Referencias documentales

Los legisladores de Connecticut avanzan hacia la prohibición del uso de tecnologías de reconocimiento facial y otras formas de identificación biométrica en establecimientos comerciales. El líder de la mayoría del Senado, Bob Duff, y el senador James Maroney anunciaron que presentarán un proyecto de ley en la sesión legislativa de 2026 para impedir la recopilación de datos biométricos de los clientes, incluidos escaneos faciales, retinales y huellas de voz. La iniciativa surge tras informaciones sobre el uso opaco de estas tecnologías por parte de cadenas como Wegmans, lo que ha reavivado el debate sobre consentimiento real y riesgos para la privacidad. Aunque la legislación vigente exige consentimiento afirmativo, existen excepciones amplias por motivos de seguridad. La nueva propuesta busca reforzar la protección del consumidor y convertir a Connecticut en un referente nacional frente a la recopilación masiva de datos biométricos en el comercio.

El 11 de febrero de 2026, la Cámara de Representantes de Maine dio aprobación inicial al proyecto LD 1822, impulsado por la representante Amy Kuhn, destinado a reforzar la normativa estatal sobre privacidad de datos. La iniciativa se basa en el principio de minimización de datos, limitando a las empresas a recopilar únicamente la información estrictamente necesaria para prestar un servicio específico. Asimismo, restringe la recopilación y prohíbe la venta de datos sensibles, como raza, religión o salud, y prohíbe la comercialización o uso publicitario de datos de menores. El texto busca reducir riesgos de perfilado y usos discriminatorios, en un contexto de creciente preocupación ciudadana por el uso indebido de información personal. La medida, apoyada por la Fiscalía General de Maine y EPIC (Electronic Privacy Information Center), entraría en vigor el 1 de julio de 2027 si supera las votaciones pendientes.

Conforme a la New Hampshire Data Privacy Act (RSA 507-H), el estado de New Hampshire tiene nuevas obligaciones relativas a la destrucción de datos y gestión de residuos electrónicos a partir de 2025. La exige a determinadas empresas eliminar de forma segura los datos personales cuando lo solicite el consumidor, conforme a estándares como NIST SP 800-88, dentro de un plazo de 45 días, imponiendo multas de hasta 10.000 dólares por infracción. También obliga a aplicar principios de minimización, medidas de seguridad razonables y control contractual de proveedores. Paralelamente, se refuerzan las prohibiciones de vertido o incineración de dispositivos electrónicos y baterías recargables, requiriendo reciclaje certificado. El enfoque combina protección de datos, trazabilidad documental y cumplimiento ambiental, afectando especialmente a sectores regulados como salud y servicios financieros.

La Security Breach Notice Act (9 V.S.A. § 2435) impone obligaciones legales al estado de Vermont sobre destrucción segura de datos y gestión de residuos electrónicos en 2025. Aunque no existe una ley integral de privacidad de datos, se recomienda aplicar el estándar NIST SP 800-88 para la sanitización o destrucción física de dispositivos. En paralelo, el programa E-Cycles regula el reciclaje de equipos electrónicos y prohíbe su eliminación sin previa destrucción de datos. El cumplimiento requiere trazabilidad, cadena de custodia documentada y alineación con normas federales como HIPAA o GLBA.

En torno a ciertos sectores de la ciudadanía de Massachusetts existe cierta preocupación sobre el Massachusetts Data Privacy Act, ya que, aunque valorando positivamente sus objetivos de protección de datos, temen su posible impacto negativo en pequeñas empresas. Se sostiene que limitar la recopilación y el tratamiento de datos al mínimo necesario para prestar un servicio reduciría la eficacia de herramientas publicitarias y analíticas esenciales para que negocios locales compitan con grandes corporaciones. También critica el umbral de aplicación (60.000 consumidores), por considerarlo bajo en comparación con otros estados, lo que podría generar mayores costes de cumplimiento para empresas con menos recursos. Aunque respalda la protección de datos sensibles y la prohibición de publicidad dirigida a menores, defiende un enfoque equilibrado que salvaguarde la privacidad sin perjudicar la competitividad y viabilidad económica de pequeñas empresas.

El 30 de septiembre de 2025, el Tribunal Supremo Judicial de Massachusetts resolvió por unanimidad que, cuando una detención se basa en información obtenida mediante vigilancia en redes sociales, corresponde a las fuerzas de seguridad demostrar que no incurrieron en perfilado racial. El caso Commonwealth v. Nathaniel Rodriguez examinó la actuación de una unidad policial que creó cuentas encubiertas en Snapchat con identidad aparentemente “no blanca” para monitorizar de forma masiva publicaciones de usuarios, especialmente en viviendas sociales culturalmente diversas. Las investigaciones no se dirigían a sospechosos concretos, sino a una amplia comunidad digital, y todas las personas finalmente acusadas eran “no blancas”. El tribunal consideró que existían indicios razonables de aplicación selectiva por motivos raciales y ordenó nuevas diligencias probatorias, reforzando así los límites frente a prácticas discriminatorias en la vigilancia digital.

La Cámara de Representantes de Massachusetts, a través del Comité Conjunto sobre Tecnologías Avanzadas, Ciberseguridad e Internet, ha emitido un informe favorable a la versión revisada de la Massachusetts Consumer Data Privacy Act (H. 4746). Si se aprueba, sería una de las leyes estatales de privacidad más estrictas del país. La propuesta refuerza principios de minimización de datos, limita la recopilación y uso de información sensible, prohíbe la venta de datos de geolocalización precisa y establece garantías contra la discriminación digital. Introduce además una acción privada bajo la legislación de protección al consumidor (capítulo 93A) frente a grandes empresas, amplía la definición de datos sensibles, exige consentimiento afirmativo más estricto y obliga a eliminar datos cuando ya no sean necesarios. También impone señales globales de exclusión voluntaria en navegadores, fortaleciendo el control ciudadano sobre su información.

El estado de Rhode Island ha aprobado la Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA), que entrará en vigor el 1 de enero de 2026 y refuerza el derecho a la privacidad frente a riesgos de cibercrimen e identidad digital. La ley impone obligaciones de transparencia y responsabilidad a empresas con ánimo de lucro que operen o dirijan servicios a residentes del estado y superen determinados umbrales de tratamiento o venta de datos. Define ampliamente el concepto de datos personales y establece una categoría reforzada de datos sensibles, incluyendo salud, biometría, orientación sexual o geolocalización precisa. Reconoce derechos clásicos a los ciudadanos (acceso, rectificación, supresión, portabilidad y oposición) y exige consentimiento expreso para el tratamiento de datos sensibles. La aplicación corresponde exclusivamente al Fiscal General, sin acción privada, previendo sanciones de hasta 10.000 dólares por infracción y multas adicionales por divulgaciones intencionadas.

La legislatura de Connecticut ha iniciado su sesión de 2026 con un amplio paquete de proyectos de ley tecnológicos centrados en privacidad, menores, reconocimiento facial e inteligencia artificial. Destaca una propuesta del senador Bob Duff para prohibir el uso de reconocimiento facial en comercios, ante el riesgo que supone la recopilación de datos biométricos sin un consentimiento real. En paralelo, se han presentado iniciativas para limitar el acceso de menores a redes sociales, exigir consentimiento parental, restringir notificaciones nocturnas y reforzar la privacidad infantil. También se apoya una prohibición del uso de teléfonos móviles en aulas K-12. Asimismo, el fiscal general William Tong impulsa una reforma de la legislación de protección de datos para adaptarla a la IA y la geolocalización. Finalmente, se prevé reabrir el debate sobre una regulación estatal de la inteligencia artificial que combine protección de derechos, innovación y capacitación digital.

Connecticut se ha situado a la vanguardia regulatoria al reforzar su marco de privacidad de datos para adaptarlo a la inteligencia artificial, especialmente mediante las reformas derivadas de la Senate Bill 1295. La actualización introduce obligaciones de transparencia específicas sobre el uso de datos personales para entrenar modelos de IA, incluyendo grandes modelos de lenguaje, obligando a informar si dichos datos se recopilan, venden o comparten con terceros. Además, amplía significativamente el ámbito de aplicación al reducir los umbrales de cumplimiento y cerrar vacíos legales en la toma de decisiones automatizadas, reconociendo derechos de explicación, impugnación y corrección cuando intervengan algoritmos. La ley redefine también el concepto de datos sensibles, incorporando información neural, de salud mental e identidad de género, y exige evaluaciones de impacto preventivas para tratamientos de alto riesgo. En conjunto, la reforma refuerza la rendición de cuentas algorítmica y anticipa los desafíos éticos del desarrollo de la IA.