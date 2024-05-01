Tras años de trabajo e intentos fallidos de legislas, recientemente se ha publicado el borrador de ley federal de protección de datos. El Comité de Energía y Comercio de la Cámara de Representantes de Estados Unidos publicó la Ley Estadounidense de Derechos de Privacidad (APRA) el 7 de abril de 2024. En el pasado, varias cuestiones impidieron la aprobación de la legislación, como la posibilidad de que los estados promulgaran normas más estrictas y que los particulares pudieran demandar a las empresas por violaciones de la privacidad.
Con la Ley Estadounidense de Derechos de Privacidad de 2024, el gobierno de EE. UU. estableció la primera política nacional de privacidad que determina los derechos nacionales de protección de datos de los consumidores y también fijó normas para la seguridad de datos. Algunas entidades específicas están excluidas de la legislación, incluidas las pequeñas empresas, los gobiernos, las entidades que trabajan en nombre de los gobiernos y el Centro Nacional para Niños Desaparecidos y Explotados (NCMEC). Las organizaciones sin ánimo de lucro dedicadas a la lucha contra el fraude solo están obligadas a cumplir las normas de seguridad de datos. Como parte de la ey, la Comisión Federal de Comercio (FTC) creará una nueva oficina para hacer cumplir las infracciones, que se tratarán como prácticas desleales o engañosas en virtud de la Ley de la FTC.
“Este proyecto de ley bipartidista y bicameral es la mejor oportunidad que hemos tenido en décadas para establecer un estándar nacional de protección de datos y seguridad que otorgue a las personas el derecho a controlar su información personal”, afirmaron la presidenta del Comité de Energía y Comercio de la Cámara de Representantes, Cathy McMorris Rodgers (republicana por Washington), y la presidenta del Comité de Comercio, Ciencia y Transporte del Senado, Maria Cantwell (demócrata por Washington), en el comunicado de prensa. “Esta histórica legislación representa la suma de años de esfuerzos de buena fe tanto en la Cámara de Representantes como en el Senado. Logrará un equilibrio significativo en temas que son críticos para que el Congreso apruebe una legislación integral sobre protección de datos. Los estadounidenses merecen el derecho a controlar sus datos y esperamos que nuestros colegas de la Cámara y el Senado se unan a nosotros para que esta legislación se convierta en ley”.
Una de las partes clave de la ley es que sustituye a las dispares leyes estatales actuales en materia de privacidad, lo que se conoce como prevalencia. Dado que las empresas tenían que cumplir las leyes del estado en el que residía el cliente, resultaba complicado garantizar el cumplimiento de las diferentes leyes en muchos estados.
Sin embargo, los estados aún pueden aprobar sus propias leyes de privacidad en algunos casos, como los derechos civiles y la protección del consumidor. Al elaborar la APRA, los legisladores conservaron las normas de estados clave, como California, Illinois y Washington.
El borrador de la APRA, de 140 páginas, detalla normas y procesos específicos relativos a la protección de datos. A continuación se presentan cinco aspectos clave del nuevo proyecto de ley.
Los legisladores utilizaron el lenguaje de la Ley de Derechos de Privacidad del Consumidor de California (CCPA), que otorgaba a las personas perjudicadas por una vulneración de datos el poder de demandar a las empresas. A partir de la demanda, los consumidores pueden recuperar los daños reales, medidas cautelares, medidas declarativas y honorarios y costes legales razonables. Los residentes de California también pueden recibir daños y perjuicios legales basados en la CCPA.
Las organizaciones estarán obligadas a disponer de una política de privacidad que detalle los procesos de recopilación de datos y la forma en que los consumidores pueden darse de baja. La ley también restringe la recopilación y la transferencia de tipos específicos de datos, como la información biométrica o genética, sin el consentimiento expreso y afirmativo de la persona, a menos que lo permita expresamente un fin permitido declarado
La APRA les da a los estadounidenses la posibilidad de impedir que las empresas y los corredores de datos transfieran o vendan sus datos. Los consumidores también pueden optar por no recibir publicidad dirigida. Además, la ley exige el consentimiento del consumidor para que las empresas transfieran datos sensibles a terceros.
Como parte de la legislación, la FTC mantendrá un registro de corredores de datos. Todos los corredores de datos también deberán mantener un sitio web público que los identifique como tales. Los consumidores, incluidas las personas con discapacidad, deben poder controlar los datos y optar por no participar en la recopilación en el sitio web mediante un mecanismo de “no recopilar”.
Si bien la mayoría de las empresas pueden nombrar a un responsable de privacidad o de datos, los grandes titulares de datos deben designar a ambos, además de cumplir con requisitos adicionales, como presentar una declaración anual ante la FTC. Las empresas no están obligadas a crear un puesto independiente, sino que pueden añadir estas responsabilidades a un puesto ya existente.
Dado que la ley aún se encuentra en fase de borrador, los próximos pasos aún no se han establecido. No hay una fecha oficial fijada para la votación o la aprobación del proyecto de ley. Debido a las implicaciones tanto para las empresas como para los consumidores, los estadounidenses deben seguir atentamente los debates, y las empresas deben comenzar a prepararse para cumplir con la normativa si se aprueba, que entraría en vigor 180 días después de su aprobación.