Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

A medida que la data privacy se ha convertido en una prioridad para las personas, los gobiernos de todos los niveles han promulgado una variedad de leyes de derechos de privacidad para controlar cómo las organizaciones recopilan, almacenan y procesan información personal, como nombres, direcciones, datos de salud, registros financieros e información crediticia.

Aprenda más sobre las leyes de data privacy en los EE. UU., así como los cambios y otros desarrollos que se esperan para las leyes existentes que rigen los datos personales

¿Cómo se hace cumplir la privacidad de los datos en los EE. UU.?

La necesidad de abordar los problemas de privacidad modernos y proteger los derechos de privacidad de datos es una tendencia global. Un momento definitorio ocurrió en mayo de 2018, cuando la UE implementó el Reglamento General de Protección de Datos (GDPR), una extensa legislación que se aplica no solo a los estados miembros de la UE sino a cualquier organización que recolecta o procesa los datos de residentes europeos.

En pocas palabras, Estados Unidos no tiene un equivalente al GDPR de la UE. De hecho, a partir de 2021, EE. UU. es una de las únicas democracias y el único miembro de la Organización para la Cooperación y el Desarrollo Económicos que no tiene una agencia federal de protección de datos, aunque la senadora Kirsten Gillibrand y otros han propuesto la creación de una. Sin una ley de protección de datos integral a nivel federal, EE. UU. continúa regulando la privacidad de los datos a través de una combinación de leyes aprobadas a nivel estatal y federal.

Las empresas deben estar al tanto de toda la legislación relevante antes de comenzar a recopilar o procesar cualquier dato que pueda considerarse “información personal”. El incumplimiento de las leyes aplicables de privacidad de datos puede llevar a demandas y multas.

Leyes federales de privacidad en los EE. UU. y su aplicación

Las leyes federales que se consideran leyes de privacidad de datos incluyen:

• Ley Gramm-Leach-Bliley (GLBA): También conocida como la Ley de Modernización Financiera de 1999, la GLBA exige a las corporaciones financieras explicar cómo protegen y comparten la información sensible de los clientes
• Health Insurance Portability and Accountability Act (HIPAA): Esta ley federal regula la divulgación y el uso de la información de salud protegida (PHI).
• Ley de Protección de la Privacidad en Línea para Niños (COPPA): Esta ley restringe la recopilación de información personal sobre niños menores de 13 años.
• Family Educational Rights and Privacy Act (FERPA): Esta ley federal protege la privacidad de los registros estudiantiles y se aplica a todas las escuelas que reciben fondos del Departamento de Educación de los EE. UU.
• Fair Credit Reporting Act (FCRA): Regula la recopilación y el uso de la información del consumidor

A nivel federal, la Comisión Federal de Comercio (FTC) tiene una amplia jurisdicción sobre las entidades comerciales para prevenir las “prácticas comerciales engañosas”, que pueden incluir problemas de privacidad de datos. La FTC tiene la autoridad para hacer cumplir las leyes de privacidad, emitir regulaciones y tomar acciones para proteger a los consumidores. En particular, la FTC puede actuar contra empresas que:

• No lograr crear, implementar y mantener medidas razonables de data security ante violaciones
• Violar los derechos de privacidad de datos del consumidor al recopilar, procesar o compartir información del consumidor sin su consentimiento
• Publicar y establecer políticas de privacidad y seguridad inexactas o confusas para los consumidores en sitios web y aplicaciones
• Recolectar, procesar, transferir o compartir información personal de una manera que no esté revelada en la política de privacidad

Leyes de privacidad de datos a nivel estatal en los EE. UU.

Muchos estados de EE. UU. también tienen sus propias leyes de privacidad y seguridad de datos. Las oficinas de los fiscales generales estatales son responsables de supervisar estas leyes.

State-level regulations often have overlapping or incompatible provisions. For example, all 50 US states have adopted data breach notification laws, but there are differences in the definition of personal data and even in what constitutes a data breach. Similarly, at least 35 states (and Puerto Rico) have enacted some form of data disposal regulations, with many of these laws addressing digital data specifically.

Aquí están las principales leyes de privacidad de datos por estado que se han promulgado:

Ley de Privacidad del Consumidor de California

Vigencia fecha: 1 de enero de 2020

Disposiciones: Esta ley de privacidad de datos de California comenzó como una iniciativa de votación en respuesta a la creciente preocupación pública sobre la cantidad de datos privados que las empresas digitales y tecnológicas en Silicon Valley han estado recolectando y vendiendo en silencio durante décadas. La ley de California incorpora los principios fundamentales de los requisitos de protección de datos y privacidad de datos en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

La CCPA regula la recolección, venta y divulgación de información personal de los residentes de California. Se aplica a la actividad de negocios, proveedores de servicios que atienden a negocios y terceros (que pueden ser individuos u organizaciones). Uno de los términos clave de la ley es que los negocios deben responder prontamente a las consultas de los consumidores de California sobre qué datos personales se están recopilando sobre ellos y si estos se están vendiendo o divulgando. La ley no permite discriminación contra los consumidores que ejercen sus derechos; los consumidores deben recibir la misma calidad de servicio incluso si se oponen a una actividad en particular, como la venta de sus datos. Los proveedores de servicios solo pueden usar los datos del consumidor bajo la dirección del negocio que atienden y deben eliminar la información personal del consumidor de sus registros a solicitud.

Ámbito: La CCPA se aplica a todas las empresas con fines de lucro que operan en California y que cumplen con ciertas condiciones, como un umbral de ingresos. Tiene un efecto extraterritorial, ya que cubre a empresas no californianas que operan en California.

Otros datos clave:

• Ciertos datos sensibles están exentos de los requisitos de la CCPA, incluyendo la información de salud protegida (PHI) ya cubierta por la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), información médica ya cubierta por la Ley de Confidencialidad de la Información Médica de California y alguna información cubierta por la Ley Gramm-Leach-Bliley (GLBA).
• La ley actualmente exige a las empresas extender los derechos proporcionados por la CCPA a sus empleados. Sin embargo, hay un proyecto de ley pendiente que modificaría dicha ley para excluir a los empleados de la definición de “consumidor”.
• Cuando una empresa recibe una consulta sobre la información recopilada y almacenada acerca de una persona, debe verificar que quien hace la solicitud es realmente quien dice ser antes de responder.

Sanciones por infracciones: La ley otorga a las empresas 30 días para “remediar” las infracciones. No atender una infracción conlleva una penalización civil de hasta US$7,500 por cada violación intencional y US$2,500 por cada violación no intencional.

Ley de Derechos de Privacidad de California (CPRA)

Nombre oficial: Proposition 24

Fecha de entrada en vigor: 1 de enero de 2023, pero no se aplicará hasta el 1 de julio de 2023

Disposiciones: Esta ley de California otorga nuevos derechos a los consumidores, como el derecho a:

• Corrija la información inexacta.
• Que se recoja la información personal sujeta a limitaciones de propósito y minimización de datos.
• Reciba notificaciones de empresas que planean utilizar información personal sensible y pídales que se detengan. Esto incluye información biométrica, datos genéticos y cualquier información relacionada con la salud de una persona, orientación sexual o vida sexual.

Ámbito: Esta ley tiene un alcance más amplio que la CCPA ya que ofrece los siguientes derechos ampliados a los consumidores:

• El derecho a demandar a las empresas cuando exponen contraseñas y nombres de usuario: La CPRA amplía la definición de “información personal” de la CCPA para incluir nombres de usuario y contraseñas.
• El derecho a optar por no compartir información con terceros: Bajo la CCPA, este fue un punto debatido porque “vender” no incluía explícitamente compartir. Con la CPRA, los consumidores ahora pueden optar por no permitir la venta y el compartir de información personal con terceros.
• El derecho a acceder a más información: Los consumidores pueden solicitar acceso a cualquier información personal recopilada por una empresa, no solo a la información recopilada en el período de 12 meses anterior.

Otros datos clave: Esta ley también crea una nueva agencia de privacidad, la California Privacy Protection Agency (CPPA), que será responsable de la aplicación.

Sanciones por infracciones: Las multas pueden variar desde $2,500 hasta $7,500, dependiendo de si usted es una empresa o un individuo. También hay multas automáticas de $7,500 por violaciones de los datos de menores (cualquier persona menor de 16 años).

Ley de Privacidad de Colorado (CPA)

Nombre oficial: SB 21-190

Fecha de entrada en vigor: 1 de julio de 2023

Disposiciones: La CPA se aplica a los “controladores” que operan en Colorado o entregan productos o servicios dirigidos a residentes de Colorado que:

• Controlar o procesar los datos personales de 100,000 o más consumidores en un año
• Obtenga ingresos o consiga descuentos en el precio de servicios o bienes por vender, procesar o controlar los datos personales de 25,000 o más consumidores

A partir del 1 de julio de 2024, los controladores que cumplan con los requisitos anteriores deberán respetar las solicitudes de exclusión para las ventas y publicidad dirigidas. La CPA también otorga a los residentes de Colorado el derecho de acceder, corregir y eliminar sus datos personales, además del derecho a la portabilidad de los datos. Los controladores tendrán 45 días para responder a las solicitudes.

Ámbito: A diferencia de la California Consumer Privacy Act de 2018, la CPA no tiene un umbral monetario para su aplicabilidad. Esto significa que cada negocio necesita considerar esta ley. Sin embargo, no se aplica a las siguientes instituciones:

• Instituciones financieras sujetas a la GLBA
• Varios tipos de datos relacionados con la salud
• Datos regulados por FERPA

A diferencia de las leyes de California, la CPA no excluye a las organizaciones sin fines de lucro.

Otros datos clave: CPA hace necesario que los responsables del tratamiento firmen acuerdos de procesamiento de datos (DPAs) con los procesadores. Los responsables también tendrán que realizar y registrar evaluaciones de protección de datos.

Sanciones por infracciones: No existe un derecho privado de acción, por lo que el Fiscal General de Colorado y los fiscales de distrito harán cumplir la CPA. Pueden solicitar daños monetarios o medidas cautelares. Sin embargo, antes de tomar medidas, el Fiscal General y los fiscales de distrito deben emitir una notificación de violación y permitir a las empresas o individuos 60 días para remediar la supuesta violación. Después de enero de 2025, este “derecho a remediar” será reemplazado por el derecho del controlador de solicitar orientación de la oficina del Fiscal General.

Ley de Protección de Datos del Consumidor de Virginia (CDPA)

Nombre oficial: SB-1392

Fecha de entrada en vigor: 1 de enero de 2023

Disposiciones: La CDPA otorga a los consumidores seis derechos:

• Derecho a rectificar
• Derecho de acceso
• Derecho a la portabilidad de los datos
• Derecho a eliminar
• Derecho a optar por no participar
• Derecho de apelación

Ámbito: Esta ley se aplica a entidades que realizan negocios en Virginia o crean servicios o productos dirigidos a residentes de Virginia que:

• Controlar o procesar los datos personales de más de 100,000 consumidores durante un año
• Controlar o procesar los datos personales de más de 25,000 consumidores y obtener al menos la mitad de sus ingresos brutos de la venta de datos personales

Al igual que la CPA de Colorado, la CPDA de Virginia no tiene un umbral de ingresos. Esto significa que las empresas de todos los tamaños deben prestar atención a esta ley.

La definición de “consumidor” no incluye a una persona que actúa en un contexto laboral o comercial. Esto lo diferencia del CPRA, que incluye datos de empleados. Por lo tanto, las empresas no tendrán que considerar los datos de empleados al decidir si el CPDA les aplica.

Otros datos clave: Al igual que el GDPR de la UE y el CCPA de California, el CDPA tiene una disposición que limita la recopilación de datos a aquellos que son “adecuados, relevantes y razonablemente necesarios en relación con los fines para los cuales se procesan los datos.”

Sanciones por infracciones: Al igual que la CPA de Colorado, la CDPA de Virginia no tiene un derecho de acción privado. La aplicación es responsabilidad del Fiscal General. El controlador tiene 30 días para remediar la infracción después de que el Fiscal General notifique al controlador que se tomarán medidas. Si el controlador no remedia la infracción dentro de este período, el Fiscal General puede multarlo hasta con $7,500 por infracción.

Ley de Privacidad de Internet de Nevada (SB260)

Nombre oficial: BDR-52-253

Fecha de entrada en vigor: 1 de octubre de 2021

Disposiciones: Esta ley proporcionará a los residentes de Nevada un derecho más amplio para optar por no participar en la venta de su información personal. También crea nuevos requisitos para los “corredores de datos”, que se definen como entidades cuyo principal medio de negocio es vender información sobre consumidores a operadores u otros corredores de datos. Los corredores de datos deben establecer una dirección designada a través de la cual los consumidores puedan solicitar al corredor de datos que deje de vender su información. El corredor de datos tendrá que responder dentro de los 60 días siguientes a la recepción.

Ámbito: La ley amplía el ámbito del derecho de exclusión, pero el alcance de la “información cubierta” es más estrecho que la “información personal” definida por leyes similares.

“La información cubierta” se limita a:

• Nombres y apellidos
• Direcciones físicas/domiciliarias
• Dirección de correo electrónico
• Números de teléfono
• Números de seguridad social
• Identificadores que permiten contactar a la persona en persona o en línea

Otros datos clave: El proyecto de ley modifica los estatutos de aviso de privacidad en línea de Nevada, como NRS 603A.300-360.

Sanciones por infracciones: El Fiscal General de Nevada tiene la responsabilidad de hacer cumplir esta ley. El tribunal emitirá una orden de restricción temporal o permanente o una multa civil de hasta $5,000 por cada infracción.

Ley de Privacidad de Datos de Massachusetts

Nombre oficial: Normas para la Protección de la Información Personal de los Residentes de la Commonwealth (201 CMR 17.00)

Fecha de entrada en vigor: 1 de marzo de 2010

Disposiciones: Esta ley establece requisitos para proteger a los residentes de Massachusetts contra el robo de identidad y el fraude.

Ámbito: Cualquier organización que licencie, almacene o mantenga datos personales sobre residentes de Massachusetts debe implementar un programa de seguridad de la información integral.

Otros datos clave:

• La ley exige que las empresas tengan una persona dedicada a dirigir un programa de seguridad de datos y realizar capacitaciones regulares a los empleados.
• La ley también exige a las empresas que tomen “medidas razonables” para verificar que los proveedores de servicios de terceros con acceso a información personal puedan proteger dicha información.
• La ley protege la seguridad y confidencialidad de la información personal tanto de consumidores como de empleados, lo que incluye nombre, apellido, número de Seguro Social, número de licencia de conducir, número de tarjeta de identificación emitida por el estado, número de cuenta financiera, número de tarjeta de crédito o débito, y cualquier código de acceso que permita acceder a la información financiera de una persona. Sin embargo, excluye la información obtenida de fuentes públicamente disponibles.
• Massachusetts también está trabajando en una regulación de privacidad de datos similar a la CCPA. Si se aprueba, SD.341 “An Act Relative to Consumer Data Privacy,” está programada para entrar en vigor el 1 de enero de 2023.

Sanciones por infracciones: La Oficina de Asuntos del Consumidor y Regulación Empresarial es responsable de la aplicación. Cada violación intencional de la ley puede incurrir en una sanción civil de hasta US$5,000, más “costos razonables de investigación y litigio de dicha violación, incluyendo honorarios razonables de abogados.”

Ley de Privacidad de Datos de Minnesota

Nombre oficial: Ley de Prácticas de Datos del Gobierno de Minnesota (MGDPA) (Minn. Stat. § 13)

Fecha de entrada en vigor: 1979

Disposiciones: Esta ley de Minnesota protege el derecho de los individuos a acceder a los datos gubernamentales y controla la recopilación, almacenamiento, uso y difusión de datos privados. Establece un sistema de clasificación para diferenciar distintos tipos de información, como datos educativos y datos de las fuerzas del orden. Además, los datos sobre individuos se etiquetan como públicos o no públicos, mientras que los datos no referentes a individuos se etiquetan como no públicos o protegidos no públicos

Ámbito: La ley se aplica a cualquier entidad gubernamental de Minnesota.

Otros datos clave:

• La ley requiere que cada agencia estatal designe una “autoridad responsable” que establecerá procedimientos para asegurar que las solicitudes de datos sean “recibidas y atendidas de manera adecuada y rápida”. Si una entidad gubernamental desea recopilar datos privados o confidenciales de un individuo, debe proporcionarle a esa persona un aviso de privacidad denominado “Tennessen”
• En caso de una disputa entre una entidad gubernamental y una persona con respecto a prácticas de datos, la persona puede solicitar una opinión consultiva del Comisionado de Administración.

Sanciones por violaciones: Las sanciones pueden incluir una acción civil por una violación intencional, o los honorarios de abogado si la entidad gubernamental no sigue la opinión consultiva. Para violaciones intencionales, el tribunal también puede imponer sanciones penales a los empleados públicos, suspenderlos sin sueldo o destituirlos.

Propuestas de leyes estatales de privacidad de datos en EE. UU.

Todas las leyes de privacidad de datos anteriores han sido promulgadas, pero hay leyes que se están discutiendo. Incluyen lo siguiente:

Ley de Privacidad Personal de Ohio (OPPA)

Nombre oficial: House Bill 376

Descripción: Este proyecto de ley es similar a la legislación establecida en California, Virginia y Colorado. Si se promulga, otorgará a los habitantes de Ohio ciertos derechos digitales e impondrá obligaciones a cualquier negocio que recolecte datos personales de los consumidores de Ohio.

Ley de Privacidad del Consumidor de Carolina del Norte (CPA)

Nombre oficial: Senate Bill 569

Descripción: Si se promulga, esta ley otorgaría a los consumidores de Carolina del Norte los siguientes derechos:

• Derecho de conocimiento y acceso
• Derecho de rectificación
• Derecho de supresión
• Derecho a optar por no participar
• Derecho privado de acción

Se aplicará a todas las empresas que dirijan sus servicios y productos a los residentes de Carolina del Norte y que:

• Procesar o controlar los datos personales de 100,000 o más consumidores anualmente
• Procese o controle los datos personales de al menos 25,000 consumidores y obtenga más de la mitad de los ingresos brutos de la venta de estos datos personales.

Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island

Nombre oficial: HB 5959

Descripción: Este proyecto de ley detalla las prácticas de intercambio de información y exige transparencia en la forma en que se recopilan los datos de los consumidores, requiriendo que ciertas empresas proporcionen divulgaciones de políticas de privacidad. Si se aprueba, la ley ayudará a los consumidores a identificar la información personal recopilada, compartida o vendida a terceros por proveedores de servicios en línea y sitios web comerciales.

Ley de Privacidad de Datos del Consumidor de Pennsylvania

Nombre oficial: House Bill 1126

Descripción: Este acto se aplicaría a las empresas con fines de lucro que cumplan con todos los siguientes criterios:

• Haga negocios en Pensilvania
• Recolectar, compartir o vender la información personal de los consumidores
• Determinar solo o con otros los propósitos y medios del procesamiento de la información personal de los consumidores
• Cumpla con uno de los siguientes requisitos:
  • Obtienen la mitad de sus ingresos anuales de la venta de información personal de los consumidores
  • Comprar, compartir o vender anualmente (solo o con otros) la información personal de 50,000 consumidores, dispositivos o hogares
  • Tener unos ingresos brutos anuales de al menos $10 millones

Nueva Jersey — Tres proyectos de ley de privacidad de datos

Nombres oficiales: A5448, A3283, y A3255

Descripción:

A5448 y A3255 tienen objetivos similares: Exigirían a las empresas notificar a los consumidores sobre la recolección y divulgación de información personal identificable y permitir que los consumidores se excluyan.

A3283, la Ley de Transparencia y Responsabilidad en la Divulgación de Nueva Jersey (NJ DaTA), establecería requisitos para la divulgación y el procesamiento de información personal identificable. El proyecto de ley también crearía una Oficina de Protección de Datos y Uso Responsable en la División de Asuntos del Consumidor.

Ley de Privacidad de la Información de Massachusetts (MIPA)

Nombre oficial: S.46

Descripción: Este proyecto de ley es una versión modificada de la People’s Privacy Act en el estado de Washington. Protegería a los consumidores contra la recolección, uso y monetización no autorizados de su información personal, incluyendo datos de ubicación y biométricos; prohibiría la discriminación basada en información personal y protegería a los trabajadores contra la vigilancia electrónica injustificada en el trabajo.

Ley de Protección de la Privacidad del Consumidor de Hawái

Nombre oficial: SB 418

Descripción: Este proyecto de ley propuesto otorgará a los consumidores el derecho de acceder, eliminar y optar por no participar en la venta de su información personal. Al igual que el CCPA, tiene una definición amplia de “información personal”. Contiene las mismas protecciones y derechos principales que el CCPA, pero no define lo que es un “negocio”, por lo que no excluye a las empresas por tamaño.

Ley de Privacidad del Consumidor de Nueva York (NYPA)

Nombre oficial: Senate Bill S567

Descripción: Esta propuesta de ley de privacidad de datos de Nueva York es muy similar a la CCPA. Permitiría a los individuos saber qué datos ha recopilado una empresa sobre ellos y con quién los ha compartido, solicitar que la empresa corrija o elimine los datos, y optar por no permitir que sus datos sean compartidos con terceros o vendidos. La NYPA complementaría la ley actual de notificación de brechas de datos de Nueva York ampliando la protección de la información personal.

El proyecto de ley propuesto establece altos estándares de protección de la privacidad de los datos, como los siguientes:

• Impone deberes fiduciarios a cualquier entidad legal que recolecte, venda o licencie datos personales, y define esos deberes de manera amplia. Las empresas deben proteger los datos personales de los consumidores contra cualquier riesgo que los afecte. Además, indica que la responsabilidad del fiduciario de datos prevalece sobre “cualquier deber que se tenga con los propietarios o accionistas.”
• Es más fuerte que otras leyes estatales en el sentido de que requiere que las empresas pongan la privacidad de sus clientes antes que sus propias ganancias. Esta legislación sobre privacidad tiene una línea muy controvertida que dice que las organizaciones deben “actuar en el mejor interés del consumidor”. Sin embargo, no explica qué deben entender realmente las empresas sobre los intereses de los neoyorquinos y otros clientes.
• Ofrece un derecho de acción privado, otorgando a los consumidores el derecho de demandar directamente a las empresas por violaciones de privacidad en lugar de dejar la aplicación de la ley en manos del Fiscal General del estado.

Conclusión

Los estados de EE. UU. están promulgando sus propias regulaciones de privacidad de datos y ciberseguridad ya que, a diferencia de la UE, EE. UU. aún no ha aprobado una ley federal integral de privacidad de datos. La situación continuará volviéndose más compleja a medida que más leyes estatales entren en vigor en los próximos meses y años. Para evitar sanciones severas, demandas y otras consecuencias de fallas en el cumplimiento, las organizaciones deben revisar cuidadosamente las leyes de privacidad de datos en EE. UU. y asegurarse de cumplir con todos los requisitos aplicables.

Preguntas frecuentes

¿Qué leyes de EE. UU. imponen requisitos para asegurar la privacidad de los datos?

En ausencia de una legislación federal integral que regule la privacidad de los datos, Estados Unidos se rige por leyes específicas de sector y estado que controlan la compartición de tipos particulares de datos personales. Estas leyes incluyen:

• Ley de Privacidad de 1974 — Protege la información personal mantenida por las agencias federales
• Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y Ley de Tecnología de Información Sanitaria para la Salud Económica y Clínica (HITECH) — Protege la información personal de salud (PHI)
• Gramm–Leach–Bliley Act (GLBA) — Protege la información financiera
• Children’s Online Privacy Protection Act (COPPA) — Protege la privacidad de los niños
• Family Educational Rights and Privacy Act (FERPA) — Protege la información personal de los estudiantes
• California Consumer Privacy Act (CCPA) — Protege los derechos de privacidad de los residentes de California
• La Ley SHIELD de Nueva York — Protege la información personal y privada de los residentes del estado de Nueva York

¿Qué tipos de datos están cubiertos por las leyes de privacidad de EE. UU.?

La información considerada sensible por las leyes de EE. UU. incluye:

• Información de identificación personal (PII) — Información que podría utilizarse para identificar, contactar o localizar a una persona o distinguir a una persona de otra, como el nombre, dirección y número de Seguro Social
• Información personal de salud (PHI) — Información sobre el estado de salud, historial médico, información de seguros y otros datos privados que son recopilados por proveedores de atención médica y podrían estar vinculados a una persona determinada
• Información financiera personalmente identificable (PIFI) — Números de tarjetas de crédito, detalles de cuentas bancarias u otros datos relacionados con las finanzas de una persona
• Registros estudiantiles — Las calificaciones, transcripciones, horario de clases, detalles de facturación y otros registros educativos de un individuo

¿Qué está protegido por la Ley de Privacidad de 1974?

La Ley de Privacidad de 1974 regula la manera en que las agencias federales manejan los registros de individuos del gobierno federal y requiere que dichas agencias sigan varios requisitos estrictos de mantenimiento de registros. Permite a los individuos acceder a registros sobre sí mismos, saber si esos registros han sido divulgados y solicitar correcciones o enmiendas a esos registros a menos que estén legalmente exentos.

¿Cuántos estados de EE. UU. tienen leyes de privacidad de datos?

Al menos 16 estados tienen leyes de privacidad de datos y tres de ellos cuentan con leyes integrales de privacidad de datos del consumidor. California estableció la conocida Ley de Privacidad del Consumidor de California (CCPA), la cual impulsó legislaciones similares en Colorado y Virginia.

¿Se aplican las leyes de privacidad federales y estatales de EE. UU. a las empresas extranjeras?

Depende de varios factores, incluyendo el impacto en los individuos, el impacto en el comercio de EE. UU. y si la empresa tiene una subsidiaria en EE. UU. Las empresas extranjeras pueden estar sujetas a las leyes de EE. UU. si recopilan, procesan o comparten la información personal de los residentes de EE. UU. Por ejemplo, si una compañía extranjera hace negocios en California y recopila la información personal de los residentes de California mientras los consumidores están en California, está sujeta a la CCPA.

¿En qué se diferencian las leyes de privacidad de EE. UU. del GDPR de la UE?

El GDPR es un mandato integral de privacidad de datos que se aplica a todos los estados miembros y a cualquier empresa del mundo que recolecte o procese datos de residentes de la UE. Estados Unidos carece de una ley equivalente; en su lugar, la privacidad de los datos está regulada por un conjunto de leyes federales específicas de cada sector y diversas leyes estatales.

Un derecho específico protegido por el GDPR que vale la pena mencionar es el right to be forgotten, que es el derecho a solicitar que la información personal de uno sea eliminada de los registros de una organización. Este derecho a menudo se considera incompatible con el derecho a la libertad de expresión, consagrado en la Primera Enmienda de la Constitución de los Estados Unidos, porque forzar la eliminación de información puede verse como una limitación a la libertad de expresión y conlleva el riesgo de censura. Sin embargo, varias leyes en EE. UU. ofrecen alguna forma del derecho al olvido. Por ejemplo, COPPA otorga a los padres el poder de revisar y eliminar la información de sus hijos, y la CCPA permite a los residentes de California solicitar la eliminación de sus registros, con ciertas limitaciones.