¿Qué podría significar una ley federal de privacidad para EE. UU.? SGSI.en línea

¿Qué podría significar una ley federal de privacidad para EE. UU.?

Por Danny Bradbury • 21 May 2024

El gobierno federal de Estados Unidos ha visto una buena cantidad de propuestas de amplias leyes de privacidad del consumidor, que parecen debilitarse. Su último podría ser diferente.

Si bien la mayoría de los demás intentos legislativos han sido partidistas, los autores del Ley Estadounidense de Derechos de Privacidad (APRA), la representante Cathy McMorris Rodgers (R-WA) y la senadora Maria Cantwell (D-WA), provienen de ambos lados del pleno del Senado. Senador Cantwell opuesto El antecesor del APRA, el Ley estadounidense de privacidad y protección de datos (ADPPA), que no logró llegar al escritorio del presidente en 2022. Ahora, ella es la autora bipartidista de su reemplazo. Aunque esta propuesta es todavía sólo un borrador de discusión, eso por sí solo podría hacer que sea lo más cerca que hayamos estado hasta ahora de un proyecto de ley federal estadounidense similar al RGPD.

Amplia Cobertura

Si se adopta, las organizaciones que caen bajo el alcance de APRA tendrían que seguir estándares de minimización de datos, recopilándolos sólo para propósitos limitados. Los consumidores podrían acceder a sus datos, exigir su eliminación, corrección y exportación, y podrían optar por no recibir transferencias de datos no confidenciales para terceros. También tendrían que optar por las transferencias de datos confidenciales.

Las organizaciones cubiertas por el proyecto de ley son aquellas que determinan el propósito de recopilar o procesar datos y que se rigen por la Ley de la FTC. Hay un subgrupo de grandes poseedores de datos con umbrales mínimos mayores (250 millones de dólares y cinco millones de personas), cuyos miembros enfrentan limitaciones más estrictas. Las empresas que ganan menos de 40 millones de dólares al año y manejan datos de no más de 200,000 personas están fuera de su alcance.

La ley cubre datos que se pueden vincular razonablemente a un dispositivo, pero no información pública o de empleados. También hay un subconjunto de datos confidenciales que incluye puntos de datos como: salud; información biométrica (no fotografías, audio o vídeo) y genética; carrera; etnicidad; origen nacional; religión; y sexo; junto con la cuenta financiera y los datos de pago. Esta categoría sensible es más amplia y cubre información precisa de geolocalización, datos de inicio de sesión, comunicaciones privadas, registros telefónicos e incluso datos de calendario.

También hay algunas definiciones explícitas que incluyen fotografías y grabaciones para uso privado, imágenes privadas o de desnudos e información que revele comportamiento sexual.

Ben Sperry, investigador principal de políticas de innovación en el Centro Internacional de Derecho y Economía, se preocupa por un tipo de datos particular en la categoría de datos sensibles: las actividades en línea recopiladas a lo largo del tiempo y en sitios web de terceros.

"En general, así es como funciona la publicidad dirigida", le dice a ISMS.online, y agrega que restringir la capacidad de orientar anuncios afectará los modelos de negocios de las plataformas en línea y los creadores de contenido que las utilizan.

Obligaciones amplias

Las obligaciones para quienes están cubiertos por el proyecto de ley son numerosas. Hay una sección que prohíbe las prácticas de manipulación diseñadas para desviar la atención de los consumidores de sus derechos de privacidad (conocidos como "patrones oscuros") y otra que exige prácticas de seguridad apropiadas. Otro más exige la debida diligencia a la hora de seleccionar proveedores de servicios externos que manejarán los datos de los usuarios.

Los algoritmos también están sujetos a regulación en virtud de la ley propuesta, y los grandes poseedores de datos deben realizar evaluaciones de impacto sobre aquellos con "riesgo consiguiente de daño". Deben informarlos a la FTC. Los consumidores tendrían derecho a optar por no participar en estos algoritmos.

Las organizaciones cubiertas tendrían que publicar políticas de privacidad que expliquen los propósitos del procesamiento de datos y durante cuánto tiempo se conservarán. Las políticas tendrían que enumerar los terceros a los que se transfieren los datos, incluidos explícitamente los intermediarios de datos. La FTC también tendría que establecer un registro de intermediarios de datos con una opción de exclusión voluntaria para los consumidores.

La FTC desempeña un papel importante en esta legislación, sirviendo como su organismo de aplicación en la medida en que pondría fin a su Normatividad sobre Vigilancia Comercial y Seguridad de Datos cuando la ley entró en vigor.

Ashley Johnson, gerente senior de políticas del grupo de presión de la industria tecnológica Information Technology & Innovation Foundation (ITIF), identifica el papel de la FTC como un punto conflictivo para el proyecto de ley propuesto. El requisito de un registro central de la FTC de exclusión voluntaria socava las disposiciones de exclusión voluntaria para los datos cubiertos, le dice a ISMS.online, y agrega que reduciría los ingresos publicitarios de los servicios en línea.

¿La ley de quién cuenta?

Otro motivo de discordia es qué leyes tendrían precedencia; APRA o legislación a nivel estatal. Tal como está, la ley federal prevalecería sobre las leyes estatales, excepto cuando no lo hace, lo que resulta ser bastante frecuente.

“Si bien APRA apunta a establecer un estándar nacional, también busca incorporar las fuertes protecciones de las leyes estatales como las de California, Illinois y Washington”, advierte Perla Khattar, candidata a doctorado en el Laboratorio de Ética Tecnológica de la Facultad de Derecho de la Universidad de Notre Dame. . "Equilibrar estos objetivos para abordar las preocupaciones de los estados con protecciones sólidas de la privacidad plantea un desafío complejo".

La cuestión de la preferencia juega con otro punto de tensión: la disposición del proyecto de ley para demandas privadas junto con sanciones de los fiscales generales estatales y la FTC. Esto deja a la ITIF preocupada por los costos desbocados.

"Bajo la Ley de Privacidad de la Información Biométrica de Illinois (BIPA, por sus siglas en inglés) ha habido enormes acuerdos en casos judiciales por valor de millones de dólares, sólo por esa ley estatal", dice Johnson de ITIF. La ley permite a los individuos presentar demandas privadas.

"Muchas empresas ven ejemplos como ese y piensan '¿cómo sería si fuera a nivel federal?'".

La ley permitiría a las personas en Illinois presentar demandas en virtud de BIPA y su Ley de Privacidad de Información Genética cuando la violación ocurrió allí. También permite a los californianos presentar demandas en virtud de la Ley de Derechos de Privacidad de California. Johnson llama a esto un “negocio entre bastidores” que daría a los estados una ventaja injusta.

Disputas como éstas son difíciles de resolver, dadas las numerosas partes interesadas y agendas involucradas, y el tiempo se acaba.

“Si el proyecto de ley se demora demasiado sin avanzar, se corre el riesgo de perder impulso y el apoyo de las partes interesadas clave”, advierte Khattar.

“Dado que 2024 es un año electoral, el momento se vuelve aún más crítico para la aprobación de una legislación como la del APRA. Los legisladores suelen ser más receptivos a la opinión pública durante este período. Sin embargo, también podrían ser cautelosos a la hora de apoyar medidas controvertidas o divisivas”.

Incluso la ley más prometedora tiene poca utilidad si no llega a cumplirse. Sin embargo, las empresas deberían prepararse para el APRA –o cualquier intento posterior de legislación– como un riesgo empresarial.

"En primer lugar, evalúe en qué medida su manejo actual de datos se alinea con las estrictas leyes estatales, como las de California o Illinois", concluye Khattar. “Las empresas que ya cumplen con regulaciones tan estrictas pueden encontrar más fácil la transición al cumplimiento de APRA. Sin embargo, si sus prácticas se han adaptado para cumplir con estándares menos estrictos, es posible que necesite ajustes importantes”.

Cuando sea posible, actuar para cumplir con las disposiciones clave ahora podría evitar dolores de cabeza en el futuro. También podría ayudar a generar una valiosa confianza en los clientes.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

La seguridad cibernética 7 October 2025

La revisión de Safe Harbor sigue como siempre, por ahora

Septiembre fue un mes decisivo para las empresas europeas que querían compartir datos con EE. UU. El Tribunal General de la Unión Europea rechazó una impugnación...

danny bradbury

La seguridad cibernética 23 Septiembre 2025

Cuando fallan los sistemas heredados: lecciones de la violación de los tribunales federales

Los ciberataques ocurren a diario, pero algunos son especialmente escalofriantes. Un ataque este verano contra el sistema judicial estadounidense debería haber causado escalofríos en todos...

danny bradbury