Primer vistazo a la Ley de Protección de Datos de Estados Unidos (ADPPA)

La American Data Privacy and Protection Act (ADPPA), o H.R. 8152, sigue siendo sólo un proyecto de ley en 2025.

Pero, ¿podría convertirse en la primera ley federal de privacidad de datos de Estados Unidos?

No, en julio de 2022, tras ser aprobada por el Comité de Energía y Comercio de la Cámara de Representantes, y a pesar de un aparente apoyo bipartidista, no fue aprobada por la Cámara de Representantes ni por el Senado y la ADPPA no se convirtió en ley federal.

A continuación, repaso los requisitos, obligaciones y derechos esbozados por la ADPPA, discuto lo que la frenó e investigo lo que nos enseña sobre el futuro de la privacidad de datos en EE.UU.

¿Qué es la Ley de Protección de Datos de Estados Unidos (ADPPA)?

La American Data Privacy and Protection Act, o ADPPA, era un proyecto de ley federal que, de haberse aprobado, habría sido la primera ley de protección de datos a nivel federal en Estados Unidos.

Habría anulado las leyes estatales existentes de protección integral de la intimidad, salvo determinadas categorías de leyes en California e Illinois.

En julio de 2022, la ADPPA fue aprobada por el Comité de Energía y Comercio de la Cámara de Representantes con 53 votos a favor y 2 en contra, y se incluyó en el Calendario de la Unión, Calendario nº 488, en diciembre de 2022.

Sin embargo, el Congreso no tuvo tiempo de examinarla formalmente antes de que finalizara el 117º periodo de sesiones, en enero de 2023.

A partir de 2025, no se ha movido. Los proyectos de ley estancados como éste se consideran a veces "leyes muertas", lo que sugiere que la ADPPA muy probablemente no se convertirá en la primera ley federal de protección de la intimidad de los consumidores en Estados Unidos.

¿Cuál es la finalidad de la ADPPA?

El propósito de la ADPPA era establecer un conjunto uniforme de protecciones y derechos para los estadounidenses sobre cómo se recopila, procesa y utiliza su información personal.

Establece limitaciones y requisitos para las empresas que manejan datos personales, incluidas las sin ánimo de lucro y las empresas de transporte público, y señala las sanciones y multas por infringir la ley.

Términos clave y definiciones de la ADPPA

Antes de explicar los requisitos que establece la ADPPA, es importante repasar algunos términos clave para que entiendas el alcance y la aplicación de esta ley aparentemente estancada.

Utilizaba un lenguaje único que no suele aparecer en otras legislaciones sobre privacidad de datos, incluidas la mayoría de las leyes estatales sobre privacidad de Estados Unidos.

Por ejemplo, en lugar de "consumidor" o "interesado", la ADPPA utiliza el término "particulares".

Lea a continuación las definiciones de estos términos exactamente como aparecen en la Sección 2 de la última versión de la Ley de Protección y Privacidad de Datos de Estados Unidos:

• Consentimiento afirmativo expreso: Acto afirmativo de una persona que comunica claramente su autorización libre, específica e inequívoca para un acto o práctica tras haber sido informada, en respuesta a una solicitud específica de una entidad cubierta que cumple los requisitos del subapartado (B).
• Recoger/Recopilación: Comprar, alquilar, reunir, obtener, recibir, acceder o adquirir de cualquier otro modo datos cubiertos por cualquier medio.
• Control: (A) La propiedad o el poder de voto de más del 50 por ciento de las acciones en circulación de cualquier clase de valores con derecho a voto de la entidad; (B) el control sobre la elección de la mayoría de los consejeros de la entidad (o de personas que ejerzan funciones similares); o (C) el poder de ejercer una influencia de control sobre la gestión de la entidad.
• Datos cubiertos: Información que identifica o está vinculada o es razonablemente vinculable, sola o en combinación con otra información, a una persona o a un dispositivo que identifica o está vinculado o es razonablemente vinculable a una persona y puede incluir datos derivados e identificadores únicos persistentes.
• Entidad cubierta: Cualquier entidad o cualquier persona, distinta de un particular que actúe en un contexto no comercial, que sola o conjuntamente con otros determine los fines y los medios de la recogida, el tratamiento o la transferencia de los datos cubiertos y
  • (I) está sujeta a la Ley de la Comisión Federal de Comercio (15 U.S.C. 41 y siguientes);
  • (II) es una empresa de transporte público sujeta a la Ley de Comunicaciones de 1934 (47 U.S.C. 151 y siguientes) y a todas las leyes que la modifican y complementan; o bien
  • (III) es una organización no organizada para llevar a cabo negocios para su propio beneficio o el de sus miembros; y
  • (ii) incluye cualquier entidad o persona que controle, sea controlada por, o esté bajo control común con la entidad cubierta.
• Persona física: Persona física residente en Estados Unidos.
• Gran soporte de datos: Una entidad cubierta o un proveedor de servicios que, en el año civil más reciente:
  • (i) tenía unos ingresos brutos anuales iguales o superiores a 250.000.000 de dólares; y
  • (ii) recopiló, procesó o transfirió (I) los datos cubiertos de más de 5.000.000 de personas o dispositivos que identifican o están vinculados o son razonablemente vinculables a 1 o más personas, excluidos los datos cubiertos recopilados y procesados con el único fin de iniciar, prestar, facturar, finalizar, completar o cobrar de otro modo el pago de un producto o servicio solicitado; y
  • (II) los datos sensibles cubiertos de más de 200.000 individuos o dispositivos que identifiquen o estén vinculados o sean razonablemente vinculables a 1 o más individuos.
• Procesar: Llevar a cabo o dirigir cualquier operación o conjunto de operaciones realizadas sobre datos amparados, incluyendo el análisis, organización, estructuración, conservación, almacenamiento, uso o cualquier otro tratamiento de los datos amparados.
• Proveedor de servicios: una persona o entidad que (i) recopila, procesa o transfiere datos cubiertos en nombre y por orden de una entidad cubierta o una entidad gubernamental federal, estatal, tribal, territorial o local; y (ii) recibe datos cubiertos de o en nombre de una entidad cubierta o una entidad gubernamental federal, estatal, tribal, territorial o local.
• Entidad recaudadora tercera parte: Una entidad cubierta cuya principal fuente de ingresos se deriva del tratamiento o transferencia de datos cubiertos que la entidad cubierta no recopiló directamente de las personas vinculadas o vinculables a los datos cubiertos.
  • No incluye a una entidad cubierta en la medida en que dicha entidad procese datos de empleados recopilados por y recibidos de un tercero relativos a cualquier individuo que sea empleado del tercero con el único fin de que dicho tercero proporcione prestaciones al empleado.
• Transferir: Revelar, divulgar, difundir, poner a disposición, conceder licencias, alquilar o compartir datos cubiertos de forma oral, escrita, electrónica o por cualquier otro medio.

A lo largo de esta guía utilizaré estas palabras tal y como las describe la ADPPA, así que no dudes en consultar esta lista de definiciones cuando lo necesites.

¿Quién apoyó la ADPPA?

En aquel momento, la Ley de Privacidad y Protección de Datos de Estados Unidos parecía contar con cierto apoyo bipartidista y estaba patrocinada por el representante Frank Pallone, Jr. demócrata de Nueva Jersey, Distrito 6.

Está copatrocinada por:

• Representante Cathay McMorris Rodgers, republicana de Washington, Distrito 5
• Representante Janice D. Schakowsky, Demócrata de Illinois, Distrito 9
• Representante Gus M. Bilirakis, Republicano de Florida, Distrito 12

¿Qué bloqueó la ADPPA?

A pesar del aparente apoyo bipartidista, la ADPPA se encuentra actualmente paralizada y parece haber "muerto".

¿Qué impidió que este proyecto se convirtiera en ley? El tiempo. Abordar la cuestión de equilibrar la innovación a nivel estatal con un marco nacional cohesionado resultó difícil pero esencial, y el año se agotó antes de poder llegar a una conclusión.

También había debates sin resolver para los que los líderes políticos no habían encontrado un término medio.

A continuación, cubro algunos de esos discursos con algo más de detalle.

Conclusión del 117º Congreso

¿Un problema importante que bloquea la ADPPA? La falta de tiempo en la agenda del Congreso.

La ADPPA fue aprobada por el Comité de Energía y Comercio por 53 votos a favor y 2 en contra en julio de 2022.

Sin embargo, los legisladores nunca tuvieron tiempo de considerar formalmente la propuesta antes del final del 117º Congreso, el 3 de enero de 2023.

Aunque el 118º Congreso se comprometió a mantener la privacidad de los datos y la ADPPA como máxima prioridad, aún no se ha producido ningún movimiento en relación con el proyecto de ley.

El debate sobre el derecho de acción privada

Otro tema controvertido a la hora de aprobar una ley federal de privacidad de datos en Estados Unidos es si los particulares deben tener o no un derecho de acción privado.

Un derecho de acción privado significa que un individuo puede demandar por una violación de sus derechos.

Los demócratas abogaban por un derecho de acción privado, mientras que los republicanos se oponían. Como solución de compromiso, la ADPPA estableció un derecho de acción privado con un aplazamiento de dos años.

Sin embargo, los legisladores expresaron su preocupación a ambos lados del pasillo sobre si esto era factible.

Aplicar o no otras leyes estatales

Una cuestión adicional que bloquea la ADPPA se refiere al poder que puede o no tener sobre las diversas leyes de privacidad estatales de Estados Unidos que han entrado en vigor.

Cuando una ley federal se impone a las leyes estatales, se impone a éstas y, en última instancia, las sustituye, provocando la uniformidad entre todos los estados de Estados Unidos.

Aparentemente, se han trazado dos líneas en la arena sobre si la ley federal de protección de datos debe prevalecer sobre la legislación estatal.

• Una parte quiere que las leyes estatales sigan en vigor mientras ofrezcan niveles de protección similares o superiores en lo que respecta a las disposiciones sobre tratamiento de datos.
• La otra parte quiere que la ley federal sustituya a todas las leyes estatales, sin excepciones.

En su última redacción, la ADPPA establecía algunos compromisos para California e Illinois.

En gran parte, este compromiso se debió a que California fue el estado que más luchó contra el derecho preferente durante el 117º periodo de sesiones del Congreso, según informó la IAPP.

Los debates en curso hacen difícil predecir si la primera ley federal de protección de datos de Estados Unidos prevalecerá sobre la legislación estatal. En cualquier caso, es primordial lograr un equilibrio entre la uniformidad nacional y la innovación estatal.

¿Qué incluye la ADPPA?

La ADPPA incluía disposiciones sobre todos los temas siguientes:

• Minimización de datos
• Deberes de lealtad
• Privacidad desde el diseño
• Fidelidad a los particulares en materia de precios
• Política de privacidad y requisitos de notificación
• Informes de métricas de grandes titulares de datos
• Terceras entidades de gestión colectiva
• Derechos civiles y algoritmos
• Seguridad y protección de datos
• Protección de la pequeña empresa
• Mecanismos unificados de exclusión voluntaria

Analicemos con más detalle cómo pueden afectar a las entidades cubiertas.

Minimización de datos

La ADPPA trató las obligaciones de minimización de datos de la entidad cubierta en el Título I, Sección 101.

Las entidades están limitadas a recopilar únicamente la información que sea "razonablemente necesaria" y "proporcionada a" lo siguiente:

• Proporcionar o mantener un producto o servicio a petición del particular
• Fines específicos permitidos

Esos fines permitidos para la recogida y el tratamiento de datos eran:

• Iniciar, gestionar o completar una transacción para satisfacer un pedido de productos o servicios solicitados por el particular.
• Tratamiento de los datos necesarios para realizar el mantenimiento y el diagnóstico del sistema
• Desarrollar, mantener, reparar o mejorar un producto o servicio
• Realización de investigaciones o análisis internos para mejorar un producto o servicio
• Realizar una gestión de inventario o una gestión razonable de la red
• Protección contra el spam
• Depuración o reparación de errores que afecten a la funcionalidad de un servicio o producto
• Autenticar a los usuarios de un producto o servicio
• Cumplimiento de la garantía de un producto o servicio
• Prevención, detección, protección o respuesta ante un incidente de seguridad, fraude, acoso o actividad ilegal.
• Cumplir con las obligaciones legales a nivel estatal, federal, local, tribal o de investigación.
• Evitar que un individuo o grupo sufra daños si corre riesgo de muerte, lesiones físicas graves u otros riesgos para la salud.
• Realizar investigaciones científicas, históricas o estadísticas
• Comunicación razonablemente prevista por el consumidor o entre particulares (no publicidad)
• Garantizar la seguridad e integridad de los datos

La Comisión Federal de Comercio (la Comisión) habría proporcionado orientaciones sobre lo que se considera "razonablemente necesario y proporcionado" para el cumplimiento.

Deberes de lealtad

La ADPPA habría exigido a todas las entidades cubiertas el cumplimiento de ciertos "deberes de lealtad" en relación con sus procedimientos de tratamiento de datos personales, tal y como se presenta en el Título I, Sección 102.

En concreto, describía lo que las entidades cubiertas y los proveedores de servicios no pueden hacer con la información personal, lo que incluía:

• Recoger, procesar o transferir números de la Seguridad Social.
• Recoger, procesar o transferir datos sensibles a menos que sea estrictamente necesario.
• Transferir datos sensibles a terceros a menos que hayan expresado su consentimiento afirmativo o la transferencia sea necesaria.
• Los servicios de televisión por difusión, los servicios por cable y otros servicios de programación de vídeo no pueden transferir datos a un tercero no afiliado a menos que obtengan el consentimiento afirmativo.

Privacidad desde el diseño

La ley federal de privacidad de datos estadounidense, que se encuentra paralizada, habla de la privacidad mediante el diseño (PdD) en el Título I, Sección 103. Habría hecho de la privacidad mediante el diseño un requisito legal para las entidades cubiertas. Habría hecho de la privacidad por diseño un requisito legal para las entidades cubiertas.

Según la ADPPA, la PdD significaba establecer, aplicar y mantener políticas y prácticas razonables que:

• Considere las leyes, normas o reglamentos federales aplicables relacionados con los datos.
• Identificar, evaluar y mitigar los riesgos para la privacidad relacionados con los menores.
• Mitigar los riesgos para la privacidad relacionados con los productos y servicios que proporcionan, incluido el diseño y desarrollo de dichos productos o servicios.
• Implantar formación y salvaguardas razonables para promover el cumplimiento de todas las leyes de privacidad aplicables que afecten a la entidad cubierta.

Además, las entidades cubiertas deben tener en cuenta su tamaño y el alcance y complejidad de las actividades de tratamiento que realizan.

También deben tener en cuenta la sensibilidad de los datos que recopilan, el volumen recogido, el número de personas o dispositivos afectados y el coste de aplicar dichas políticas.

Lealtad a las personas con respecto a los precios

La ADPPA prohibía explícitamente las represalias a través del servicio o la fijación de precios en el Título I, Sección 104.

Las entidades cubiertas no pueden castigar a un individuo por actuar en virtud de sus derechos recogidos en la posible nueva ley.

Sin embargo, no impedía que las entidades:

• Ofrecer un precio, tarifa, nivel o selección de productos diferente en relación con la participación voluntaria del individuo en un programa de fidelización.
• Ofrecer incentivos económicos a las personas que participen en estudios de mercado.
• Ofrecer diferentes tipos de precios o funcionalidades como resultado de que los particulares ejerzan su derecho a la intimidad.
• Negarse a suministrar un producto o servicio si la recogida de datos es estrictamente necesaria para dicho producto o servicio.

Política de privacidad y requisitos de notificación

La ADPPA describe varios requisitos de política de privacidad y notificación en el Título II, Sección 202.

Si se hubiera aprobado, establecía que las entidades cubiertas debían publicar una política de privacidad que incluyera toda la información siguiente:

• Identidad e información de contacto de la entidad cubierta o del proveedor de servicios
• A quién se aplica la política de privacidad, incluidos los puntos de contacto y una dirección de correo electrónico genérica para consultas sobre privacidad y seguridad de los datos.
• Cualquier otra entidad con la misma estructura corporativa que la entidad cubierta a la que se transfieren los datos.
• Categorías de datos tratados
• La finalidad del tratamiento de cada categoría de datos
• Si la entidad transfiere los datos y, en caso afirmativo, cada categoría o tercero al que se transfieren, el nombre de cada tercero y los fines para los que se transfieren los datos.
• El tiempo que la entidad tiene previsto conservar los datos
• Descripción del modo en que los particulares pueden ejercer los derechos que les reconoce la ADPPA.
• Una descripción general de las prácticas de seguridad de la entidad
• La fecha de entrada en vigor de la política de privacidad
• si los datos se transfieren a la República Popular China, Rusia, Irán o Corea del Norte, se tratan en estos países, se almacenan en ellos o son accesibles a ellos

Además, declaró que las entidades calificadas como grandes titulares de datos deben proporcionar a los consumidores un aviso de privacidad abreviado que sea:

• Conciso, claro, visible y no engañoso
• Fácilmente accesible
• Incluye una descripción general de los derechos de las personas y llama la atención sobre posibles prácticas inesperadas en materia de datos.
• No más de 500 palabras

Informes de métricas de grandes titulares de datos

En virtud de la ADPPA, cualquier entidad calificada como gran poseedora de datos tendría que compilar las métricas correspondientes al año natural anterior.

Las métricas específicas incluían el número de:

• Solicitudes de acceso verificadas
• Solicitudes de supresión verificadas
• Solicitudes de exclusión voluntaria de publicidad dirigida
• Solicitudes atendidas total o parcialmente por el gran tenedor de datos y denegadas
• El número medio de días que se tardó en responder a las solicitudes

Entidades de gestión colectiva

En virtud del Título II, Sección 206 de la ADPPA, todos los terceros que recopilen datos habrían estado obligados a publicar un aviso claro, no engañoso y accesible en su sitio web o aplicaciones móviles.

Debe cumplir todos los requisitos siguientes:

• Notificar a los particulares que la entidad es una entidad recaudadora de terceros utilizando el lenguaje desarrollado por la Comisión.
• Incluir un enlace al sitio web de la Comisión
• sea razonablemente accesible y utilizable por personas con discapacidad

Antes del 31 de enero de cada año natural, cualquier entidad de recopilación de datos de terceros que recopilara los datos de más de 5.000 personas o dispositivos habría estado obligada a registrarse en la Comisión.

El proceso de registro habría incluido:

• Pagar una tasa de 100 dólares
• Proporcionar el nombre legal y la dirección principal física, de correo electrónico y de Internet de la entidad tercera implicada.
• Una descripción de las categorías de datos cubiertos que tratan y transfieren
• La información de contacto del tercero, incluida una persona de contacto, número de teléfono, dirección de correo electrónico, sitio web y dirección física.
• Un enlace a un sitio web para que los particulares puedan ejercer sus derechos

La Comisión crearía y mantendría un sitio web de consulta pública con información detallada sobre todas las entidades de gestión colectiva de terceros.

Derechos civiles y algoritmos

La ADPPA habría prohibido a las entidades cubiertas el tratamiento de información de cualquier forma que discrimine a las personas en el Título II, Sección 207.

La Comisión habría tenido autoridad para hacer cumplir esta sección de la ADPPA.

Si se promulgaba la ADPPA, en el plazo de tres años la Comisión debía presentar al Congreso un informe que resumiera:

• Todos los tipos de información que la Comisión transmitió a las agencias durante el año anterior
• Cómo se relaciona la información con las leyes federales de derechos civiles

Evaluaciones de impacto de algoritmos cubiertos

Los grandes poseedores de datos que utilicen un "algoritmo cubierto" que plantee un riesgo potencial de daño a un individuo o grupo deben realizar una evaluación de impacto.

La ADPPA definió el algoritmo cubierto como:

"Un proceso computacional que utiliza aprendizaje automático, procesamiento de lenguaje natural, técnicas de inteligencia artificial u otras técnicas de procesamiento computacional de complejidad similar o superior y que toma una decisión o facilita la toma de decisiones humanas con respecto a los datos cubiertos, incluso para determinar la provisión de productos o servicios o para clasificar, ordenar, promover, recomendar, amplificar o determinar de manera similar la entrega o visualización de información a una persona."

Decía que la evaluación de impacto debía proporcionar toda la información siguiente:

• Una descripción detallada de los datos utilizados por el algoritmo cubierto
• Una declaración de los fines y usos propuestos del algoritmo
• Descripción de los resultados obtenidos por el algoritmo
• Una evaluación de la necesidad y proporcionalidad del algoritmo cubierto en relación con sus fines declarados.
• Una descripción de las medidas que adoptará el poseedor de grandes cantidades de datos para mitigar los posibles daños.

Quizás se pregunte por qué la regulación de la IA aparece en un proyecto de ley de privacidad de datos.

La normativa sobre protección de datos debe seguir el ritmo de los rápidos avances tecnológicos.

La legislación federal debe ser adaptable, previsora y capaz de abordar problemas de privacidad imprevistos derivados de tecnologías como la IA, la biometría y los métodos de recopilación de datos en evolución.

Seguridad y protección de datos

Las entidades cubiertas por la ADPPA deben establecer, aplicar y mantener prácticas administrativas, técnicas y físicas razonables para la seguridad de los datos, como explica el Título II, Sección 208.

A la hora de determinar qué prácticas de seguridad implantar, las entidades cubiertas deben tener en cuenta:

• El tamaño y la complejidad de la propia entidad cubierta
• la naturaleza y el alcance de la recogida, el tratamiento y la transferencia de los datos
• El volumen y la naturaleza de los datos recogidos, tratados o transferidos
• La sensibilidad de los datos recogidos, tratados o transferidos
• El estado actual (y las limitaciones) de las salvaguardias administrativas, técnicas y físicas para proteger los datos.
• El coste de las herramientas disponibles para mejorar la seguridad y reducir las vulnerabilidades

Como mínimo, las entidades cubiertas deben evaluar sus vulnerabilidades, valorar sus medidas preventivas y correctoras, formar a sus empleados y designar a un responsable de la aplicación de dichas prácticas.

Protección de la pequeña empresa

Las exenciones y protecciones específicas para las pequeñas empresas se describen en el Título II, Sección 209 de la ADPPA.

Para ser considerada pequeña empresa, la entidad debe cumplir los siguientes umbrales:

• No superar los 41.000.000 de dólares de ingresos brutos anuales medios
• No recopilar ni tratar anualmente datos de más de 200.000 personas.
• No obtener más del 50% de sus ingresos de la transferencia de datos durante cualquier año natural

En particular, las pequeñas empresas están exentas de cumplir el artículo 203 (a) 4, apartados (1) a (3) y (5) a (7).

También están exentos de seguir la Sección 208 (b) y la Sección 301 (c).

El cumplimiento del artículo 203 (a)(2) es opcional.

Mecanismos unificados de exclusión voluntaria

En virtud del Título II, Sección 210 de la ADPPA, las entidades cubiertas deben establecer uno o más mecanismos globales de exclusión voluntaria de la señal de privacidad en un plazo de 18 meses a partir de la fecha de promulgación de la ley.

El mecanismo centralizado de exclusión voluntaria debe cumplir todas las directrices siguientes:

• Exigir a la entidad cubierta que informe a los consumidores sobre la opción de exclusión voluntaria centralizada.
• No es obligatorio que sea la opción por defecto, pero puede serlo en los casos en que el mecanismo represente claramente la elección afirmativa y libre de una persona de excluirse.
• Ser fáciles de usar y describir con claridad.
• Permitir que la entidad cubierta disponga de un proceso de autenticación para determinar que el mecanismo representa una solicitud legítima de exclusión voluntaria.
• Estar disponible en cualquier lengua cubierta a la que la entidad proporcione productos o servicios.
• Proporcionarse de forma razonablemente accesible para las personas con discapacidad.

Multas y sanciones por infringir la ADPPA

La Comisión Federal de Comercio y las fiscalías generales de los estados tienen autoridad para hacer cumplir la ADPPA, tal y como está redactada en el Título IV.

Las multas y sanciones podrían alcanzar hasta 10.000 dólares por infracción si la Comisión lo considera un acto desleal o engañoso.

Derecho de acción privada

La ADPPA también concede un derecho de acción privado a los particulares en el Título IV, Sección 403, con un límite de dos años.

Pero el derecho a la acción privada no se aplica hasta dos años después de la aprobación de la ley.

Un tribunal puede conceder al demandante una cantidad igual a los daños compensatorios, medidas cautelares, medidas declaratorias y honorarios razonables de abogado y costas procesales.

No obstante, la persona debe notificar primero a la Comisión y al fiscal general del Estado en el que resida sus planes de emprender acciones civiles.

Recibirán una respuesta en un plazo de 60 días a partir de la recepción de la notificación indicando si pueden seguir adelante con el litigio.

Impacto de la ADPPA en empresas y consumidores

Si la ADPPA se hubiera convertido en ley, habría afectado a los consumidores estadounidenses y también se habría aplicado a las empresas de todo el mundo.

Analicemos con más detalle sus posibles implicaciones y alcance.

Cómo afecta a las empresas

Si la ADPPA se ha convertido en una ley federal, las empresas tendrían que publicar políticas de privacidad (y posiblemente un aviso adicional) en sitios web o aplicaciones, y:

• Respetar los controles globales de privacidad relativos a los derechos de exclusión de los consumidores.
• Ofrezca a sus consumidores estadounidenses múltiples vías para hacer valer sus derechos.
• Realizar evaluaciones de impacto para determinados tipos de tratamiento de datos.
• Obtener el consentimiento afirmativo de los consumidores para determinados tipos de tratamiento, recogida y transferencia de datos.
• Crear y aplicar medidas de seguridad adecuadas para proteger la integridad de los datos.

Sin embargo, los requisitos más estrictos de la ADPPA se aplican a los grandes titulares de datos.

Las pequeñas empresas están exentas de cumplir algunos de los aspectos más complejos y lentos de la posible ley.

Además, si su empresa ya cumple las leyes estatales estadounidenses sobre privacidad de datos, como la Ley de Protección de Datos de los Consumidores de Virginia(VCDPA) o la Ley de Privacidad de Colorado(CPA), probablemente le resultará más fácil seguir los requisitos de la ADPPA.

Es posible que la ley federal se imponga a las leyes específicas de cada estado, pero dado que describe protecciones similares, podría hacer que el cumplimiento fuera una transición más fluida en algunos casos.

Cómo afecta a los consumidores

La ADPPA habría repercutido en los consumidores al otorgarles derechos sobre el modo en que entidades externas recogen, procesan y utilizan su información personal.

También les otorgaba un derecho de acción privada contra las entidades que violaran cualquiera de sus derechos de privacidad recogidos en la ley, ahora paralizada.

Los derechos de los consumidores en materia de datos figuran en el Título II de la ley e incluyen:

• Concienciación
• Transparencia
• Propiedad y control individual de los datos
• Derecho de consentimiento y oposición
• Protección de datos de niños y menores

Analicemos exactamente qué implicaba cada uno de estos derechos.

Concienciación

En virtud del Título II, Sección 201 de la ADPPA, los consumidores habrían tenido derecho a la concienciación, que la ley define en tres partes.

En primer lugar, en un plazo de 90 días a partir de la entrada en vigor de la ley, la Comisión publicaría una página web en la que se describirían todas las disposiciones, derechos, obligaciones y requisitos contemplados en la ADPPA.

Además, la Comisión se compromete a actualizar la información trimestralmente y, en caso necesario, cada vez que se produzca un cambio en la legislación, la normativa, las orientaciones o una decisión judicial.

Por último, la información se publicará en las diez lenguas más utilizadas en Estados Unidos según el censo más reciente de ese país.

Transparencia

Los consumidores también habrían tenido derecho a la transparencia, como se indica en el Título II, Sección 202 de la Ley.

Las entidades cubiertas deben poner a disposición del público una política de privacidad clara, visible, no engañosa y fácil de leer.

También debe ser fácilmente accesible y ofrecer una representación detallada y exacta de las actividades de recogida, tratamiento y transferencia de datos de la entidad cubierta.

En virtud de la ADPPA, los consumidores también tienen derecho a recibir de los grandes titulares de datos un aviso de privacidad abreviado, además de la política de privacidad, que no supere las 500 palabras.

Propiedad y control individual de los datos

La ADPPA concedió a los consumidores el derecho de acceso, rectificación, supresión y portabilidad de los datos cubiertos en el Título II, Sección 203.

En concreto, los consumidores podrían:

• Acceder gratuitamente a sus datos personales en un formato legible descargable de internet dos veces en 12 meses.
• Corregir inexactitudes verificables y sustanciales o información incompleta y ordenar a la entidad cubierta que notifique a todos los terceros o proveedores de servicios relacionados que hagan lo mismo.
• Borrar los datos que una entidad cubierta haya recopilado sobre ellos y ordenarles que notifiquen a todos los terceros o proveedores de servicios relacionados que hagan lo mismo.
• Solicitar, si es técnicamente factible, que una entidad cubierta exporte sus datos al individuo o a otra entidad en un formato portátil, estructurado, interoperable y legible por máquina.

Las pequeñas empresas que cumplan los requisitos están exentas de satisfacer estas solicitudes individuales.

Derecho de consentimiento y oposición

La Ley de Protección y Privacidad de Datos de Estados Unidos habría otorgado a los consumidores el derecho de consentimiento y oposición en el Título II, Parte 204.

En concreto, los consumidores podrían optar por no participar (es decir, oponerse):

• Transmisión de sus datos a terceros
• Publicidad dirigida

Los consumidores también tienen derecho a la "autonomía individual", lo que significa que las entidades cubiertas no pueden intentar condicionar al consumidor para que tome decisiones:

• Utilizar declaraciones o manifestaciones falsas, ficticias, fraudulentas o engañosas
• Diseñar, modificar o manipular la interfaz de usuario para ocultar, subvertir o menoscabar la autonomía, la toma de decisiones o la opción de ejercer derechos de una persona.

Protección de datos de niños y menores

La ADPPA también describe derechos adicionales en materia de protección de datos para niños y menores.

En concreto, las entidades cubiertas no pueden realizar publicidad dirigida si el individuo es un menor de 17 años cubierto.

Las entidades cubiertas tampoco pueden transferir datos de menores sin obtener el consentimiento expreso y afirmativo de su tutor legal.

La ADPPA comparada con algunas de las principales leyes de protección de datos

A continuación, comparemos la ADPPA propuesta con otras leyes importantes sobre privacidad de datos en todo el mundo.

ADPPA vs. rgpd

La ADPPA es similar al Reglamento General de Protección de Datos de la Unión Europea (UE) (rgpd), su principal ley de protección de datos.

Sin embargo, también difiere en algunos aspectos notables.

Ambas leyes establecen principios de transparencia sobre las actividades de tratamiento de datos de una entidad y exigen avisos (o políticas) de privacidad.

Cada uno de ellos describe los requisitos de minimización de datos relativos a la recopilación de información "proporcionada" y "necesaria".

Además, otorgan derechos similares a las personas protegidas, es decir, el derecho a acceder a los datos, suprimirlos o rectificarlos, y a la portabilidad de los datos.

Sin embargo, existen algunas diferencias significativas:

• La definición de "individuo" de la ADPPA no parece tener el mismo alcance extraterritorial que la definición de "interesado" de rgpd .
• La definición de "datos personales" de rgpd es más amplia y tiene menos excepciones que la definición de "datos cubiertos" de la ADPPA.
• La "entidad cubierta" de la ADPPA no se aplica a las agencias gubernamentales, mientras que la definición de "responsables del tratamiento de datos" de rgpd sí.
• La ADPPA prevé exenciones para las pequeñas empresas, y la rgpd no tiene un efecto equivalente.

ADPPA frente a la LPRPDE

La mayor parte de Canadá se rige por la Ley de Protección de Datos Personales y Documentos Electrónicos(PIPEDA), una ley que comparte algunas similitudes con la ADPPA pero que también difiere en gran medida.

Ambas leyes establecen normas básicas para las empresas que manejan información personal de particulares.

Al igual que la ADPPA, la LPRPDE exige a las entidades cubiertas que se responsabilicen de proteger los datos personales y mantenerlos seguros.

Sin embargo, una diferencia significativa se refiere a sus ámbitos jurídicos.

El alcance de lo que protege la LPRPDE es limitado, incluso en Canadá. En algunos lugares, las leyes provinciales tienen más poder que la LPRPDE. Además, sólo afecta a las actividades comerciales con ánimo de lucro en el sector privado.

Por otro lado, la ADPPA se aplicaría a cualquier persona física residente en Estados Unidos.

Aunque hay excepciones a lo que se considera una entidad cubierta o datos cubiertos, tiene en cuenta tanto el sector público como el privado.

ADPPA vs. CCPA

Entonces, ¿cómo se compara la primera posible ley federal de Estados Unidos con la Ley de Protección del Consumidor de California(CCPA), una ley estatal de 2018 a la que en su día se hizo referencia como "America's rgpd"?

Ambas otorgan a los consumidores el derecho a acceder a sus datos, rectificarlos o suprimirlos, y establecen requisitos de notificación y política de privacidad. También comparten descripciones similares de los requisitos de seguridad, aunque la ADPPA enumera más detalles que la CCPA.

Sin embargo, los legisladores californianos afirman que los requisitos de la CCPA son más estrictos que los que describe la ADPPA en los siguientes aspectos:

• La CCPA establece obligaciones para los terceros encargados del tratamiento que no existen en la versión actual de la ADPPA.
• La ADPPA excluye de su ámbito de aplicación los datos de los empleados, incluidos los contratistas, pero no ocurre lo mismo con la CCPA.
• Las recientes enmiendas a la CCPA crearon la Agencia de Protección de la Privacidad de California(CPPA), un grupo de cinco miembros del consejo que aplican y hacen cumplir la ley.
• Sin embargo, la ADPPA no crea ningún organismo específico para velar por el cumplimiento de la ley, sino que depende de la Comisión y de las fiscalías generales de los estados.

Perspectivas de futuro de la ADPPA

La Ley de Privacidad y Protección de Datos de Estados Unidos se enfrentaba a un momento crucial, con la primacía, la innovación, las tecnologías emergentes y las lagunas de protección en primer plano.

Dicho esto, lleva varios años paralizada, y algunos se refieren a ella como una "ley muerta".

Sin embargo, obtuvo cierto apoyo bipartidista y puede aportar algunas ideas interesantes sobre cómo podría ser una futura ley federal para Estados Unidos.

Resumen

No está claro cuándo Estados Unidos aprobará una ley federal de privacidad de datos, pero la versión actual de la ADPPA ofrece una buena idea de cómo podría ser en parte.

La primera ley federal oficial de Estados Unidos debe garantizar una protección completa, sin dejar margen para que las organizaciones exploten las ambigüedades en detrimento de los consumidores.

Debe establecer una base significativa de derechos de privacidad y, al mismo tiempo, facultar a los reguladores estatales para abordar problemas regionales específicos.

La protección de la intimidad en la era digital es compleja y requiere una navegación cuidadosa.

Es vital equilibrar la autoridad federal y estatal, fomentar la innovación y mantenerse a la vanguardia de la tecnología para garantizar una protección de datos adecuada.

Mientras tanto, seguiremos de cerca la ADPPA y otras leyes similares a medida que avanzan (o no) hacia su posible conversión en leyes.

Más sobre el autor

Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor