Referencias documentales

Los legisladores de Connecticut avanzan hacia la prohibición del uso de tecnologías de reconocimiento facial y otras formas de identificación biométrica en establecimientos comerciales. El líder de la mayoría del Senado, Bob Duff, y el senador James Maroney anunciaron que presentarán un proyecto de ley en la sesión legislativa de 2026 para impedir la recopilación de datos biométricos de los clientes, incluidos escaneos faciales, retinales y huellas de voz. La iniciativa surge tras informaciones sobre el uso opaco de estas tecnologías por parte de cadenas como Wegmans, lo que ha reavivado el debate sobre consentimiento real y riesgos para la privacidad. Aunque la legislación vigente exige consentimiento afirmativo, existen excepciones amplias por motivos de seguridad. La nueva propuesta busca reforzar la protección del consumidor y convertir a Connecticut en un referente nacional frente a la recopilación masiva de datos biométricos en el comercio.

Nueva York está construyendo un marco propio de gobernanza digital destinado a reducir su dependencia de las grandes plataformas tecnológicas y reforzar la protección de los datos de sus residentes. A través de iniciativas como la New York Privacy Act, leyes sectoriales sobre datos infantiles y sanitarios, restricciones en la contratación pública de tecnologías de riesgo y la creación de una oficina de activos digitales, la ciudad y el estado avanzan hacia un modelo de control más estricto del poder de las plataformas. Estas medidas imponen consentimiento previo, transparencia radical y mayor control ciudadano sobre la información personal, cuestionando la normalización de la recolección masiva de datos. La estrategia se refuerza con un enfoque institucional coordinado y un liderazgo político más confrontacional con Big Tech, que busca convertir a Nueva York en una “jurisdicción digital segura”. Dado su peso económico y simbólico, este modelo podría influir en otras ciudades y redefinir el equilibrio entre innovación, mercado y derechos digitales.

La gobernadora de Nueva York, Kathy Hochul, presentó en febrero de 2026 una nueva agenda integral sobre inteligencia artificial destinada a reforzar la seguridad digital, la protección de consumidores y la rendición de cuentas tecnológica. El eje central es la creación de la Office of Digital Innovation, Governance, Integrity and Trust (DIGIT), concebida como autoridad coordinadora para la aplicación y supervisión de las leyes estatales sobre IA y tecnologías digitales. La agenda incluye propuestas para etiquetar contenidos generados por IA con datos de procedencia, limitar deepfakes no consentidos, combatir la desinformación electoral y reforzar la privacidad mediante el registro obligatorio de intermediarios de datos y mecanismos centralizados de supresión de información personal. Estas iniciativas consolidan a Nueva York como referente estatal en gobernanza de la IA, en un contexto de tensiones con la pretensión federal de limitar la regulación autonómica.

Conforme a la New Hampshire Data Privacy Act (RSA 507-H), el estado de New Hampshire tiene nuevas obligaciones relativas a la destrucción de datos y gestión de residuos electrónicos a partir de 2025. La exige a determinadas empresas eliminar de forma segura los datos personales cuando lo solicite el consumidor, conforme a estándares como NIST SP 800-88, dentro de un plazo de 45 días, imponiendo multas de hasta 10.000 dólares por infracción. También obliga a aplicar principios de minimización, medidas de seguridad razonables y control contractual de proveedores. Paralelamente, se refuerzan las prohibiciones de vertido o incineración de dispositivos electrónicos y baterías recargables, requiriendo reciclaje certificado. El enfoque combina protección de datos, trazabilidad documental y cumplimiento ambiental, afectando especialmente a sectores regulados como salud y servicios financieros.

La Security Breach Notice Act (9 V.S.A. § 2435) impone obligaciones legales al estado de Vermont sobre destrucción segura de datos y gestión de residuos electrónicos en 2025. Aunque no existe una ley integral de privacidad de datos, se recomienda aplicar el estándar NIST SP 800-88 para la sanitización o destrucción física de dispositivos. En paralelo, el programa E-Cycles regula el reciclaje de equipos electrónicos y prohíbe su eliminación sin previa destrucción de datos. El cumplimiento requiere trazabilidad, cadena de custodia documentada y alineación con normas federales como HIPAA o GLBA.

El Tribunal Superior de Vermont (Washington Unit) estimó la moción de desestimación presentada por Clearview AI y archivó la demanda del Estado por falta de jurisdicción personal. Vermont había acusado a la empresa de vulnerar su Consumer Protection Act al recopilar y tratar datos biométricos faciales y metadatos extraídos de imágenes públicas en internet, incluyendo supuestamente datos de residentes (y menores) sin consentimiento, con efectos de invasión de privacidad, riesgo de fraude y “enfriamiento” de libertades civiles. Sin embargo, el tribunal concluye que Clearview no tiene contactos suficientes con Vermont: no opera ni tiene clientes en el estado, no dirige su actividad al mercado local y la mera presencia incidental de datos de residentes o el registro como “data broker” no prueba “purposeful availment”. Por ello, la demanda se desestima conforme a la garantía de debido proceso

En torno a ciertos sectores de la ciudadanía de Massachusetts existe cierta preocupación sobre el Massachusetts Data Privacy Act, ya que, aunque valorando positivamente sus objetivos de protección de datos, temen su posible impacto negativo en pequeñas empresas. Se sostiene que limitar la recopilación y el tratamiento de datos al mínimo necesario para prestar un servicio reduciría la eficacia de herramientas publicitarias y analíticas esenciales para que negocios locales compitan con grandes corporaciones. También critica el umbral de aplicación (60.000 consumidores), por considerarlo bajo en comparación con otros estados, lo que podría generar mayores costes de cumplimiento para empresas con menos recursos. Aunque respalda la protección de datos sensibles y la prohibición de publicidad dirigida a menores, defiende un enfoque equilibrado que salvaguarde la privacidad sin perjudicar la competitividad y viabilidad económica de pequeñas empresas.

El 30 de septiembre de 2025, el Tribunal Supremo Judicial de Massachusetts resolvió por unanimidad que, cuando una detención se basa en información obtenida mediante vigilancia en redes sociales, corresponde a las fuerzas de seguridad demostrar que no incurrieron en perfilado racial. El caso Commonwealth v. Nathaniel Rodriguez examinó la actuación de una unidad policial que creó cuentas encubiertas en Snapchat con identidad aparentemente “no blanca” para monitorizar de forma masiva publicaciones de usuarios, especialmente en viviendas sociales culturalmente diversas. Las investigaciones no se dirigían a sospechosos concretos, sino a una amplia comunidad digital, y todas las personas finalmente acusadas eran “no blancas”. El tribunal consideró que existían indicios razonables de aplicación selectiva por motivos raciales y ordenó nuevas diligencias probatorias, reforzando así los límites frente a prácticas discriminatorias en la vigilancia digital.

La Cámara de Representantes de Massachusetts, a través del Comité Conjunto sobre Tecnologías Avanzadas, Ciberseguridad e Internet, ha emitido un informe favorable a la versión revisada de la Massachusetts Consumer Data Privacy Act (H. 4746). Si se aprueba, sería una de las leyes estatales de privacidad más estrictas del país. La propuesta refuerza principios de minimización de datos, limita la recopilación y uso de información sensible, prohíbe la venta de datos de geolocalización precisa y establece garantías contra la discriminación digital. Introduce además una acción privada bajo la legislación de protección al consumidor (capítulo 93A) frente a grandes empresas, amplía la definición de datos sensibles, exige consentimiento afirmativo más estricto y obliga a eliminar datos cuando ya no sean necesarios. También impone señales globales de exclusión voluntaria en navegadores, fortaleciendo el control ciudadano sobre su información.

El artículo explica que la Corte Suprema de EE. UU. permitió la entrada en vigor de la ley de verificación de edad para redes sociales en Mississippi, una medida con posibles consecuencias amplias para la privacidad y la libertad de expresión. La autora señala que esta normativa es más amplia que leyes similares en Texas y se asemeja a la del Reino Unido, donde ya ha provocado que plataformas como Reddit, X, Telegram, Discord e incluso Spotify exijan verificación de edad mediante identificación oficial o escaneos faciales. Advierte que estas obligaciones implican recopilar datos altamente sensibles, con riesgos demostrados en filtraciones como la que sufrió la app de citas Tea, que expuso millones de selfies y licencias de conducir usadas para verificación. El artículo añade que muchos usuarios recurren a VPN para evitar estos requisitos, como ya ocurre en el Reino Unido, aunque el uso de VPN también puede conllevar riesgos propios y ha sido mencionado por autoridades como una práctica potencialmente sancionable.