Leyes de privacidad de datos de EE. UU. que debe conocer

NOTA: Este artículo pretende informar a nuestros lectores sobre las leyes de privacidad de datos de EE. UU. De ninguna manera tiene la intención de proporcionar asesoramiento legal o respaldar un curso de acción específico. Para obtener asesoramiento sobre su situación particular, consulte a su asesor legal.

Cada vez más leyes de privacidad de datos de EE. UU. están en vigor. Esto es lo que necesita saber.

Estados Unidos aún no cuenta con una ley federal integral de privacidad de datos. Fuera de la Ley de privacidad en línea para niños (COPPA) y las regulaciones específicas de la industria que incluyen medidas de privacidad de datos (por ejemplo, HIPAA), los problemas de privacidad de datos a nivel federal generalmente son manejados por la Comisión Federal de Comercio (FTC), cada vez que decide intervenir.

Sin embargo, algunas leyes integrales de privacidad de datos tienen promulgado a nivel estatal. Y ya sea que se apliquen o no a su negocio hoy, debe familiarizarse con estas leyes para prepararse para una regulación más amplia en el futuro.

Echemos un vistazo a las leyes de privacidad de datos de EE. UU. que podrían ser presagios de lo que vendrá.

Salta a:



  • Ley de privacidad del consumidor de California

  • Ley de privacidad de datos de Maine

  • Ley de exclusión voluntaria de Nevada

  • Ley de corredores de datos de Vermont

  • Nuevas leyes de privacidad de datos de EE. UU.

Ley de privacidad del consumidor de California

La Ley de Privacidad del Consumidor de California (CCAC) entró en vigor el 1 de enero de 2020 y es, con mucho, la ley de privacidad de datos más importante e influyente jamás aprobada en los Estados Unidos. Inspirado en gran medida por el Reglamento General de Protección de Datos de la UE (RGPD), la CCPA regula las prácticas de privacidad de datos de la empresa y brinda a los residentes del estado nuevos derechos, que incluyen:

  • El derecho a saber qué información personal se recopila

  • El derecho a excluirse de la venta de información personal

  • El derecho a eliminar la información personal previa solicitud.

  • El derecho a igual servicio y precio (es decir, los consumidores no pueden ser penalizados por ejercer sus derechos bajo la CCPA)

La CCPA define la información personal como datos que «identifican, se relacionan con, describen, es probable que se asocien con, o podrían vincularse razonablemente, directa o indirectamente, a un consumidor u hogar en particular». El proyecto de ley también incluye biometría, geolocalización y muchos otros tipos de datos, creando una definición verdaderamente completa de información personal.

La CCPA se aplica a cualquier negocio que cumpla con uno o más de los siguientes criterios:

  • Tiene un ingreso bruto anual mayor a $25 millones

  • Procesa la información personal de 50,000 o más consumidores de California anualmente

  • Obtiene más de la mitad de sus ingresos anuales vendiendo información personal

Las empresas de todos los tamaños y en todas las ubicaciones deben prestar especial atención a este segundo punto. La definición amplia de información personal por ley significa que una entidad cubierta puede adoptar muchas formas, incluida una dirección IP. Incluso las pequeñas empresas pueden recopilar rápidamente (y con bastante facilidad) información sobre 50,000 consumidores de California.

Las multas de la CCPA pueden llegar a los $7500 por registro infringido, y la ley también permite a los consumidores demandar por infracciones (lo que se conoce como derecho privado de acción). La aplicación entró en vigencia el 1 de julio; estamos esperando a ver en qué medida se aplicará la ley.

Cuidado: ley de derechos de privacidad de California

En noviembre de 2020, la Ley de derechos de privacidad de California (CPRA) aparecerá en la boleta electoral estatal. Si se aprueba, la CPRA ampliará significativamente, y esencialmente reemplazará, la CCPA ampliando la definición de datos protegidos y estableciendo un nuevo derecho del consumidor a corregir la información personal. Además, la legislación crearía una nueva agencia estatal de protección de datos con poderes para hacer cumplir la CPRA, la primera agencia dedicada a proteger la privacidad de los datos del consumidor en los Estados Unidos.

Ley de protección de datos de Maine

Conocido como Una ley para proteger la privacidad de la información de los clientes en líneaLey de protección de datos de Maine (DL 946) entró en vigor el 1 de julio de 2020 y se centra en los proveedores de servicios de Internet (ISP). La ley de Maine toma una opción relativamente única dentro enfoque de privacidad de datos (en comparación con el típico opt afuera acercar). En otras palabras: los consumidores deben elegir dentro permitir la venta de sus datos. No hacer nada significa datos no puedo para venderse.

LD 946 define la información personal como detalles de identificación como el nombre y el número de identificación del gobierno. La factura también incluye el uso de Internet, como el historial de navegación, el uso de aplicaciones, los identificadores de dispositivos y las direcciones IP que podrían identificar a una persona.

La ley prohíbe que los ISP penalicen a los clientes que rechacen el consentimiento y prohíbe que los ISP ofrezcan incentivos, como un mes de servicio gratuito, a cambio del consentimiento. La ley no es específica sobre un derecho de acción privado, un asunto que finalmente decidirán los tribunales de Maine.

Ley de exclusión voluntaria de Nevada

Ley de exclusión voluntaria de Nevada (SB220) entró en vigor en octubre de 2019 y regula los sitios web y los servicios en línea que procesan los datos de los consumidores de Nevada. Los consumidores deben tener la oportunidad de optar por no participar en empresas que venden su información personal; las respuestas a las solicitudes de retiro deben hacerse dentro de los 60 días.

SB220 actualizó la Ley de violación de datos de Nevada 603A, que define información personal como el nombre del consumidor en combinación con otros elementos de datos no cifrados especificados (por ejemplo, números de identificación del gobierno, información médica u otra información que permitiría el acceso a una cuenta en línea).

El Fiscal General de Nevada puede solicitar una orden judicial o imponer una multa de $5,000 por infracción. La ley prohíbe expresamente el derecho privado de acción.

Ley de corredores de datos de Vermont

Aunque no es completamente exhaustivo, Vermont H764 fue la primera legislación de privacidad de datos de EE. UU. promulgada únicamente para regular a los corredores de datos. Promulgada en mayo de 2018, la ley define a los intermediarios de datos como cualquier empresa que «recopila y vende u otorga licencias a terceros a sabiendas de la información personal intermediada de un consumidor con el que la empresa no tiene una relación directa».

Con pocas excepciones, cualquier empresa que cumpla con la definición de corredor de datos debe registrarse con el estado o enfrentar multas de hasta $10,000 por año. La ley prohíbe la adquisición de datos personales «por medios fraudulentos o con la intención de cometer actos ilícitos» y hace que sea ilegal cobrar congelaciones de crédito luego de una violación de datos.

H764 mejora los estándares de seguridad de los corredores de datos y proporciona una definición generosa de información personal que incluye datos biométricos, información de familiares directos y cualquier información que pueda identificar razonablemente a un consumidor. No permite los derechos de exclusión voluntaria del consumidor o un derecho de acción privada.

Nuevas leyes de privacidad de datos de EE. UU. y qué hacer al respecto

Está surgiendo en los Estados Unidos una nueva generación de leyes de privacidad de datos destinadas a dominar la IA y las tecnologías basadas en el aprendizaje automático.

Illinois promulgó recientemente una ley regular el uso de la IA en el proceso de contratación, mientras que el estado de Washington aprobó una ley regular el uso del reconocimiento facial por las agencias gubernamentales nacionales y locales. Si se aprueba, la CPRA de California regirá la tecnología de toma de decisiones automatizada y requerirá la divulgación de la lógica utilizada para tomar varias decisiones automatizadas.

Incluso si su negocio aún no está sujeto a ninguna de estas leyes de privacidad de datos, le recomendamos que las revise como una descripción general de las leyes locales, estatales o federales similares que, en última instancia, afectarán a todos los negocios de EE. UU.

Aquí hay algunas recomendaciones para facilitar el cumplimiento cuando llegue el momento:

  • Audite sus sistemas para identificar los tipos de datos de consumidores que recopila, dónde se almacenan y quién tiene acceso a ellos.
  • Dado que muchas leyes de privacidad de EE. UU. se derivan de las prácticas de GDPR, busque software que ofrece cumplimiento de GDPR.

  • Designe a un oficial de protección de datos para que lo ayude a navegar su negocio a través de las regulaciones de privacidad en constante cambio.

  • Revise las leyes de privacidad de datos emergentes y propuestas antes de adoptar nuevas tecnologías, como la autenticación biométrica o el software de reclutamiento basado en IA.

  • Revise, actualice y distribuya las políticas de privacidad de su empresa con regularidad.


Necesita auditar sus datos para garantizar el cumplimiento
con las nuevas leyes de privacidad de datos de EE.UU.?


Deja un comentario

Tu dirección de correo electrónico no será publicada.