Referencias documentales

Conforme a la New Hampshire Data Privacy Act (RSA 507-H), el estado de New Hampshire tiene nuevas obligaciones relativas a la destrucción de datos y gestión de residuos electrónicos a partir de 2025. La exige a determinadas empresas eliminar de forma segura los datos personales cuando lo solicite el consumidor, conforme a estándares como NIST SP 800-88, dentro de un plazo de 45 días, imponiendo multas de hasta 10.000 dólares por infracción. También obliga a aplicar principios de minimización, medidas de seguridad razonables y control contractual de proveedores. Paralelamente, se refuerzan las prohibiciones de vertido o incineración de dispositivos electrónicos y baterías recargables, requiriendo reciclaje certificado. El enfoque combina protección de datos, trazabilidad documental y cumplimiento ambiental, afectando especialmente a sectores regulados como salud y servicios financieros.

La Security Breach Notice Act (9 V.S.A. § 2435) impone obligaciones legales al estado de Vermont sobre destrucción segura de datos y gestión de residuos electrónicos en 2025. Aunque no existe una ley integral de privacidad de datos, se recomienda aplicar el estándar NIST SP 800-88 para la sanitización o destrucción física de dispositivos. En paralelo, el programa E-Cycles regula el reciclaje de equipos electrónicos y prohíbe su eliminación sin previa destrucción de datos. El cumplimiento requiere trazabilidad, cadena de custodia documentada y alineación con normas federales como HIPAA o GLBA.

En estados como Pensilvania ya se empiezan a materializar los riesgos que la inteligencia artificial plantea para los derechos digitales vinculados a la identidad personal. Jennifer Rothman, experta en derecho de la publicidad y privacidad, analiza cómo las tecnologías de clonación de voz, deepfakes y réplicas digitales tensionan los límites entre propiedad intelectual, privacidad y libertad de expresión. Rothman advierte que los marcos jurídicos actuales, incluidos proyectos legislativos como el NO FAKES Act, pueden legitimar usos engañosos de la identidad humana al permitir licencias amplias y transferibles sobre nombre, voz o imagen, incluso sin control efectivo de la persona afectada. El texto subraya el peligro de convertir la identidad en un activo comercial alienable, erosionando derechos fundamentales y facilitando la manipulación del público. Frente a ello, defiende que el consentimiento específico y la no decepción pública sean criterios centrales, alertando también contra un exceso de protección que pueda vulnerar la libertad de información y expresión.

La Supreme Court of Pennsylvania en el caso Commonwealth v. Kurtz, concluye que la aceptación de la política de privacidad de Google implica una renuncia a determinadas expectativas de privacidad. El tribunal consideró legítimo que la policía accediera al historial de búsquedas de Google sin orden judicial mediante una “reverse keyword search”, al entender que los usuarios conocen que sus datos son recopilados y tratados por terceros. Según la sentencia, Google informa de forma expresa de que no puede esperarse privacidad al usar sus servicios, lo que equivaldría a un consentimiento válido. Aunque la decisión permitió identificar al autor de un delito grave, plantea serias dudas sobre la protección del derecho a la intimidad, el alcance del consentimiento digital y la erosión de las garantías constitucionales frente a la vigilancia estatal en entornos digitales.

La ACLU (American Civil Liberties Union) de Massachusetts denuncia que más de 40 departamentos policiales del estado utilizan lectores automáticos de matrículas (LPR) de la empresa Flock Safety y comparten esos datos en una red nacional con más de 7.000 agencias. Esto permite que policías de otros estados puedan rastrear en tiempo real a conductores en Massachusetts sin orden judicial ni sospecha razonable. Aunque la ley estatal “Shield Law” busca proteger a quienes acceden a servicios sanitarios legales en Massachusetts, el sistema de intercambio masivo de datos debilita esa protección. La ACLU reclama una ley estatal que limite el uso, conservación y cesión de estos datos, exija órdenes judiciales y refuerce las garantías de privacidad frente a esta vigilancia masiva.

La Cámara de Representantes de Massachusetts, a través del Comité Conjunto sobre Tecnologías Avanzadas, Ciberseguridad e Internet, ha emitido un informe favorable a la versión revisada de la Massachusetts Consumer Data Privacy Act (H. 4746). Si se aprueba, sería una de las leyes estatales de privacidad más estrictas del país. La propuesta refuerza principios de minimización de datos, limita la recopilación y uso de información sensible, prohíbe la venta de datos de geolocalización precisa y establece garantías contra la discriminación digital. Introduce además una acción privada bajo la legislación de protección al consumidor (capítulo 93A) frente a grandes empresas, amplía la definición de datos sensibles, exige consentimiento afirmativo más estricto y obliga a eliminar datos cuando ya no sean necesarios. También impone señales globales de exclusión voluntaria en navegadores, fortaleciendo el control ciudadano sobre su información.

El estado de Rhode Island ha aprobado la Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA), que entrará en vigor el 1 de enero de 2026 y refuerza el derecho a la privacidad frente a riesgos de cibercrimen e identidad digital. La ley impone obligaciones de transparencia y responsabilidad a empresas con ánimo de lucro que operen o dirijan servicios a residentes del estado y superen determinados umbrales de tratamiento o venta de datos. Define ampliamente el concepto de datos personales y establece una categoría reforzada de datos sensibles, incluyendo salud, biometría, orientación sexual o geolocalización precisa. Reconoce derechos clásicos a los ciudadanos (acceso, rectificación, supresión, portabilidad y oposición) y exige consentimiento expreso para el tratamiento de datos sensibles. La aplicación corresponde exclusivamente al Fiscal General, sin acción privada, previendo sanciones de hasta 10.000 dólares por infracción y multas adicionales por divulgaciones intencionadas.

Los legisladores de Connecticut avanzan hacia la prohibición del uso de tecnologías de reconocimiento facial y otras formas de identificación biométrica en establecimientos comerciales. El líder de la mayoría del Senado, Bob Duff, y el senador James Maroney anunciaron que presentarán un proyecto de ley en la sesión legislativa de 2026 para impedir la recopilación de datos biométricos de los clientes, incluidos escaneos faciales, retinales y huellas de voz. La iniciativa surge tras informaciones sobre el uso opaco de estas tecnologías por parte de cadenas como Wegmans, lo que ha reavivado el debate sobre consentimiento real y riesgos para la privacidad. Aunque la legislación vigente exige consentimiento afirmativo, existen excepciones amplias por motivos de seguridad. La nueva propuesta busca reforzar la protección del consumidor y convertir a Connecticut en un referente nacional frente a la recopilación masiva de datos biométricos en el comercio.

El Annual Report 2025 de la Connecticut Commission for Educational Technology expone los avances del Estado en el uso estratégico de la tecnología educativa, alineados con el Plan Estatal de Tecnología Educativa y el Plan de Equidad Digital. El informe destaca la expansión del aprendizaje en línea —utilizado por el 85 % de los distritos—, el crecimiento del portal de recursos educativos abiertos GoOpenCT y los esfuerzos para garantizar la sostenibilidad financiera de las inversiones tecnológicas. Se subraya también el papel creciente de la inteligencia artificial en educación, junto con la necesidad de proteger los datos del alumnado y evitar sesgos algorítmicos. Un eje central es la equidad digital, gravemente afectada por la cancelación federal del programa de Digital Equity en 2025, que limitó iniciativas de conectividad, formación y apoyo comunitario. Pese a ello, la Comisión reafirma su compromiso con el acceso universal, la privacidad y el uso responsable de la tecnología en educación

Nueva York está construyendo un marco propio de gobernanza digital destinado a reducir su dependencia de las grandes plataformas tecnológicas y reforzar la protección de los datos de sus residentes. A través de iniciativas como la New York Privacy Act, leyes sectoriales sobre datos infantiles y sanitarios, restricciones en la contratación pública de tecnologías de riesgo y la creación de una oficina de activos digitales, la ciudad y el estado avanzan hacia un modelo de control más estricto del poder de las plataformas. Estas medidas imponen consentimiento previo, transparencia radical y mayor control ciudadano sobre la información personal, cuestionando la normalización de la recolección masiva de datos. La estrategia se refuerza con un enfoque institucional coordinado y un liderazgo político más confrontacional con Big Tech, que busca convertir a Nueva York en una “jurisdicción digital segura”. Dado su peso económico y simbólico, este modelo podría influir en otras ciudades y redefinir el equilibrio entre innovación, mercado y derechos digitales.