Referencias documentales

La Cámara de Representantes de Pensilvania ha aprobado recientemente (1 de octubre 2025) el Consumer Data Privacy Act (HB 78), una norma que, de ser finalmente adoptada, establecería el primer marco integral de protección de datos personales en el Estado. La ley regula cómo las empresas recopilan, utilizan y protegen los datos de los consumidores, con umbrales de aplicación relativamente bajos que amplían su alcance a un gran número de negocios. Reconoce a los ciudadanos derechos clave como el acceso, rectificación, supresión y obtención de copias de sus datos, así como la oposición a la publicidad dirigida y a la venta de información personal. Introduce exigencias reforzadas para datos sensibles y menores, impone obligaciones de transparencia, evaluaciones de riesgos y medidas de seguridad, y atribuye la potestad sancionadora exclusivamente al Fiscal General, sin acción privada directa, aunque con impacto reputacional relevante.

El Fiscal General de Kansas alcanzó un acuerdo de 325,000 dólares con Black Hills Corporation y tres de sus subsidiarias tras una investigación por violaciones a la Ley de Protección al Consumidor del estado. La investigación determinó que la empresa compartió datos sensibles de sus clientes, como números de cuenta y patrones de consumo de energía, con terceros sin obtener el consentimiento previo de los usuarios. Además, se halló que la política de privacidad de la corporación era engañosa, ya que no revelaba adecuadamente el alcance del intercambio de información ni las relaciones con socios comerciales externos. Como parte del juicio por consentimiento aprobado por el Tribunal de Distrito del Condado de Shawnee, Black Hills Corporation está obligada a implementar protocolos de privacidad más robustos, garantizando transparencia total y mecanismos de consentimiento explícito antes de procesar o compartir datos personales de los ciudadanos de Kansas.

Este editorial analiza la Ley de Protección de Datos de Ohio (ODPA) y su innovador enfoque basado en incentivos legales para las empresas. A diferencia de otras normativas que priorizan las sanciones, la ODPA establece un «puerto seguro» (safe harbor) que otorga una defensa afirmativa ante demandas civiles por brechas de seguridad a aquellas organizaciones que implementen voluntariamente marcos de ciberseguridad reconocidos, como los del NIST. El artículo destaca que el objetivo primordial es motivar a las empresas a fortalecer sus defensas técnicas y reducir el riesgo de litigios costosos. No obstante, señala que existe un debate sobre si este modelo es suficiente para garantizar la privacidad de los consumidores, comparándolo con leyes más estrictas de otros estados. En última instancia, la ley busca equilibrar la protección de datos con un entorno jurídico más previsible para el sector empresarial.

Este artículo analiza las nuevas obligaciones legales introducidas por la Ley de la Cámara de Representantes 96 de Ohio (codificada en el Código Revisado de Ohio § 9.64). La normativa exige que todas las subdivisiones políticas —incluidos condados, municipios, municipios rurales y distritos escolares— desarrollen y adopten un programa formal de ciberseguridad. Estos programas deben ser consistentes con marcos de mejores prácticas reconocidos, como el NIST o los Controles CIS, para garantizar la integridad y confidencialidad de los datos públicos.
Entre los requisitos clave se encuentran la realización de evaluaciones de riesgo, la capacitación anual obligatoria para empleados y la implementación de mecanismos de detección de amenazas. Además, la ley impone la notificación obligatoria de incidentes cibernéticos a las autoridades estatales y establece procedimientos estrictos para el pago de rescates por ransomware, los cuales requieren aprobación legislativa y una explicación pública. Finalmente, protege la infraestructura estatal al eximir ciertos registros de seguridad de las leyes de transparencia pública.

En estados como Pensilvania ya se empiezan a materializar los riesgos que la inteligencia artificial plantea para los derechos digitales vinculados a la identidad personal. Jennifer Rothman, experta en derecho de la publicidad y privacidad, analiza cómo las tecnologías de clonación de voz, deepfakes y réplicas digitales tensionan los límites entre propiedad intelectual, privacidad y libertad de expresión. Rothman advierte que los marcos jurídicos actuales, incluidos proyectos legislativos como el NO FAKES Act, pueden legitimar usos engañosos de la identidad humana al permitir licencias amplias y transferibles sobre nombre, voz o imagen, incluso sin control efectivo de la persona afectada. El texto subraya el peligro de convertir la identidad en un activo comercial alienable, erosionando derechos fundamentales y facilitando la manipulación del público. Frente a ello, defiende que el consentimiento específico y la no decepción pública sean criterios centrales, alertando también contra un exceso de protección que pueda vulnerar la libertad de información y expresión.

La Supreme Court of Pennsylvania en el caso Commonwealth v. Kurtz, concluye que la aceptación de la política de privacidad de Google implica una renuncia a determinadas expectativas de privacidad. El tribunal consideró legítimo que la policía accediera al historial de búsquedas de Google sin orden judicial mediante una “reverse keyword search”, al entender que los usuarios conocen que sus datos son recopilados y tratados por terceros. Según la sentencia, Google informa de forma expresa de que no puede esperarse privacidad al usar sus servicios, lo que equivaldría a un consentimiento válido. Aunque la decisión permitió identificar al autor de un delito grave, plantea serias dudas sobre la protección del derecho a la intimidad, el alcance del consentimiento digital y la erosión de las garantías constitucionales frente a la vigilancia estatal en entornos digitales.

Se pone de manifiesto la creciente incorporación de sistemas de seguimiento masivo en espacios físicos mediante herramientas como Placer.ai, contratadas por municipios estadounidenses para recopilar datos de localización y perfiles demográficos con fines de desarrollo económico y marketing personalizado. A partir del caso de Old Town (Maine), se examinan los riesgos que supone trasladar al entorno urbano las lógicas de la publicidad dirigida propias de internet. El autor conecta esta práctica con la jurisprudencia del Tribunal Supremo en Carpenter v. United States, donde se reconoció una expectativa razonable de privacidad respecto a los datos de localización. Se plantea así si la normalización de la vigilancia comercial en espacios públicos erosiona progresivamente dicha expectativa, diluyendo las fronteras entre seguimiento digital y físico y generando posibles efectos disuasorios sobre la libertad y la intimidad.

El estado de Rhode Island ha aprobado la Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA), que entrará en vigor el 1 de enero de 2026 y refuerza el derecho a la privacidad frente a riesgos de cibercrimen e identidad digital. La ley impone obligaciones de transparencia y responsabilidad a empresas con ánimo de lucro que operen o dirijan servicios a residentes del estado y superen determinados umbrales de tratamiento o venta de datos. Define ampliamente el concepto de datos personales y establece una categoría reforzada de datos sensibles, incluyendo salud, biometría, orientación sexual o geolocalización precisa. Reconoce derechos clásicos a los ciudadanos (acceso, rectificación, supresión, portabilidad y oposición) y exige consentimiento expreso para el tratamiento de datos sensibles. La aplicación corresponde exclusivamente al Fiscal General, sin acción privada, previendo sanciones de hasta 10.000 dólares por infracción y multas adicionales por divulgaciones intencionadas.

Existe cierta inquietud entre los ciudadanos de New Hampshire respecto al estado de sus derechos de privacidad frente a las tecnologías de vigilancia empleadas por las fuerzas del orden en New Hampshire y el marco jurídico que limita su uso. La normativa estatal y la jurisprudencia del Tribunal Supremo exigen orden judicial para acceder al contenido y localización histórica de teléfonos móviles, instalar dispositivos GPS o utilizar simuladores de antenas, imponiendo además obligaciones de borrado de datos. Existen restricciones específicas para lectores automáticos de matrículas y cámaras corporales, incluyendo límites de conservación y protección frente al reconocimiento facial. Sin embargo, no hay regulación sobre drones, software de monitorización de redes sociales o “policía predictiva”. Aunque en 2018 se incorporó un derecho constitucional a la privacidad, su alcance práctico aún depende de interpretación judicial.

La ACLU (American Civil Liberties Union) de Massachusetts denuncia que más de 40 departamentos policiales del estado utilizan lectores automáticos de matrículas (LPR) de la empresa Flock Safety y comparten esos datos en una red nacional con más de 7.000 agencias. Esto permite que policías de otros estados puedan rastrear en tiempo real a conductores en Massachusetts sin orden judicial ni sospecha razonable. Aunque la ley estatal “Shield Law” busca proteger a quienes acceden a servicios sanitarios legales en Massachusetts, el sistema de intercambio masivo de datos debilita esa protección. La ACLU reclama una ley estatal que limite el uso, conservación y cesión de estos datos, exija órdenes judiciales y refuerce las garantías de privacidad frente a esta vigilancia masiva.