El Congreso de los Estados Unidos publica el proyecto de ley americana de privacidad y protección de datos

10-06-2022 — AR/2022/070

Es una iniciativa federal que, hasta ahora, se enfrentaba a reticencias por considerarse una injerencia contraria al principio de intervención mínima en la actividad económica y a las competencias de los estados federados. Entendemos que los motivos para tramitar esta ley federal tienen relación con los problemas generados por la anulación del «Privacy Shield» para el comercio con la Unión Europea, espacio en el que los cambios regulatorios para promover la digitalización de la actividad económica giran, entre otros ejes, en la protección de datos. Para mantener su presencia en la actividad económica digital, Estados Unidos necesita una ley que dé un nivel de protección adecuado a los datos personales. De otra forma, las relaciones comerciales con Europa serán cada vez más difíciles.

El 3-6-2022, las Cámaras de Representantes y del Senado de los Estados Unidos han publicado el proyecto de «Ley americana de privacidad y protección de datos».

Será una ley federal que regulará de forma integral la privacidad y la protección de datos, y que busca disponer de una normativa nacional uniforme para el control sobre los datos personales mediante un sistema de derechos y de mecanismos para hacerlos efectivos.

El proyecto de ley se divide en dos secciones y en cuatro títulos. Incluye:

  • definiciones,
  • obligaciones de las entidades en relación con los datos de terceros,
  • derechos de los consumidores,
  • responsabilidad corporativa, y
  • mecanismo de ejecución y aplicación de la ley.

Resumimos a continuación los aspectos principales.

Ámbito de aplicación

Se centra en:

  • Los datos protegidos, que define como «la información que identifica, vincula o es razonablemente vinculante a un individuo o a un dispositivo vinculante a un individuo».
    • Excluye de su regulación los datos no identificados, los datos de empleados o información disponible públicamente.
  • Los datos sensibles para los que asienta mayores garantías.
    • En este concepto incluye, por ejemplo, los datos de menores de diecisiete años, de la Seguridad Social, pasaporte, números de cuentas bancarias, datos sobre salud, etc.

La ley se aplicará a cualquier entidad o persona física que recoja, procese o transfiera datos protegidos, incluidas las que controlen, sean controladas, estén bajo control común o compartan marca común con otra entidad que esté sujeta y:

  • esté sometida a la autoridad de la Comisión Federal de Comercio,
  • sea una empresa de transporte común, o
  • se trate de una entidad no organizada para llevar a cabo negocios para su beneficio propio o el de sus miembros

Deberes de las entidades sujetas

El título I recoge los deberes de lealtad que deben cumplir las entidades sujetas:

  1. Minimización de datos: prohíbe la recopilación, procesamiento y transferencias de datos cubiertos más allá de los estrictamente necesarios.
  2. Deber de lealtad: describe las prácticas de recopilación de datos que están restringidas, incluyendo las excepciones a ellas.
  3. Privacidad por diseño: obliga a las entidades a implantar políticas y procedimientos según su tamaño, la sensibilidad y el volumen de datos que gestionen.
  4. Lealtad de los individuos con respecto a los precios.

Derechos de los consumidores

El Título II recoge los derechos de los consumidores.

La Comisión Federal de Comercio ha anunciado que abrirá un sitio web, tras la aprobación de la ley, que facilitará información detallada de las provisiones, derechos, obligaciones y requisitos para individuos y entidades sujetas.

Algunos de los derechos para los individuos serán:

  • la transparencia, la propiedad y control sobre los datos individuales,
  • el derecho al consentimiento y a la oposición,
  • la protección de los datos de niños y menores de diecisiete años, y
  • la seguridad de los datos.

Responsabilidad corporativa

El título III describe las responsabilidades de:

  • los grandes titulares de datos, que tendrán que:
    • certificar anualmente que mantienen controles internos y estructuras para cumplir la ley,
    • realizar evaluaciones de impacto, y
    • designar responsables de privacidad y seguridad de datos encargados de implantar los programas de protección de datos.
  • los proveedores de servicios y terceros, a los que impone prohibiciones de utilizar los datos sin el consentimiento expreso de las entidades responsables de los datos transferidos, salvo para cumplir obligaciones legales.

Asimismo, la Comisión Federal del Comercio promulgará reglas sobre los programas de cumplimiento técnico que las entidades sujetas deberán presentar para su aprobación.

Ejecución y aplicación

Por último, el título IV detalla las siguientes cuestiones:

  1. La Comisión Federal del Comercio creará una agencia que asistirá en esta materia a la propia Comisión y a las restantes autoridades, para hacer cumplir la ley.
  2. El Fiscal General del Estado tendrá competencias para ejercer acciones civiles frente a las entidades sujetas que infrinjan la ley y sus reglamentos.
  3. Cualquier persona o grupo de personas podrá presentar acciones civiles en cualquier tribunal federal por algunas infracciones de la ley cometidas por las entidades sujetas hasta cuatro años después de la promulgación de esta ley.
  4. Las interacciones entre la ley americana de privacidad y protección de datos y las restantes leyes federales que afectan a la materia quedan reguladas para evitar duplicidades en las obligaciones y responsabilidades.

Se espera que en 2023 esté aprobada y promulgada.

Iniciativas relacionadas
Documentos vinculados
Ámbitos
Más información