Referencias documentales

El artículo informa que Nebraska se ha unido a otros estados liderados por republicanos al aceptar entregar datos personales sensibles de los beneficiarios del programa SNAP al Departamento de Agricultura de EE. UU. (USDA). Esta medida, impulsada por la administración federal bajo el argumento de mejorar la integridad del programa y detectar fraudes, incluye el envío de nombres, direcciones y números de Seguro Social de miles de ciudadanos. A diferencia de varios estados liderados por demócratas que han demandado para bloquear esta transferencia —alegando preocupaciones de privacidad y el temor de que los datos se utilicen para fines migratorios o de vigilancia—, el gobernador de Nebraska y su administración han optado por cooperar. El reporte subraya el debate nacional sobre el equilibrio entre la fiscalización de programas sociales y el derecho a la privacidad de las poblaciones más vulnerables frente al poder del gobierno federal.

El Secretario de Estado de Nebraska, Bob Evnen, anunció que cumplirá con una orden judicial que le obliga a entregar datos sensibles de los votantes del estado al Departamento de Justicia de EE. UU. (DOJ). La disputa legal surgió tras una solicitud federal de registros detallados para investigar posibles violaciones a la Ley de Derechos Civiles y asegurar la integridad de las listas de votación. Aunque Evnen se resistió inicialmente citando preocupaciones de privacidad de los ciudadanos y la soberanía estatal sobre las elecciones, un juez federal dictaminó que la autoridad del DOJ prevalece en este caso. La información que se compartirá incluye nombres, direcciones, historial de votación y, en algunos casos, números de Seguro Social parciales. El estado ha asegurado que la transferencia se realizará bajo estrictos protocolos de seguridad, pero el fallo ha reavivado el debate sobre el control federal de la información electoral local.

El artículo describe la intensa disputa política en Kansas tras la presentación del Proyecto de Ley del Senado 428. Esta medida, impulsada por el Fiscal General Kris Kobach, busca obligar a la administración de la Gobernadora Laura Kelly a entregar datos personales sensibles de los beneficiarios del programa SNAP (cupones de alimentos) al gobierno federal. Kobach argumenta que la transparencia es necesaria para combatir el fraude y permitir que agencias como el Departamento de Justicia o Seguridad Nacional identifiquen irregularidades. Por su parte, la administración de la Gobernadora se ha resistido, expresando serias preocupaciones sobre la legalidad de la solicitud del USDA y el riesgo de que números de Seguro Social e información privada sean compartidos con entidades extranjeras o utilizados para vigilancia migratoria. El debate pone de manifiesto la tensión entre el cumplimiento de requisitos federales y la protección de la privacidad de los ciudadanos más vulnerables del estado.

Esl estado de Rhode Island plantea una nueva legislación (S 2203) sobre privacidad genética en el ámbito de las empresas de tests genéticos directos al consumidor, enmarcándola dentro de una tendencia más amplia que incluye a otros estados como Dakota del Sur y Vermont. En el caso de Rhode Island, la iniciativa establece un régimen exigente basado en información clara, consentimiento expreso y control efectivo del usuario sobre sus datos genéticos y muestras biológicas. Obliga a informar de manera accesible sobre los usos de los datos, a recabar consentimientos separados para usos secundarios, conservación de muestras y cesiones a terceros, y a garantizar derechos de acceso, supresión y revocación del consentimiento. El texto subraya que, aunque Rhode Island comparte objetivos con otros estados, cada legislación introduce matices distintos en obligaciones, excepciones y alcance, evidenciando un mosaico regulatorio estatal en evolución frente a los riesgos para la intimidad genética.

La Security Breach Notice Act (9 V.S.A. § 2435) impone obligaciones legales al estado de Vermont sobre destrucción segura de datos y gestión de residuos electrónicos en 2025. Aunque no existe una ley integral de privacidad de datos, se recomienda aplicar el estándar NIST SP 800-88 para la sanitización o destrucción física de dispositivos. En paralelo, el programa E-Cycles regula el reciclaje de equipos electrónicos y prohíbe su eliminación sin previa destrucción de datos. El cumplimiento requiere trazabilidad, cadena de custodia documentada y alineación con normas federales como HIPAA o GLBA.

Conforme a la New Hampshire Data Privacy Act (RSA 507-H), el estado de New Hampshire tiene nuevas obligaciones relativas a la destrucción de datos y gestión de residuos electrónicos a partir de 2025. La exige a determinadas empresas eliminar de forma segura los datos personales cuando lo solicite el consumidor, conforme a estándares como NIST SP 800-88, dentro de un plazo de 45 días, imponiendo multas de hasta 10.000 dólares por infracción. También obliga a aplicar principios de minimización, medidas de seguridad razonables y control contractual de proveedores. Paralelamente, se refuerzan las prohibiciones de vertido o incineración de dispositivos electrónicos y baterías recargables, requiriendo reciclaje certificado. El enfoque combina protección de datos, trazabilidad documental y cumplimiento ambiental, afectando especialmente a sectores regulados como salud y servicios financieros.

La Cámara de Representantes de Pensilvania ha aprobado recientemente (1 de octubre 2025) el Consumer Data Privacy Act (HB 78), una norma que, de ser finalmente adoptada, establecería el primer marco integral de protección de datos personales en el Estado. La ley regula cómo las empresas recopilan, utilizan y protegen los datos de los consumidores, con umbrales de aplicación relativamente bajos que amplían su alcance a un gran número de negocios. Reconoce a los ciudadanos derechos clave como el acceso, rectificación, supresión y obtención de copias de sus datos, así como la oposición a la publicidad dirigida y a la venta de información personal. Introduce exigencias reforzadas para datos sensibles y menores, impone obligaciones de transparencia, evaluaciones de riesgos y medidas de seguridad, y atribuye la potestad sancionadora exclusivamente al Fiscal General, sin acción privada directa, aunque con impacto reputacional relevante.

El Fiscal General de Kansas alcanzó un acuerdo de 325,000 dólares con Black Hills Corporation y tres de sus subsidiarias tras una investigación por violaciones a la Ley de Protección al Consumidor del estado. La investigación determinó que la empresa compartió datos sensibles de sus clientes, como números de cuenta y patrones de consumo de energía, con terceros sin obtener el consentimiento previo de los usuarios. Además, se halló que la política de privacidad de la corporación era engañosa, ya que no revelaba adecuadamente el alcance del intercambio de información ni las relaciones con socios comerciales externos. Como parte del juicio por consentimiento aprobado por el Tribunal de Distrito del Condado de Shawnee, Black Hills Corporation está obligada a implementar protocolos de privacidad más robustos, garantizando transparencia total y mecanismos de consentimiento explícito antes de procesar o compartir datos personales de los ciudadanos de Kansas.

Este editorial analiza la Ley de Protección de Datos de Ohio (ODPA) y su innovador enfoque basado en incentivos legales para las empresas. A diferencia de otras normativas que priorizan las sanciones, la ODPA establece un «puerto seguro» (safe harbor) que otorga una defensa afirmativa ante demandas civiles por brechas de seguridad a aquellas organizaciones que implementen voluntariamente marcos de ciberseguridad reconocidos, como los del NIST. El artículo destaca que el objetivo primordial es motivar a las empresas a fortalecer sus defensas técnicas y reducir el riesgo de litigios costosos. No obstante, señala que existe un debate sobre si este modelo es suficiente para garantizar la privacidad de los consumidores, comparándolo con leyes más estrictas de otros estados. En última instancia, la ley busca equilibrar la protección de datos con un entorno jurídico más previsible para el sector empresarial.

Este artículo analiza las nuevas obligaciones legales introducidas por la Ley de la Cámara de Representantes 96 de Ohio (codificada en el Código Revisado de Ohio § 9.64). La normativa exige que todas las subdivisiones políticas —incluidos condados, municipios, municipios rurales y distritos escolares— desarrollen y adopten un programa formal de ciberseguridad. Estos programas deben ser consistentes con marcos de mejores prácticas reconocidos, como el NIST o los Controles CIS, para garantizar la integridad y confidencialidad de los datos públicos.
Entre los requisitos clave se encuentran la realización de evaluaciones de riesgo, la capacitación anual obligatoria para empleados y la implementación de mecanismos de detección de amenazas. Además, la ley impone la notificación obligatoria de incidentes cibernéticos a las autoridades estatales y establece procedimientos estrictos para el pago de rescates por ransomware, los cuales requieren aprobación legislativa y una explicación pública. Finalmente, protege la infraestructura estatal al eximir ciertos registros de seguridad de las leyes de transparencia pública.