Guia definitivo das leis de proteção de privacidade de dados dos EUA: mantenha-se seguro com a Veriff

Se a sua empresa integra clientes de forma digital, realiza verificações de KYC ou processa dados de identidade em escala, você já sabe que o risco regulatório não fica confinado a uma única frente. Os requisitos de PLD, as obrigações de prevenção a fraudes e as regras de privacidade de dados se sobrepõem cada vez mais e, no momento, a camada de privacidade está ficando mais complexa a cada ano.

Ainda não existe uma lei federal de privacidade nos EUA. Em vez disso, empresas regulamentadas precisam navegar um mosaico crescente de leis estaduais, cada uma com seus próprios limites de aplicação, direitos do consumidor e regras sobre dados sensíveis. Três novas leis em Indiana, Kentucky e Rhode Island entrarão em vigor em 1º de janeiro de 2026.

Este guia aborda o que as equipes de compliance, jurídico, risco, fraude e as partes interessadas de produto em fintechs, bancos, plataformas de pagamento, empresas de cripto, marketplaces e outros negócios digitais precisam saber: o panorama atual por estado, as medidas práticas para reduzir o risco operacional e como a verificação de identidade se encaixa na sua postura de compliance.

1. Por que empresas regulamentadas enfrentam maior exposição de privacidade

Por décadas, a legislação de privacidade dos EUA foi setorial. Se você atuava em serviços financeiros, a FCRA e a GLBA definiam o piso. A área de saúde tinha a HIPAA. Os dados de crianças eram regidos pela COPPA. Todos os demais, em grande parte, operavam em uma lacuna.

Isso mudou em 2020, quando a California Consumer Privacy Act (CCPA) entrou em vigor. Pela primeira vez, um estado dos EUA concedeu aos consumidores o direito de saber quais dados eram coletados sobre eles, solicitar a exclusão e optar pela não participação em vendas de dados, independentemente do setor que mantivesse os dados. Sua emenda de 2023, a California Privacy Rights Act (CPRA), criou uma agência dedicada de fiscalização e estendeu as proteções de privacidade a funcionários e candidatos a emprego.

Outros estados se movimentaram rapidamente. Em 2025, mais de 20 leis estaduais abrangentes de privacidade estavam ativas ou perto disso. Uma lei federal continua improvável no curto prazo: a American Data Privacy and Protection Act de 2022 foi aprovada pelo Comitê de Energia e Comércio da Câmara com apoio bipartidário, mas nunca chegou a ser votada em plenário, e a American Privacy Rights Act de 2024 teve o mesmo destino.

Para empresas regulamentadas, isso é mais relevante do que para uma empresa genérica de SaaS. Você já processa grandes volumes de informações pessoais sensíveis: documentos de identidade, dados biométricos, registros financeiros, sinais comportamentais usados na detecção de fraudes. Esse perfil de dados atrai escrutínio regulatório. As leis estaduais de privacidade acrescentam obrigações adicionais às exigências existentes de PLD e KYC, criando uma complexidade de compliance que afeta seus fluxos de onboarding, contratos com fornecedores, políticas de retenção de dados e decisões de produto.

A estrutura estado a estado está se expandindo, aplica-se aos dados que você já coleta e exige uma resposta coordenada entre as equipes jurídica, de compliance e de produto.

2. Leis estaduais de privacidade: o que empresas regulamentadas precisam saber

A maioria das leis estaduais de privacidade dos EUA é baseada no modelo controlador/processador, mas difere em seus limites de aplicação, direitos do consumidor e regras para dados sensíveis. Para empresas que operam em todo o país, é fundamental avaliar suas obrigações em cada jurisdição.

Hoje, mais de duas dezenas de estados têm leis de privacidade de dados ativas, incluindo Califórnia (CCPA/CPRA), Colorado, Connecticut, Delaware, Flórida e Virgínia. Esta lista não é exaustiva, já que novas leis são regularmente promulgadas e alteradas, mas esses arcabouços atualmente definem o cenário de compliance.

Os estados que mais importam para setores de alta confiança

Califórnia (CCPA/CPRA) continua sendo o estado mais rigoroso, com fiscalização tanto pelo Procurador-Geral quanto pela California Privacy Protection Agency (CPPA). É o único estado que concede aos consumidores um direito de ação privada para determinadas violações de segurança — um risco de litígio significativo para empresas que tratam grandes volumes de dados de identidade ou financeiros. Se você integra residentes da Califórnia, essa lei estabelece o nível mais alto que você precisa atender.

Maryland (MODPA), com vigência a partir de 1º de outubro de 2025, é a nova lei mais rígida em relação a dados sensíveis. Ela proíbe a venda irrestrita de dados sensíveis, independentemente do consentimento do consumidor, e permite a coleta apenas quando estritamente necessária para fornecer um produto ou serviço. Para empresas que processam dados biométricos, informações de documentos de identificação governamentais ou identificadores financeiros como parte de seus fluxos de onboarding, os requisitos de minimização de dados de Maryland exigem uma análise cuidadosa.

Colorado (CPA) foi alterada várias vezes especificamente para reforçar as proteções de dados biométricos e sensíveis, com as alterações mais recentes entrando em vigor em 1º de julho de 2025. Os dados biométricos coletados durante a verificação de identidade — imagens faciais, verificações de prova de vida — se enquadram nesse escopo.Minnesota (MCDPA), com vigência em 31 de julho de 2025, exige avaliações obrigatórias de impacto à privacidade e prevê fortes direitos de opt-out. Empresas que utilizam decisões automatizadas na prevenção a fraudes ou na concessão de crédito devem avaliar como isso se cruza com as obrigações existentes de governança de modelos.

Mantenha-se seguro

Saiba mais sobre as práticas de segurança de ponta da Veriff e como garantimos que seus dados permaneçam seguros em todos os momentos.

Fale conosco

Tennessee (TIPA), com vigência em 1º de julho de 2025, oferece uma defesa positiva para empresas que seguem o NIST Privacy Framework. Se o seu programa de compliance já estiver alinhado ao NIST, documentar esse alinhamento de forma proativa cria uma proteção jurídica significativa.

A Flórida (FDBR) adota uma abordagem mais restrita, voltada principalmente para grandes empresas de tecnologia, com ênfase em dados de crianças e plataformas de mídia social. Se você não é uma plataforma dominante, pode ficar fora do escopo — mas confirme isso em relação aos limites específicos antes de presumir a isenção.

Utah (UCPA) está na extremidade mais leve do espectro. Os direitos do consumidor são mais limitados do que em muitos estados equivalentes — correção de dados e o direito de se opor à tomada de decisão automatizada não estão incluídos. Dito isso, direitos mais brandos do consumidor não significam menores exigências operacionais; seu mapeamento de dados e seus contratos de processamento ainda precisam ser robustos.

Iowa (ICDPA) elimina totalmente as avaliações de impacto à proteção de dados, reduzindo um encargo de compliance — mas isso, por si só, não simplificará um programa de compliance multijurisdicional.

As novidades para 2026

Três leis passaram a fazer parte desse cenário em 1º de janeiro de 2026, cada uma com um foco distinto:

• A Indiana (Indiana Consumer Data Protection Act, InCDPA) se destaca por seu direito permanente de reparação em 30 dias — uma das poucas disposições desse tipo sem data de expiração. Ela segue o modelo padrão de controlador/processador e oferece um prazo significativo para as empresas corrigirem lacunas de compliance antes que a fiscalização se intensifique.
• O Kentucky (KCDPA) introduz restrições aos dados de reconhecimento automático de conteúdo (ACR). Uma emenda de abril de 2026 proibirá a coleta de dados de ACR sem o consentimento do consumidor a partir de 1º de julho de 2027.
• O Rhode Island (DTPPA) tem foco em transparência. As empresas devem divulgar de forma clara e acessível suas práticas de dados para os consumidores — um requisito que afeta diretamente o design dos avisos de privacidade e as divulgações incorporadas nos fluxos de onboarding.

Limiares: quem está coberto?

A maioria das leis estaduais é aplicável com base em volume: comumente 100.000 consumidores processados por ano ou 25.000 se uma parcela significativa da receita vier de vendas de dados. Para fintechs, bancos e plataformas digitais que operam em escala, você atingirá esses limiares em vários estados simultaneamente. Não presuma que apenas uma lei é aplicável — mapeie sua base de usuários geograficamente.

3. Etapas práticas de compliance para empresas regulamentadas

A conformidade com privacidade em setores regulamentados não é um fluxo de trabalho separado de suas obrigações de KYC, PLD ou prevenção a fraudes — ela permeia os mesmos dados, os mesmos sistemas e, muitas vezes, as mesmas equipes. Estas etapas foram elaboradas para empresas em que a complexidade de compliance já é elevada.

Mapeie seus dados levando em conta os fluxos de verificação. Saiba quais dados pessoais você coleta, de onde eles se originam, por quanto tempo são retidos e quem pode acessá-los. Para empresas que realizam verificação de identidade, isso inclui imagens de documentos, campos de dados extraídos, amostras biométricas, sinais de dispositivo e scores de risco. Cada um deles pode ser considerado dado sensível de acordo com uma ou mais leis estaduais. O mapeamento de dados não é um exercício pontual; ele precisa se manter atualizado à medida que seu produto e o seu stack de fornecedores evoluem.

Revise seus contratos com fornecedores e processadores. No modelo controlador/processador, seu provedor de verificação de identidade, fornecedor de detecção de fraude e parceiros de enriquecimento de dados são processadores. Você é o controlador. Isso significa que você é responsável pelo que eles fazem com os dados que você compartilha. Revise seus acordos de processamento de dados para confirmar que incluem as proteções contratuais exigidas pelas leis estaduais aplicáveis, abordam minimização de dados e limites de retenção e especificam as finalidades permitidas para o processamento.

Incorpore a privacidade nos fluxos de onboarding, não ao redor deles. Os direitos do consumidor — acesso, exclusão, correção, opt-out — precisam ser operacionalmente funcionais, não apenas divulgados em uma política de privacidade. Para empresas com jornadas de onboarding complexas, isso significa que as equipes de produto e engenharia precisam entender quais dados podem ser excluídos após a verificação e quais devem ser retidos por razões regulatórias, e como essas duas obrigações interagem. Os requisitos de registro de PLD e os direitos de exclusão previstos em leis de privacidade às vezes entrarão em conflito; esclareça qual lei tem precedência e documente essa análise.

Aplique escrutínio adicional a dados sensíveis. Vários estados, especialmente Maryland, mas também Colorado e Minnesota, impõem obrigações mais rigorosas sobre dados biométricos, identificadores governamentais, dados de contas financeiras e informações de saúde. Se o seu processo de onboarding captura qualquer um desses, audite sua base legal para o processamento, confirme que seus períodos de retenção são defensáveis e garanta que seus avisos de privacidade descrevem com precisão o que você coleta e por quê.

Trate o compliance como um programa contínuo, não como um prazo final. As leis são alteradas com frequência. O Colorado já foi atualizado várias vezes, o Oregon modificou suas disposições sobre venda de dados em 2025, e em New Hampshire as alterações já estão em andamento. Agende revisões regulares da sua postura de compliance em relação aos requisitos atuais. Para empresas regulamentadas, uma atualização em uma lei de privacidade pode interagir de forma inesperada com uma política existente de PLD ou com o lançamento de um recurso de produto. Incorpore essa cadência de revisão ao seu calendário de gestão de riscos.

Treine as equipes que têm contato com dados pessoais. A privacidade não é responsabilidade exclusiva das equipes jurídicas. Analistas de fraude, gerentes de produto responsáveis pelo onboarding, equipes de sucesso do cliente e gestores de fornecedores terceirizados lidam com dados pessoais ou tomam decisões que os afetam. Um treinamento básico sobre solicitações de direitos do consumidor, gatilhos de resposta a incidentes e obrigações de tratamento de dados reduz o risco de falhas operacionais que gerem exposição regulatória.

Obtenha assessoria jurídica qualificada e específica para o seu negócio. Este guia é uma visão geral, não um aconselhamento jurídico. Suas obrigações dependem do seu modelo de negócio, dos estados em que você opera, dos dados que você processa e de como suas obrigações regulatórias existentes se cruzam com os requisitos de privacidade estaduais. Trabalhe com assessores que entendam tanto o seu setor quanto o cenário em evolução das leis estaduais.

4. Como a Veriff apoia uma verificação de identidade com foco em privacidade

Para setores regulamentados, o compliance não termina nas políticas de privacidade. A verificação de identidade está na interseção de KYC, PLD, prevenção a fraudes e proteção de dados — e a forma como você conduz a verificação afeta diretamente sua exposição de privacidade.

A Veriff usa IA e aprendizado de máquina para autenticar documentos de identidade e confirmar identidades de usuários com precisão e eficiência. A plataforma processa dados de identidade como processador de dados, não como controlador — o que significa que a responsabilidade jurídica pelas decisões de coleta de dados é sua, e o papel da Veriff é executar a verificação dentro dos parâmetros que você define. Essa estrutura é importante no modelo controlador/processador que sustenta a maioria das leis estaduais de privacidade dos EUA.

Em relação à minimização de dados: as sessões de verificação da Veriff são projetadas para coletar apenas o que é necessário para a finalidade de verificação e nada além disso. Imagens de documentos e dados biométricos capturados durante uma sessão estão sujeitos a períodos de retenção definidos, não são mantidos indefinidamente. O acordo de processamento de dados estabelece esses limites de retenção, as finalidades permitidas de processamento e as proteções contratuais exigidas pelas leis estaduais aplicáveis — incluindo disposições para o tratamento de solicitações de exclusão e para responder a pedidos de exercício de direitos do consumidor que possam afetar os registros de verificação.

O tratamento de dados biométricos pela Veriff, como imagens faciais e sinais de prova de vida, é regido por cláusulas específicas do DPA, e não por políticas padrão de fornecedor. Isso é particularmente importante para uma categoria de dados sujeita a obrigações reforçadas em diversas leis estaduais.

Para equipes de compliance, jurídico e de produto que avaliam fornecedores de verificação de identidade, as perguntas corretas vão além das taxas de acurácia: quais dados o fornecedor retém e por quanto tempo? Quais são as proteções contratuais previstas no DPA? Como o fornecedor lida com pedidos de exclusão que conflitam com suas próprias políticas de retenção? Como ele trata categorias de dados sensíveis segundo regras específicas de cada estado? A Veriff é projetada para responder claramente a essas perguntas, de modo que seu programa de verificação fortaleça sua postura de compliance em vez de complicá-la.

Conclusão

A regulamentação de privacidade de dados nos EUA deixou de ser um tema secundário para as empresas. Trata-se de um risco operacional direto que afeta seu onboarding, seus relacionamentos com fornecedores, a prevenção a fraudes e o design de produtos. Com mais de uma dúzia de estados agora com leis próprias, o mapa de compliance está se expandindo. As regulações mais rígidas em estados como Califórnia, Maryland e Minnesota têm como alvo específico os dados biométricos e de identidade que você já processa.

As empresas em melhor posição para escalar entre diferentes jurisdições sem acumular passivos ocultos são aquelas que tratam a conformidade de privacidade como parte do seu arcabouço mais amplo de riscos, e não como uma mera obrigação jurídica pontual: mapeando dados continuamente, testando com rigor os contratos com fornecedores, incorporando direitos de exclusão e acesso aos produtos em vez de contorná-los e revisando sua postura à medida que as leis mudam.

Essa cadência de revisão é mais importante hoje do que há dois anos. Com novas leis entrando em vigor e outras sendo alteradas — muitas vezes de maneira que interage com obrigações de PLD ou de prevenção a fraudes — a conformidade de privacidade agora é uma disciplina operacional contínua, não um projeto com data de conclusão.

Se a verificação de identidade faz parte do seu stack de compliance, certifique-se de que seu provedor consiga apoiar suas obrigações, não apenas sua taxa de conversão.

A Veriff não fornece aconselhamento jurídico. Este artigo tem apenas fins informativos. Consulte sempre advogados qualificados ou especialistas em privacidade a respeito de suas obrigações específicas de proteção de dados e privacidade.