estudantes compartilharem agendas, se conectarem com colegas e participarem de comunidades escolares. No entanto, a realidade desvelada pela investigação contradiz esse discurso institucional. Contrariando os termos sob os quais era promovido, o sistema permitia a entrada irrestrita de usuários, inclusive de pessoas não vinculadas às instituições de ensino às quais os “grupos escolares” virtuais se referiam. O resultado foi um espaço digital permeável, onde dados sensíveis de estudantes — incluindo localização e atividades extracurriculares — tornaram-se acessíveis a terceiros não autorizados.

A ausência de um controle efetivo de verificação de identidade remete ao problema estrutural da confiança nas plataformas digitais: quando a promessa de segurança e exclusividade é apenas performática, o risco de exposição de dados se transforma, juridicamente, numa prática comercial enganosa. O compromisso assumido pela empresa em acordo extrajudicial — treinamentos sobre diretrizes da FTC para seus representantes — revela uma tentativa de remediar os danos já perpetrados, mas não resolve a fragilidade sistêmica da arquitetura de sua plataforma.

Outro ponto crítico foi a omissão quanto ao vínculo entre a empresa e seus chamados “embaixadores estudantis”, indivíduos que promoviam o app dentro de suas escolas em troca de benefícios. A ausência de transparência sobre essa relação comercial dificulta a identificação de discursos publicitários disfarçados de experiência espontânea, minando um aspecto fundamental do ambiente digital: o reconhecimento claro das fronteiras entre informação e propaganda.

O caso expõe um desafio maior: plataformas direcionadas a adolescentes não podem ser avaliadas apenas à luz da COPPA — legislação voltada à infância. Quando lidamos com jovens em transição para a vida adulta, direitos fundamentais à privacidade, autodeterminação informativa e proteção contra manipulação comercial não cessam, mas se complexificam. A responsabilidade das empresas de tecnologia, nesse contexto, deixa de ser apenas contratual ou administrativa. Ela se aproxima de um compromisso ético com a formação da autonomia dos sujeitos.

O episódio da Saturn Technologies exige mais que conformidade técnica às diretrizes regulatórias. Pede uma reconstrução conceitual dos deveres de cuidado e boa-fé no design de plataformas voltadas a grupos vulneráveis. A integridade jurídica, nesse cenário, não é só uma questão de legalidade formal, mas de um horizonte normativo que resiste à colonização dos ambientes digitais por práticas opacas e orientadas exclusivamente à extração de valor.

Ao final, o que está em disputa não é apenas a proteção de dados de estudantes, mas a própria gramática da confiança pública em tecnologias que se arrogam educativas, mas institucionalizam dinâmicas de vigilância e captura algorítmica sob o disfarce do pertencimento comunitário. Isso exige mais do que sanções. Exige pensamento.

O post De olho na privacidade!
New York AG Settles with School App apareceu primeiro em Privacidade e proteção de dados.

—

Novas Regras de Transparência em Preços para Hospitais de Ohio: Limites à Publicidade Direcionada e Proteção de Dados Pessoais

A partir de 3 de abril, entra em vigor em Ohio uma legislação que obriga hospitais a conduzirem práticas mais transparentes em relação aos custos de seus serviços, e estabelece, com notável contundência, restrições ao uso de dados pessoais captados por ferramentas digitais. A Lei HB 173 não se limita à transparência hospitalar: ela impõe um marco regulatório que tensiona a interface entre o direito à informação, a autodeterminação informativa e as estratégias de mercado baseadas em dados.

De acordo com a nova exigência, todos os hospitais que prestam serviços de internação superiores a 24 horas deverão disponibilizar ao público uma lista digital atualizada com todos os preços padrão de seus serviços. Essa listagem deve ser facilmente acessível online, gratuita e, fundamentalmente, não pode exigir do usuário qualquer dado pessoal — evitando, de forma explícita, a mineração indireta de dados comportamentais ou sensíveis.

No entanto, o epicentro da inovação legal repousa em outro campo: o da publicidade digital. Hospitais que escolherem oferecer uma ferramenta de estimativa de preços na internet deverão abster-se de utilizar qualquer informação coletada por esse meio para fins de publicidade direcionada. Em outras palavras, dados que sirvam para estimar o custo de uma cirurgia não podem, posteriormente, virar alvos de campanhas de anúncios personalizados.

A legislação não define o termo “venda” de dados de forma explícita, mas ao seguir uma lógica mais próxima à conformidade com a HIPAA (Health Insurance Portability and Accountability Act), remete-se à noção de troca de informações com contrapartida, direta ou indireta, em forma de compensação econômica — conceito sensível e carregado de implicações jurídicas.

Ainda que preserve exceções — como anúncios baseados em buscas contextuais ou na solicitação voluntária de informações — a lei sinaliza uma mudança de paradigma: devolve aos sujeitos dos dados parte do controle que lhes foi historicamente subtraído pelas engrenagens de uma economia digital pautada na despersonalização algorítmica.

Trata-se de um movimento institucional que reconstrói a arquitetura das decisões hospitalares no ambiente digital, ancorado num valor cada vez mais negligenciado pelas estruturas sistêmicas: a confiança. A legislação impõe um novo fôlego ético à coleta de dados em saúde, desnaturalizando práticas de mercado que em muito se chocam com o núcleo irredutível da dignidade humana.

Ainda que local, a iniciativa de Ohio ressoa um princípio universal: não se mercantiliza aquilo que diz respeito à vulnerabilidade do corpo e à interioridade da dor. O dado pessoal em saúde é, antes de tudo, um fragmento de humanidade. E como tal, exige tratamento moral, não apenas computacional.

—

Palavras-chave otimizadas para SEO: transparência hospitalar, Ohio, HB 173, publicidade direcionada, privacidade de dados, proteção de dados, estimador de preços em saúde, dados sensíveis, compliance hospitalar, HIPAA, direito à informação.

O post De olho na privacidade!
New Ohio Transparency Pricing Rules for Hospitals Comes with Limits to Targeted Advertising apareceu primeiro em Privacidade e proteção de dados.