Fotografía de Matt Anderson/imágenes falsas
La privacidad de datos en los EE. UU. es, en muchos sentidos, un vacío legal. Si bien existen protecciones limitadas para los datos financieros y de salud, la cuna de las empresas tecnológicas más grandes del mundo, como Apple, Amazon, Google y Meta (Facebook), carece de una ley federal integral de privacidad de datos. Esto deja a los ciudadanos estadounidenses con protecciones de privacidad de datos mínimas en comparación con los ciudadanos de otras naciones. Pero eso podría estar a punto de cambiar.
Con un raro apoyo bipartidista, la Ley de Protección de Datos y Privacidad de los Estados Unidos salió del Comité de Energía y Comercio de la Cámara de Representantes de EE. UU. con una votación de 53 a 2 el 20 de julio de 2022. El proyecto de ley aún debe aprobarse en la Cámara y el Senado en pleno. y las negociaciones están en curso. Dada la estrategia de prácticas de datos responsables de la administración Biden, es probable que la Casa Blanca apoye si se aprueba una versión del proyecto de ley.
Como erudito legal y abogado que estudia y practica la tecnología y la ley de privacidad de datos, he estado siguiendo de cerca la ley, conocida como ADPPA. Si se aprueba, alterará fundamentalmente la ley de privacidad de datos de EE. UU.
ADPPA llena el vacío de privacidad de datos, incorpora la prioridad federal sobre algunas leyes estatales de privacidad de datos, permite a las personas presentar demandas por violaciones y cambia sustancialmente la aplicación de la ley de privacidad de datos. Como todos los grandes cambios, ADPPA está recibiendo críticas mixtas de los medios, académicos y empresas. Pero muchos ven el proyecto de ley como un triunfo para la privacidad de datos de EE. UU. que proporciona un estándar nacional necesario para las prácticas de datos.
¿A quién y qué regulará la ADPPA?
ADPPA se aplicaría a las entidades «cubiertas», es decir, cualquier entidad que recopile, procese o transfiera datos cubiertos, incluidas las organizaciones sin fines de lucro y los propietarios únicos. También regula a los proveedores de telefonía celular e Internet y otros operadores comunes, con cambios potencialmente preocupantes en la regulación federal de las comunicaciones. No aplica para entidades gubernamentales.
ADPPA define los datos «cubiertos» como cualquier información o dispositivo que identifique o pueda vincularse razonablemente a una persona. También protege los datos biométricos, los datos genéticos y la información de geolocalización.
El proyecto de ley excluye tres grandes categorías de datos: datos no identificados, datos de empleados e información disponible públicamente. Esa última categoría incluye cuentas de redes sociales con configuraciones de privacidad abiertas al público. Si bien la investigación ha demostrado repetidamente que los datos anonimizados pueden volver a identificarse fácilmente, la ADPPA intenta abordar eso exigiendo a las entidades cubiertas que tomen «medidas técnicas, administrativas y físicas razonables para garantizar que la información no pueda, en ningún momento, ser utilizada». para volver a identificar a cualquier persona o dispositivo”.
Cómo ADPPA protege sus datos
La ley requeriría que la recopilación de datos sea lo más mínima posible. El proyecto de ley permite que las entidades cubiertas recopilen, usen o compartan los datos de una persona solo cuando sea razonablemente necesario y proporcionado a un producto o servicio que la persona solicite o para responder a una comunicación que la persona inicie. Permite la recogida para autenticación, incidencias de seguridad, prevención de actividades ilícitas o daños graves a las personas y cumplimiento de obligaciones legales.
Las personas obtendrían derechos de acceso y tendrían cierto control sobre sus datos. ADPPA otorga a los usuarios el derecho de corregir imprecisiones y potencialmente eliminar sus datos en poder de las entidades cubiertas.
El proyecto de ley permite la recopilación de datos como parte de la investigación para el bien público. Permite la recopilación de datos para investigaciones revisadas por pares o investigaciones realizadas en interés público, por ejemplo, probar si un sitio web discrimina ilegalmente. Esto es importante para los investigadores que, de lo contrario, podrían infringir los términos del sitio o las leyes de piratería.
La ADPPA también tiene una disposición que aborda el problema del servicio condicionado al consentimiento: esas molestas casillas de «Acepto» que obligan a las personas a aceptar un revoltijo de términos legales. Cuando hace clic en una de esas casillas, renuncia contractualmente a sus derechos de privacidad como condición para simplemente usar un servicio, visitar un sitio web o comprar un producto. El proyecto de ley evitará que las entidades cubiertas utilicen el derecho contractual para eludir las protecciones del proyecto de ley.