Atualizações sobre Legislação de IA e Privacidade na Califórnia em 2026

Atualização sobre Legislação de IA e Privacidade na Califórnia – Janeiro de 2026

O novo ano começa rapidamente. Fevereiro se aproxima. As empresas estão começando a se acomodar em 2026, e algumas tendências (ou pelo menos contornos delas) começam a emergir. As empresas estão digerindo os projetos de lei de IA e privacidade que foram sancionados no outono passado. A litigação da Lei de Invasão de Privacidade da Califórnia (CIPA) não mostra sinais de abrandamento. Talvez a falha do SB 690 e mais um ano de espaço para manobra estejam impulsionando a litigação nesse espaço. Até 21 de janeiro de 2026, 40 violações de dados (afetando mais de 500 residentes da Califórnia) foram relatadas ao Procurador Geral da Califórnia, em comparação com 23 no mesmo período em 2025. A litigação por ação coletiva de privacidade geralmente segue logo após a notificação, sugerindo que 2026 será um ano ainda mais ativo nesse sentido.

As investigações dos reguladores também seguem. O início do ano é um bom momento para revisar o Programa de Segurança da Informação Escrito (WISP) e confirmar a implementação adequada dos sistemas e medidas que decorrem do WISP. Da mesma forma, é um bom momento para revisar e (se apropriado) atualizar os avisos de privacidade do site, garantir que os gerenciadores de consentimento do site e os mecanismos de exclusão funcionem conforme o esperado, e conduzir treinamentos sobre privacidade e cibersegurança. O que é antigo se torna novo, pelo menos a cada janeiro.

A Agência de Proteção à Privacidade da Califórnia continua a se concentrar nos corretores de dados e, com a disponibilidade da Plataforma de Solicitação de Exclusão e Opção de Exclusão (DROP), provavelmente intensificará a aplicação em 2026. A implementação do DROP pode não ser totalmente direta, portanto, um plano de projeto detalhado e uma lista de verificação são recomendados.

Novas Regulamentações e Legislação

As regulamentações atualizadas da Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) entraram em vigor em 1º de janeiro de 2026. Estas regulamentações agora exigem, entre outras coisas, auditorias anuais de cibersegurança, avaliações de risco de privacidade de dados e requisitos de aviso prévio e outros requisitos para tecnologias de tomada de decisão automatizada, geralmente com datas de início escalonadas, dependendo do tamanho da empresa.

A legislatura da Califórnia se reconvocou em 5 de janeiro de 2026. Como estamos no segundo ano do Biennium 2025-2026, os legisladores podem introduzir novos projetos de lei e/ou tentar avançar projetos de lei introduzidos durante o primeiro ano que não chegaram à mesa do Governador. Por exemplo, alguns projetos de lei estagnaram no Comitê de Privacidade e Proteção ao Consumidor da Assembleia, após terem sido aprovados pelo Senado: o SB 690 (uma lei para alterar as Seções 631, 632, 632.7, 637.2 e 638.50 do Código Penal, relacionada a crimes) visava desacelerar a litigação da CIPA; o SB 420 exigiria que desenvolvedores de sistemas de decisão automatizada de alto risco realizassem avaliações de impacto antes de tornar o sistema publicamente disponível. A atual sessão legislativa termina em 31 de agosto de 2026.

Novas Leis de IA e Privacidade

• AB 316 (Inteligência Artificial: Defesas)
• AB 566 (CCPA: Sinal de Preferência de Exclusão)
• AB 853 (Lei de Transparência em IA da Califórnia)
• SB 53 (Modelos de inteligência artificial: grandes desenvolvedores)
• SB 243 (Chatbots acompanhantes)
• SB 361 (Registro de corretores de dados: coleta de dados)
• SB 446 (uma lei para alterar a Seção 1798.82 do Código Civil, relacionada a informações pessoais e notificação de violação de dados)

A AB 566 (a Lei da Califórnia para Me Remover) exige que os navegadores da web incluam uma configuração clara e de um passo que permita aos usuários enviar um sinal de preferência de exclusão. A AB 853 impõe novas obrigações de transparência e divulgação sobre sistemas de IA generativa, alterando a Lei de Transparência em IA da Califórnia existente. Em uma escala ainda maior, o SB 53 exige que grandes desenvolvedores de IA publiquem estruturas de gerenciamento de riscos e relatem incidentes de segurança catastróficos ao Estado.

O SB 446 exige a notificação de violação de dados aos residentes da Califórnia afetados dentro de 30 dias corridos após a descoberta ou notificação da violação de dados, com exceções habituais. Um relatório de notificação de violação deve ser enviado ao Procurador Geral da Califórnia dentro de 15 dias corridos após notificar os indivíduos afetados.

Novas Propostas de Lei

Vários novos projetos de lei de IA e privacidade foram introduzidos. O SB 300, SB 867 e AB 1609 são novos projetos de lei sobre chatbots. A AB 1064 (Lei de Desenvolvimento Ético de IA para Crianças) foi vetada pelo Governador no outono passado. Uma nova medida de votação, a Lei de IA Segura para Pais e Crianças, foi introduzida, e as assinaturas estão sendo coletadas para colocar a medida na votação de novembro de 2026. É possível que a legislatura da Califórnia introduza, e o Governador assine, nova legislação sobre este tema, seguindo o curso da CCPA, que originalmente era uma proposta de medida de votação.

A AB 1542 (uma lei para alterar as Seções 1798.100 e 1798.121 do Código Civil relacionada à privacidade) proibiria, sob a CCPA, que uma empresa, prestadora de serviços ou contratante vendesse ou compartilhasse informações pessoais sensíveis com terceiros. A legislação atual permite que o consumidor opte por não vender ou compartilhar informações pessoais e limite o uso e divulgação de informações pessoais sensíveis para certos usos conforme estabelecido na legislação. A AB 1542 pode ser discutida em comissão em 5 de fevereiro de 2026.

Aguarde novidades. 2026 promete ser mais um ano interessante na Califórnia.