Referencias documentales

Publicada el 19 de octubre de 2025, esta guía analiza el explosivo panorama de leyes de privacidad en EE. UU., proyectando que 20 estados tendrán leyes integrales vigentes a finales de 2025. Detalla ocho nuevas leyes que entraron en vigor durante 2025, incluyendo las de Delaware, Iowa, Nebraska, Nueva Hampshire, Nueva Jersey, Tennessee, Minnesota y Maryland. La guía desglosa sus umbrales de aplicabilidad, derechos del consumidor (acceso, eliminación, corrección, exclusión de venta de datos y publicidad dirigida), y obligaciones para las empresas. También destaca las variaciones clave entre estados, como los diferentes plazos para subsanar incumplimientos, las definiciones de «datos sensibles» y las exenciones (para pequeñas empresas o entidades reguladas por leyes federales como HIPAA). El objetivo es proporcionar una hoja de ruta estratégica para que los profesionales de cumplimiento naveguen por este mosaico regulatorio.

Este artículo analiza el impacto de la Ley del Senado 29 de Ohio (SB 29), conocida como la «Ley de Protección de la Información de los Niños de Ohio». Esta legislación fortalece la privacidad de los datos estudiantiles al imponer reglas estrictas sobre el monitoreo electrónico y el manejo de información por parte de terceros. Entre sus disposiciones clave, prohíbe el rastreo de ubicación y la vigilancia de audio o video en dispositivos escolares sin causa justificada, y exige que las escuelas notifiquen anualmente a los padres sobre los proveedores tecnológicos contratados. Asimismo, establece que los proveedores no pueden vender datos con fines comerciales y deben eliminarlos al finalizar sus contratos. La ley busca fomentar un entorno digital más seguro y transparente, otorgando a los padres mayor control y garantizando que el uso de la tecnología se limite estrictamente a propósitos educativos.

El senador de Rhode Island, Sheldon Whitehouse impulsa, junto al republicano Lindsey Graham, una iniciativa bipartidista para derogar la Sección 230 de la Communications Decency Act, norma clave para el funcionamiento del internet moderno. Dicha disposición exime a las plataformas de responsabilidad por contenidos generados por terceros, permitiendo la existencia de foros, redes sociales y medios independientes. Expertos y organizaciones como la Electronic Frontier Foundation advierten que su eliminación provocaría una moderación extrema o la retirada masiva de contenidos para evitar litigios, generando un grave efecto disuasorio sobre la libertad de expresión. Aunque la propuesta se presenta como un intento de aumentar la responsabilidad de las grandes tecnológicas, sus críticos sostienen que facilitaría una censura indirecta y pondría en riesgo a pequeñas plataformas, el activismo digital y el pluralismo informativo.

La expansión de la banda ancha en Vermont, financiada con más de 100 millones de dólares y articulada mediante distritos de comunicación, ha sido necesaria pero insuficiente. El verdadero problema no es la conectividad, sino la falta de capacidad institucional de los pequeños municipios para gestionar servicios digitales complejos, ciberseguridad, subvenciones y atención en línea. La cooperación informal entre localidades ya no basta. Ciertas propuestas incluyen crear Consejos de Gobiernos (Councils of Governments) como entidades regionales formales, con personal profesional y gobernanza estable, que permitan prestar servicios digitales compartidos sin eliminar la autonomía local. El argumento central recurrente es que la brecha actual es estructural: sin instituciones regionales de implementación, la inversión en infraestructura digital no se traduce en una administración pública moderna, equitativa y eficaz.

El artículo detalla que, tras siete años de debates legislativos, Oklahoma está a punto de aprobar una ley integral de privacidad. El 19 de febrero de 2026, la Cámara de Representantes aprobó el proyecto SB 546 por 84-4, adoptando un texto de compromiso que se alinea principalmente con el modelo de la Virginia Consumer Data Protection Act. La norma se aplicaría a empresas que controlen o procesen datos de al menos 100.000 habitantes del estado o 25.000 consumidores si el 50 % de sus ingresos proviene de la venta de datos. Incluye derechos de acceso, supresión y exclusión de publicidad dirigida, así como evaluaciones de impacto para ciertas actividades de tratamiento. Si es promulgada, entrará en vigor el 1 de enero de 2027, con un periodo de subsanación de 30 días y aplicación exclusiva por parte del fiscal general.

El artículo explica que Oklahoma modificó por primera vez desde 2008 su ley de notificación de brechas de datos mediante el proyecto de ley SB 626, cuyas disposiciones entran en vigor el 1 de enero de 2026. La reforma amplía la definición de “información personal” para incluir identificadores electrónicos y datos biométricos como huellas dactilares o escaneos de retina. También introduce la obligación de notificar al fiscal general cuando una brecha afecte a 500 residentes o más, dentro de los 60 días posteriores a la notificación a los individuos.

El artículo —Parte I de un análisis más amplio— examina las nuevas leyes de Luisiana de 2025 sobre privacidad infantil en entornos digitales, centradas especialmente en el uso de aplicaciones, tiendas de apps y plataformas en línea por parte de menores. Aunque el contenido completo está protegido detrás de DataGuidance, las referencias públicas de la autora y de DataGuidance indican que esta primera parte se enfoca en las protecciones online, similar a medidas adoptadas en Texas y otros estados.

El artículo informa que Kentucky implementará un nuevo marco integral de privacidad del consumidor a partir del 1 de enero de 2026. La norma establece derechos adicionales para los residentes y obligaciones para las empresas que recopilan datos personales. Según el texto disponible, la ley se aplica a compañías que hacen negocios en Kentucky o apuntan a residentes del estado cuando controlan o procesan información personal. Aunque el artículo completo no está accesible, el fragmento enfatiza que esta legislación busca otorgar mayor control al consumidor y regular cómo las empresas manejan datos sensibles. La historia destaca el papel del Kentucky Consumer Data Protection Act como la base del nuevo sistema.

El artículo explica que, ante la creciente integración de inteligencia artificial en el gobierno estatal, la jefa de privacidad de Carolina del Norte, Martha Wewer, considera que la clasificación de datos es el paso fundamental para adoptar la tecnología de forma segura. Wewer, quien asumió el cargo en mayo de 2025, lidera un proyecto para identificar y clasificar los datos estatales según su sensibilidad, ubicación y posibles riesgos, con el fin de determinar qué conjuntos pueden usarse en sistemas de IA, cuáles requieren anonimización y cuáles no son adecuados. También destaca que el gobernador Josh Stein firmó una orden ejecutiva para crear un marco estatal de IA, un consejo de liderazgo y un acelerador dentro del Departamento de Tecnología, reforzando la prioridad gubernamental de un uso seguro y confiable de la IA. Wewer subraya que una clasificación adecuada permitirá evitar filtraciones de datos sensibles y mejorar la coordinación entre agencias, que ya protegen la información pero requieren procesos más estandarizados para afrontar los desafíos de la IA.

El artículo informa que el 5 de febrero de 2026 Carolina del Sur aprobó la Age-Appropriate Code Design (SC AACD), convirtiéndose en el quinto estado en adoptar un código de diseño apropiado para menores. La ley entró en vigor inmediatamente y establece estrictos requisitos de privacidad y seguridad para servicios en línea razonablemente accesibles a menores, incluyendo un deber de cuidado en el diseño, límites en el uso de datos y obligaciones de evaluación. Asimismo, impone responsabilidad civil significativa, con posibilidad de daños triplicados y responsabilidad personal para empleados por violaciones dolosas. La norma enfrenta ya un desafío legal por parte de una asociación del sector. El texto también explica que el alcance del SC AACD se basa en criterios de conocimiento efectivo de la edad del usuario o de si un servicio está dirigido a menores bajo COPPA, lo que lo hace más estrecho que otros códigos estatales.