El panorama de la privacidad de datos en EE. UU. se ha caracterizado a menudo por su constante evolución. Ante la falta de una ley federal integral, legisladores estatales de todo el país trabajan para promulgar leyes de privacidad de datos con la esperanza de proteger mejor los derechos de privacidad de los consumidores estadounidenses y darles mayor control sobre cómo las empresas recopilan y utilizan sus datos personales.
Actualmente, nueve estados han implementado leyes integrales de privacidad de datos. Solo en 2023, ocho estados más presentaron proyectos de ley de privacidad que abarcan diversos aspectos, como la protección de identificadores biométricos y datos de salud. Infórmese sobre la legislación estatal más reciente en materia de privacidad con esta guía.
Leyes estatales actualmente promulgadas
California
California tomó la iniciativa al convertirse en el primer estado en promulgar una legislación integral sobre privacidad de datos a través de Ley de Privacidad del Consumidor de California (CCPA) y el Ley de Derechos de Privacidad de California (CPRA). El CCPA La Ley de Privacidad del Consumidor (CPRA) se promulgó el 8 de junio de 2018 y entró en vigor el 1 de enero de 2020. Establece el derecho a la privacidad de los californianos e impone requisitos comerciales sobre la recopilación y venta de su información personal. El 3 de noviembre de 2020, los votantes de California aprobaron la CPRA, que modificó y amplió la CCPA. Si bien la CPRA entró en vigor el 16 de diciembre de 2020, la mayoría de sus modificaciones a la CCPA no entraron en vigor hasta el 1 de enero de 2023.
Virginia
El 21 de marzo de 2021, Virginia se convirtió en el segundo estado en aprobar una legislación integral sobre privacidad de datos, con la promulgación de Ley de Protección de Datos del Consumidor de Virginia (VCDPA)La ley entró en vigor el 1 de enero de 2023 y otorga a los virginianos el derecho a acceder a sus datos y solicitar que las empresas eliminen su información personal. También exige que las empresas realicen evaluaciones de protección de datos para procesar datos personales con fines publicitarios y comerciales específicos.
Colorado
Colorado entró como el tercer estado, pasando Ley de Privacidad de Colorado (CPA) El 8 de junio de 2021, entró en vigor el 1 de julio de 2023. La Ley de Protección de Datos (CPA) establece cinco derechos fundamentales para los consumidores de Colorado: el derecho de acceso, el derecho de corrección, el derecho de eliminación, el derecho a la portabilidad de datos y el derecho a la exclusión voluntaria. Esta legislación protege la información personal que pueda vincularse a una persona específica, a la vez que excluye los datos anónimos y la información pública.
Utah
El 24 de marzo, el gobernador Spencer Cox de Utah firmó la Ley de Privacidad del Consumidor de Utah (UCPA) en ley, convirtiendo a Utah en el cuarto estado en implementar una legislación integral sobre la privacidad del consumidor. UCPA Entrará en vigor el 31 de diciembre de 2023.
Si bien la UCPA se inspira e incorpora elementos de sus leyes de privacidad predecesoras, adopta un enfoque más favorable a las empresas en materia de privacidad del consumidor. Se aplica a los responsables o encargados del tratamiento que operan en Utah o que se dirigen a los residentes de Utah, con límites específicos de ingresos y datos de consumidores que deben cumplir.
Connecticut
Connecticut se unió a las filas el 10 de mayo de 2022, convirtiéndose en el quinto estado en introducir un Ley de privacidad de datos extensa. En Ley de Privacidad de Datos Personales y Monitoreo en Línea de Connecticut, cuya entrada en vigor está prevista para el 1 de julio de 2023, ofrece a los consumidores de Connecticut opciones con respecto a los datos personales recopilados por las empresas que operan en el estado. Además, la ley impone responsabilidades adicionales a las empresas que gestionan los datos de los consumidores de Connecticut.
Iowa
El 29 de marzo de 2023, Iowa se unió a las filas como el sexto estado en aprobar una ley integral de privacidad. Ley de Protección de Datos del Consumidor de Iowa Entra en vigor el 1 de enero de 2025. La ley de privacidad de Iowa se aplica a las empresas que controlan o procesan datos personales de al menos 100,000 consumidores de Iowa o que obtienen más de 50% de ingresos brutos de la venta de datos personales y controlan o procesan datos personales de al menos 25,000 consumidores de Iowa. Esta ley establece un umbral basado en la cantidad de consumidores y los ingresos generados por la venta de datos personales.
Indiana
Indiana se convirtió en el séptimo estado en aprobar una ley integral de privacidad, siguiendo de cerca a Iowa el 1 de mayo de este año. Ley de Protección de Datos del Consumidor de IndianaComparte similitudes con las leyes de privacidad de Colorado, Connecticut y Virginia en cuanto a derechos y requisitos. Sin embargo, Indiana se distingue por ofrecer a las organizaciones más de dos años y medio para cumplir con la ley, ya que entrará en vigor el 1 de enero de 2026. El alcance de la ley se aplica a las empresas que operan en Indiana o que prestan servicios a sus residentes, con umbrales específicos para el control o procesamiento de datos personales. La ley abarca los datos personales vinculados a una persona identificable, excluyendo los datos anónimos, agregados o disponibles públicamente.
Tennesse
El gobernador Bill Lee firmó la Ley de Protección de la Información de Tennessee (TIPA) se convirtió en ley el 11 de mayo, lo que Tennesse El octavo estado en implementar una ley integral de privacidad. La TIPA entrará en vigor el 1 de julio de 2024, antes de las fechas de implementación de Indiana e Iowa. Se aplica a personas que realizan negocios en Tennessee o que se dirigen a residentes de Tennessee, con umbrales similares a las leyes de privacidad de Virginia, Iowa e Indiana. La TIPA incluye exenciones para entidades gubernamentales, instituciones financieras bajo la Ley Gramm-Leach-Bliley, empresas que cumplen con la HIPAA, organizaciones sin fines de lucro e instituciones de educación superior. También exime tipos específicos de datos, como la información médica protegida y los datos laborales.
Montana
Montana se ha convertido recientemente en el noveno estado en promulgar una ley integral de privacidad del consumidor, con la firma de la Ley de Privacidad de Datos del Consumidor de Montana El 19 de mayo de 2023, con fecha de entrada en vigor: 1 de octubre de 2024. Se aplica a personas o empresas que operan en Montana y exige que los consumidores de entre 13 y 16 años acepten la venta de datos personales y la publicidad dirigida. La "venta" de datos personales se define como el intercambio de información personal por una contraprestación monetaria u otra contraprestación valiosa por parte de la empresa a un tercero. Los consumidores de Montana tienen derecho a confirmar, acceder, eliminar, obtener una copia y rechazar ciertas actividades de procesamiento.
Texas en el horizonte
El Senado de Texas aprobó la HB 4, también conocida como Ley de Privacidad y Seguridad de Datos de TexasSe espera que Texas se convierta en el décimo estado en promulgar una legislación integral sobre privacidad. El proyecto de ley se basa en la Ley de Protección de Datos del Consumidor de Virginia, pero también incorpora elementos de las leyes de Colorado y Connecticut. La ley se presentará próximamente al gobernador de Texas, Abbott, y, de ser promulgada, entrará en vigor el 1 de marzo de 2024.
La ley propuesta se aplica a las empresas que operan en Texas o que ofrecen productos o servicios a residentes de Texas, sin un requisito de ingresos mínimos ni de procesamiento de datos. El proyecto de ley otorga a los consumidores varios derechos, entre ellos el derecho a confirmar si sus datos están siendo procesados, corregir inexactitudes, eliminar datos personales, obtener una copia de sus datos y optar por no participar en ciertas actividades de procesamiento. Los responsables del tratamiento de datos deben responder a las solicitudes de los consumidores en un plazo de 45 días y realizar evaluaciones de protección de datos para tipos específicos de actividades de procesamiento que representen riesgos para los consumidores.
Otras disposiciones clave incluyen la minimización de datos, el consentimiento para el procesamiento de datos sensibles, la no discriminación, los requisitos de notificación de privacidad, la publicidad dirigida, los principios de privacidad por diseño y las evaluaciones de protección de datos, con infracciones que se pueden castigar con hasta $7,500 cada una.
Establece un tono más fuerte en comparación con leyes de privacidad más favorables a las empresas en otros estados como Utah y Iowa.
Estados con proyectos de ley activos en disputa
El panorama regulatorio está en constante cambio, con un puñado de estados que han presentado proyectos de ley, entre ellos:
Delaware
El 12 de mayo de 2023, Delaware introdujo la Ley de Privacidad de Datos Personales de Delaware (HB154) Establece los derechos de los consumidores en relación con sus datos personales. Otorga a los residentes de Delaware el derecho a acceder, corregir y solicitar la eliminación de su información personal en poder de empresas estatales. El Departamento de Justicia de Delaware realizará actividades de divulgación pública para educar a consumidores y empresas sobre la Ley al menos seis meses antes de su entrada en vigor.
Luisiana
Introducido el 4 de abril de 2023, el Ley de Privacidad del Consumidor de Luisiana Se aplica a las empresas del estado o dirigidas a sus residentes con ingresos anuales de $25 millones o más. Exige el cumplimiento de las entidades que controlan o procesan datos personales de al menos 100,000 residentes de Luisiana o que obtienen más de 50% de ingresos por la venta de datos personales y procesan datos de al menos 25,000 residentes. Otorga a los consumidores derechos como el acceso, la corrección y la eliminación de sus datos personales, así como la exclusión voluntaria de la publicidad dirigida y la venta de datos.
Maine
En Ley de Privacidad del Consumidor de Maine (LD 1973) Se aplica a empresas en Maine o dirigidas a residentes de Maine, con umbrales específicos para el procesamiento de datos e ingresos por la venta de datos personales. Incluye exenciones para ciertas entidades y tipos de datos regulados por otras leyes de privacidad. La ley otorga a los consumidores derechos para acceder, corregir, eliminar y obtener datos personales. Prohíbe ciertas actividades de procesamiento sin la autorización del consumidor y enfatiza los principios de privacidad por diseño, como la limitación de la finalidad y las prácticas de seguridad de datos.
Massachusetts
Massachusetts está considerando un proyecto de ley integral sobre privacidad de datos llamado Ley de Privacidad y Seguridad de la Información de Massachusetts (MIPSA), un proyecto de ley presentado en febrero de 2022. De aprobarse, la MIPSA se aplicaría a empresas con ingresos anuales de entre 1 y 25 millones de libras o más o que procesen información personal de al menos 100.000 personas. Amplía los derechos de los residentes e introduce regulaciones sobre datos biométricos y sensibles.
Nuevo Hampshire
Introducido el 19 de enero de 2023— Proyecto de ley SB 255 de New HampshireEstá diseñado para armonizar las leyes estatales de privacidad y ciberseguridad con las de otros estados y países. Los residentes de New Hampshire obtendrían derechos como estar informados sobre el manejo de su información personal, acceder y corregir sus datos, optar por no participar en la recopilación y el uso de datos, solicitar la eliminación de datos y protección contra la discriminación por ejercer su derecho a la privacidad.
Nueva Jersey
Proyecto de ley A505 de la Asamblea, conocido como Ley de Transparencia, Divulgación y Rendición de Cuentas de Nueva JerseySe presentó en la Asamblea General del Estado de Nueva Jersey. El proyecto de ley busca establecer requisitos para el procesamiento y la divulgación de información personal identificable y crear la Oficina de Protección de Datos y Uso Responsable. Incluye disposiciones para obtener el consentimiento, garantizar la transparencia, otorgar derechos a los titulares de los datos, regular la toma de decisiones automatizada, proteger los datos personales de los consumidores y multas de hasta $20,000.
Nueva York
El Proyecto de Ley del Senado SB 365, conocido como Ley de Privacidad de Nueva York, se reintrodujo en el Senado del Estado de Nueva York el 6 de enero de 2022. El proyecto de ley otorga a los consumidores nuevos derechos, como el acceso, la corrección y la impugnación de la toma de decisiones automatizada. También impone a las empresas la obligación de proporcionar un aviso claro, mantener la seguridad de los datos, obtener el consentimiento, realizar evaluaciones periódicas y notificar a los consumidores sobre posibles daños.
Carolina del Norte
La propuesta Ley de Privacidad del Consumidor de Carolina del Norte (CPA) Se introdujo en 2021. De promulgarse, la Ley de Protección al Consumidor (CPA) se aplicaría a las empresas que operan en Carolina del Norte o se dirigen a este estado y que procesan datos personales de un número determinado de consumidores. Existen exenciones para ciertas entidades y tipos de datos, protegidos principalmente por leyes federales como la HIPAA.
Oregón
A principios de enero de 2023, Oregón introdujo SB 619 —que, de promulgarse, se aplicará a los residentes que realizan actividades no comerciales y a las empresas que operan en Oregón o que prestan servicios a residentes de Oregón y que procesan datos personales de consumidores. Las disposiciones clave incluyen el derecho a solicitar información a los responsables del tratamiento, corregir inexactitudes, eliminar datos y exigir el consentimiento expreso para datos personales sensibles.
Pensilvania
La Ley de Protección de Datos del Consumidor de Pensilvania, presentada como HB 708 el 20 de enero de 2022, tiene como objetivo otorgar a los consumidores derechos como el acceso, la eliminación, la corrección, la exclusión voluntaria y la portabilidad de sus datos personales. También establece principios de procesamiento de datos, exige prácticas de seguridad, exige el cumplimiento de los contratos entre responsables y encargados del tratamiento, exige evaluaciones de protección de datos y designa al Fiscal General de Pensilvania para su cumplimiento.
Rhode Island
El 23 de marzo de 2023 se presentó la SB754 como la Ley de Transparencia de Datos y Protección de la Privacidad de Rhode IslandEl proyecto de ley otorgaría a los consumidores de Rhode Island nuevas e importantes protecciones, incluyendo el derecho a conocer la información que las empresas han recopilado sobre ellos, el derecho a acceder, corregir y eliminar dicha información, así como la capacidad de exigir a las empresas que respeten las solicitudes de exclusión de los agentes autorizados.
Para ver cómo BigID puede ayudarle a mantenerse a la vanguardia de la evolución de la legislación sobre privacidad: programe una demostración 1:1 hoy mismo.