Quando a Lei de Privacidade de Dados e Vigilância de Vermont entra em vigor?

A lei entra em vigor em 1º de janeiro de 2028, após ter sido sancionada em 16 de junho de 2026.

O que torna essa lei de Vermont mais rigorosa do que outras leis estaduais de privacidade?

Ela exige consentimento opt-in para o processamento de dados sensíveis, concede aos consumidores o direito privado de ação judicial e restringe a publicidade direcionada e a criação de perfis comportamentais sem consentimento explícito.

Quais empresas estão sujeitas à Lei de Privacidade de Dados e Vigilância de Vermont?

Empresas que controlam ou processam dados pessoais de 25.000 ou mais consumidores de Vermont anualmente, ou aquelas que obtêm 25% ou mais de sua receita bruta com a venda de dados pessoais e processam dados de pelo menos 12.500 consumidores.

Quais categorias de dados exigem consentimento opt-in segundo essa lei?

Geolocalização precisa, dados de saúde, dados financeiros e dados sobre menores de idade exigem consentimento opt-in antes do processamento.

Consumidores individuais podem mover ações judiciais por violações dessa lei?

Sim, a lei inclui um direito privado de ação que confere aos consumidores individuais legitimidade jurídica para processar por certas violações, em vez de deixar a fiscalização exclusivamente a cargo dos órgãos reguladores estaduais.

Lei de Privacidade de Dados e Vigilância de Vermont: O que Significa em 2028

O governador de Vermont sancionou a lei S.71, Lei de Privacidade de Dados e Vigilância Online de Vermont, em 16 de junho de 2026, tornando Vermont um dos estados mais rigorosos do país em proteção de dados do consumidor. A lei só entra em vigor em 1º de janeiro de 2028, mas a contagem regressiva já começou para que as empresas coloquem suas práticas em ordem. Para os consumidores, as disposições sobre vigilância da lei de privacidade de dados de Vermont representam uma das tentativas mais ambiciosas já feitas por um estado dos EUA de conter a forma como as empresas coletam, usam e compartilham informações pessoais.

O que a Lei de Privacidade de Dados e Vigilância Online de Vermont de Fato Exige

Em sua essência, a lei confere aos residentes de Vermont um controle significativo sobre seus dados pessoais. Ela exige que as empresas obtenham consentimento opt-in antes de processar categorias sensíveis de informações, incluindo geolocalização precisa, dados de saúde, dados financeiros e dados sobre menores de idade. Esse padrão de opt-in é notadamente mais rigoroso do que os modelos de opt-out encontrados em muitas outras leis estaduais.

As empresas também devem fornecer avisos de privacidade claros e acessíveis, realizar avaliações de proteção de dados para atividades de processamento de maior risco e atender às solicitações dos consumidores para acessar, corrigir, excluir e portar seus dados. A lei inclui um direito privado de ação para determinadas violações, o que confere legitimidade jurídica aos consumidores individuais para processar — não apenas aos órgãos reguladores estaduais. Somente essa característica já diferencia Vermont da maioria das estruturas estaduais de privacidade dos EUA, nas quais a aplicação da lei é deixada inteiramente a cargo dos procuradores-gerais.

A parte da lei relativa à "vigilância online" é particularmente notável. Ela impõe restrições específicas ao uso de dados pessoais para publicidade direcionada aos consumidores e limita a forma como as empresas podem construir perfis comportamentais sem consentimento explícito.

Quem Está Coberto e a Rede Ampla que Alcança Mais Empresas do que se Poderia Esperar

Muitas leis estaduais de privacidade incluem limites de faturamento ou volume de dados que deixam as empresas menores isentas. Os limites de Vermont são comparativamente baixos. A lei se aplica a empresas que controlam ou processam os dados pessoais de 25.000 ou mais consumidores de Vermont anualmente, ou que obtêm 25 por cento ou mais de sua receita bruta com a venda de dados pessoais e processam dados de pelo menos 12.500 consumidores.

Vermont possui uma população de aproximadamente 650.000 habitantes. Isso significa que o limite de 25.000 consumidores representa apenas cerca de quatro por cento dos residentes do estado. Empresas que operam nacionalmente e têm bases de usuários modestas em Vermont poderiam facilmente ultrapassar essa linha. Os corretores de dados, em particular, enfrentam obrigações mais rigorosas sob a lei, incluindo limites mais estritos para a venda de dados sensíveis e a exigência de registro no estado.

A referência à "vigilância online" no título da lei sinaliza com clareza suas ambições. Plataformas e empresas de tecnologia de publicidade que dependem de rastreamento generalizado para construir perfis de consumidores estão claramente dentro do escopo.

Como a Lei de Vermont se Compara a Outras Legislações Estaduais de Privacidade dos EUA

Vermont agora está entre cerca de duas dúzias de estados com legislação abrangente de privacidade do consumidor, mas sua lei está no extremo mais rigoroso do espectro. A CPRA da Califórnia é frequentemente citada como o padrão ouro dos EUA, mas a exigência de opt-in de Vermont para o processamento de dados sensíveis e seu direito privado de ação vão além do que a Califórnia atualmente exige.

Estados como Texas e Flórida aprovaram leis com isenções empresariais mais amplas e sem direitos privados de ação, tornando a aplicação da lei praticamente ineficaz na prática. A abordagem de Vermont está mais próxima, em espírito, dos princípios europeus de proteção de dados, sem copiar o GDPR diretamente. A combinação de limites de aplicabilidade baixos, uma exigência de opt-in como padrão para dados sensíveis e o direito individual de ação judicial cria uma pressão real de responsabilização sobre as empresas.

A lei também traça um círculo mais restrito em torno da atividade dos corretores de dados do que a maioria das estruturas estaduais, o que é significativo, considerando o quanto da economia de vigilância comercial opera por meio de corretores de dados, em vez das empresas com as quais os consumidores interagem diretamente.

O que Isso Significa para Seus Direitos de Dados Mesmo que Você Não More em Vermont

As leis estaduais de privacidade têm uma tendência bem documentada de produzir mudanças de política em nível nacional. Quando as empresas atualizam suas práticas de dados para cumprir uma lei estadual rigorosa, muitas vezes aplicam essas mudanças de forma ampla, em vez de manter sistemas separados para diferentes estados. A lei de privacidade da Califórnia produziu exatamente esse efeito, com empresas implantando novos fluxos de consentimento e ferramentas de exclusão de dados para todos os usuários dos EUA, não apenas para os californianos.

A lei de Vermont pode desencadear uma dinâmica semelhante, particularmente em relação aos corretores de dados. Se as empresas tiverem que oferecer aos residentes de Vermont o direito de optar por não ter seus dados vendidos, muitas acharão operacionalmente mais simples estender essa opção a todos os lugares. Para os consumidores fora de Vermont, isso representa um ganho significativo em direitos sobre dados que, de outra forma, não teriam.

As disposições específicas sobre vigilância também merecem atenção em um contexto mais amplo. Legislação voltada ao rastreamento comportamental e à vigilância online está cada vez mais presente na conversa política também em nível federal. A abordagem de Vermont pode influenciar a forma como os legisladores federais estruturarão propostas futuras.

É claro que as proteções legais têm seus limites. As leis estabelecem patamares mínimos, não tetos, e a aplicação leva tempo. Usar ferramentas técnicas de privacidade juntamente com os direitos legais oferece aos consumidores uma proteção mais completa. Uma VPN, por exemplo, limita o que terceiros podem observar sobre sua atividade de navegação no nível da rede, complementando quaisquer direitos que uma lei estadual oferece no lado do armazenamento e compartilhamento de dados.

O que Você Pode Fazer

Se você administra uma empresa: Comece a revisar seu inventário de dados agora mesmo. Janeiro de 2028 pode parecer distante, mas construir fluxos de consentimento, processos de avaliação e canais para atender às solicitações dos titulares de dados leva tempo.
Se você é residente de Vermont: Seus direitos sob esta lei poderão ser exercidos a partir de 1º de janeiro de 2028. Mantenha registros das solicitações de dados que você enviar e das respostas que receber.
Se você mora fora de Vermont: Observe como as empresas nacionais respondem a esta lei. Novas ferramentas de opt-out ou opções de consentimento implementadas para os usuários de Vermont podem se tornar disponíveis para você também.
Para todos: As proteções legais e as práticas técnicas de privacidade funcionam melhor em conjunto. Manter-se informado sobre a legislação estadual e federal de vigilância é o primeiro passo para compreender quais direitos você realmente tem.

A lei de Vermont é um marco significativo no esforço contínuo de aproximar os padrões de privacidade dos EUA do que os consumidores de outras partes do mundo já esperam. Se ela produzirá um efeito cascata nacional dependerá da agressividade com que for aplicada e da disposição das empresas em construir práticas de dados verdadeiramente conformes, em vez de soluções paliativas mínimas.