Miembros del Senado y la Cámara de Representantes de los EE. UU. proponen una ley de protección de datos

La Cámara de Representantes de los Estados Unidos (EE. UU.) ha presentado, el 7-4-2024, una propuesta de ley de protección de datos (la «American Privacy Rights Act»), que pretende lograr una norma nacional uniforme de privacidad y seguridad de datos que proteja el derecho de las personas a controlar sus datos personales.

Con la promulgación como ley de esta propuesta:

• los estadounidenses tendrían el derecho a controlar el destino de sus datos y quién puede venderlos;
• frena a las grandes empresas tecnológicas al prohibirles rastrear, predecir y manipular el comportamiento de las personas con fines lucrativos sin su conocimiento y consentimiento.

Definiciones de interés

«Datos cubiertos»

La propuesta define los «datos cubiertos» (por la ley) como «información que identifica o está vinculada o es razonablemente vinculable, sola o en combinación con otra información, a una persona o a un dispositivo que identifica o está vinculado o es razonablemente vinculable a una o más personas».

«Entidad cubierta»

La propuesta de ley estadounidense entenderá por «entidad cubierta» la que «sola o juntamente con otras, determina los fines y los medios de la recogida, el tratamiento, la conservación o la transferencia de los datos cubiertos» y:

• está sujeta a la Ley de la Comisión Federal de Comercio (Ley FTC);
• es un proveedor común sujeto al Título II de la Ley de Comunicaciones o pertenece a determinadas organizaciones sin ánimo de lucro; e
• incluye cualquier entidad que controle, esté controlada, esté bajo control común o comparta marca común con otra entidad cubierta.

Principios del tratamiento

Resaltamos dos de esta propuesta:

1. Minimización de datos:
   • asigna mayor protección de la información sensible, biométrica y genética, y
   • exige el consentimiento expreso para la transferencia de información sensible a terceros.
2. Transparencia: las entidades cubiertas deben:
   • publicar una política de privacidad fácilmente legible y accesible sobre las actividades de recogida, tratamiento, conservación y transferencia de datos;
   • fijar, aplicar y mantener prácticas razonables de seguridad para proteger la confidencialidad, integridad y accesibilidad de los datos cubiertos, y proteger los datos cubiertos contra el acceso no autorizado.

Derechos

La propuesta prevé los derechos de acceso, rectificación, supresión y portabilidad de los datos, además del derecho a excluirse voluntariamente de las transferencias de datos cubiertas y de la publicidad selectiva.

Obligaciones

Las entidades están obligadas a:

• designar responsables de la privacidad o la seguridad de los datos, con requisitos diferentes aplicables a los grandes poseedores de datos;
• realizar una evaluación del impacto sobre la privacidad para las que traten una gran cantidad de datos.

Asimismo, la propuesta recoge:

• obligaciones muy parecidas a las de la Unión Europea sobre al acceso a los datos por otras personas (third party), y
• la firma de un contrato sobre protección de datos que recoja las garantías contractuales de seguridad, acceso y destrucción de ellos.

Por su parte, los «data brokers» están sujetos a requisitos y prohibiciones relacionados con la publicidad y comercialización del acceso a los datos o su transferencia. La Comisión Federal de Comercio (FTC, en siglas inglesas) establecerá un registro de estos «data brokers».

Ejecución y sanciones

El proyecto de ley sitúa a la FTC como responsable de hacer cumplir sus disposiciones mediante la creación de una oficina propia.

La propuesta considera las infracciones recogidas como actos o prácticas desleales o engañosos de conformidad con la ley FTC.

La propuesta indica, asimismo:

• que un fiscal general del estado, el jefe de protección de los consumidores de un estado, o un funcionario o una oficina del estado autorizado para hacer cumplir las leyes de privacidad o seguridad de datos podrán iniciar una acción civil, y
• que los interesados podrán presentar demandas privadas contra las entidades que violen sus derechos.

Próximos pasos

Esta propuesta debe ser aprobada por la Cámara de Representantes y el Senado de los Estados Unidos.