Un borrador de un proyecto de ley federal bipartidista e integral sobre privacidad Se publicó el viernes 3 de junio. El proyecto de ley, titulado "Ley Estadounidense de Privacidad y Protección de Datos", otorgaría a los consumidores derechos fundamentales a la privacidad, crearía mecanismos de supervisión sólidos y establecería una aplicación rigurosa de la ley.
El proyecto de ley contiene una serie de definiciones, que incluyen varios términos que han sido tendencia en las noticias sobre privacidad, como "información biométrica", "información genética" y "publicidad dirigida".
Dividido en cuatro secciones, derechos de los consumidores sobre los datos incluiría el derecho a:
- Acceder a determinados datos de una entidad cubierta;
- Corregir información inexacta o incompleta dentro de dichos datos;
- Eliminar los datos cubiertos; y
- Recibir dichos datos en un formato portátil.
El tiempo que las entidades cubiertas tendrán para responder a una solicitud individual de un consumidor dependerá del tamaño de la entidad (por ejemplo, los “grandes titulares de datos” tendrán 30 días a partir de la verificación de la solicitud).
Además, las entidades cubiertas también deberán cumplir con el derecho del consumidor a consentir y/o oponerse al procesamiento de datos sensibles, y también deberán proporcionar mecanismos para que los consumidores puedan optar por no participar en las transferencias de datos cubiertas y en la publicidad dirigida.
Algunas otras disposiciones cruciales que se pueden encontrar en el Título II del proyecto de ley incluyen las siguientes:
- Protecciones de datos específicas para niños y menores;
- Obligaciones de las terceras entidades cubiertas;
- Instrucciones para avisos y políticas de privacidad;
- Requisitos para los programas de seguridad y protección de datos; y
- Cláusulas relativas a la protección de los derechos civiles y los algoritmos, incluida la necesidad de que las entidades cubiertas realicen evaluaciones del impacto de los algoritmos.
El Título III del borrador responsabilizaría a las corporaciones y a sus ejecutivos de certificar ante la FTC que han implementado controles razonables, según lo exige la ley, y estructuras de reporte que garanticen el cumplimiento de sus disposiciones. Algunos requisitos destacados para las entidades cubiertas incluyen:
- La designación de al menos un responsable de privacidad y un responsable de seguridad de datos;
- La implementación de un programa de privacidad de datos y un programa de seguridad de datos; y
- Establece requisitos adicionales para las entidades cubiertas que califican como “grandes titulares de datos”, lo cual se define en el proyecto de ley.
Las entidades que califiquen como grandes poseedores de datos también estarían obligadas a realizar evaluaciones de impacto sobre la privacidad (“PIAs”) que consideran tecnologías emergentes, como blockchain u otros avances “utilizados [por el gran titular de datos] para proteger los datos cubiertos”.
Según el proyecto actual, se le otorgaría a la FTC la autoridad para hacer cumplir la Ley y se le exigiría que estableciera una nueva oficina para ayudar con la misión a más tardar un año después de que se promulgue el proyecto de ley.
El Fiscal General de los Estados Unidos y los Fiscales Generales Estatales (o el director de protección al consumidor, según el estado) también podrían iniciar acciones civiles contra las entidades que infrinjan la Ley en nombre de personas o residentes de sus respectivos estados. Tanto la FTC como el Fiscal General de los Estados Unidos estarían obligados a depositar el importe de cualquier sanción civil u otra compensación relacionada en un fondo recientemente creado en el Departamento del Tesoro de los Estados Unidos, conocido como el "Fondo de Ayuda a las Víctimas de la Privacidad y la Seguridad".
El proyecto también contempla un derecho de acción privado para demandas individuales o colectivas. Sin embargo, esta disposición específica no entrará en vigor hasta cuatro años después de su promulgación.
Cabe destacar que la ley federal prevalecería leyes estatales ya está cubierto por sus disposiciones, pero contiene exenciones para una serie de leyes federales y estatales relacionadas con la privacidad y la seguridad, incluido el derecho a iniciar una acción civil en caso de una violación de la seguridad de la información personal (1798.150, Proposición 24, Sec. 16 (también conocida como “CPRA” de California).