Referencias documentales

La Security Breach Notice Act (9 V.S.A. § 2435) impone obligaciones legales al estado de Vermont sobre destrucción segura de datos y gestión de residuos electrónicos en 2025. Aunque no existe una ley integral de privacidad de datos, se recomienda aplicar el estándar NIST SP 800-88 para la sanitización o destrucción física de dispositivos. En paralelo, el programa E-Cycles regula el reciclaje de equipos electrónicos y prohíbe su eliminación sin previa destrucción de datos. El cumplimiento requiere trazabilidad, cadena de custodia documentada y alineación con normas federales como HIPAA o GLBA.

El comunicado oficial de la Gobernación de California anuncia el lanzamiento del primer instrumento gubernamental del país que permite a los residentes bloquear la venta de sus datos personales (“DROP” – Data Rights Opt-Out Portal). La herramienta ofrece un mecanismo fácil para que los consumidores ejerzan su derecho de exclusión bajo la ley estatal de privacidad, reforzando el control individual sobre datos sensibles y promoviendo la transparencia en el tratamiento de la información por parte de empresas tech.

El Proyecto Hawai‘i Senate Bill 2967 propone establecer un marco de protección al consumidor para el uso de sistemas de inteligencia artificial en interacciones con consumidores y decisiones con impacto significativo (como crédito, vivienda, empleo o servicios). Requiere que las empresas revelen cuando usan IA, prohíbe eludir responsabilidad mediante IA, y crea derechos de explicación, corrección, apelación y revisión humana de decisiones automatizadas. También demanda gestión de riesgos, pruebas y controles de ciberseguridad para sistemas de IA de alto riesgo y la notificación de incidentes relevantes.

En torno a ciertos sectores de la ciudadanía de Massachusetts existe cierta preocupación sobre el Massachusetts Data Privacy Act, ya que, aunque valorando positivamente sus objetivos de protección de datos, temen su posible impacto negativo en pequeñas empresas. Se sostiene que limitar la recopilación y el tratamiento de datos al mínimo necesario para prestar un servicio reduciría la eficacia de herramientas publicitarias y analíticas esenciales para que negocios locales compitan con grandes corporaciones. También critica el umbral de aplicación (60.000 consumidores), por considerarlo bajo en comparación con otros estados, lo que podría generar mayores costes de cumplimiento para empresas con menos recursos. Aunque respalda la protección de datos sensibles y la prohibición de publicidad dirigida a menores, defiende un enfoque equilibrado que salvaguarde la privacidad sin perjudicar la competitividad y viabilidad económica de pequeñas empresas.

La legislatura de Connecticut ha iniciado su sesión de 2026 con un amplio paquete de proyectos de ley tecnológicos centrados en privacidad, menores, reconocimiento facial e inteligencia artificial. Destaca una propuesta del senador Bob Duff para prohibir el uso de reconocimiento facial en comercios, ante el riesgo que supone la recopilación de datos biométricos sin un consentimiento real. En paralelo, se han presentado iniciativas para limitar el acceso de menores a redes sociales, exigir consentimiento parental, restringir notificaciones nocturnas y reforzar la privacidad infantil. También se apoya una prohibición del uso de teléfonos móviles en aulas K-12. Asimismo, el fiscal general William Tong impulsa una reforma de la legislación de protección de datos para adaptarla a la IA y la geolocalización. Finalmente, se prevé reabrir el debate sobre una regulación estatal de la inteligencia artificial que combine protección de derechos, innovación y capacitación digital.

Connecticut se ha situado a la vanguardia regulatoria al reforzar su marco de privacidad de datos para adaptarlo a la inteligencia artificial, especialmente mediante las reformas derivadas de la Senate Bill 1295. La actualización introduce obligaciones de transparencia específicas sobre el uso de datos personales para entrenar modelos de IA, incluyendo grandes modelos de lenguaje, obligando a informar si dichos datos se recopilan, venden o comparten con terceros. Además, amplía significativamente el ámbito de aplicación al reducir los umbrales de cumplimiento y cerrar vacíos legales en la toma de decisiones automatizadas, reconociendo derechos de explicación, impugnación y corrección cuando intervengan algoritmos. La ley redefine también el concepto de datos sensibles, incorporando información neural, de salud mental e identidad de género, y exige evaluaciones de impacto preventivas para tratamientos de alto riesgo. En conjunto, la reforma refuerza la rendición de cuentas algorítmica y anticipa los desafíos éticos del desarrollo de la IA.

Los legisladores de Connecticut avanzan hacia la prohibición del uso de tecnologías de reconocimiento facial y otras formas de identificación biométrica en establecimientos comerciales. El líder de la mayoría del Senado, Bob Duff, y el senador James Maroney anunciaron que presentarán un proyecto de ley en la sesión legislativa de 2026 para impedir la recopilación de datos biométricos de los clientes, incluidos escaneos faciales, retinales y huellas de voz. La iniciativa surge tras informaciones sobre el uso opaco de estas tecnologías por parte de cadenas como Wegmans, lo que ha reavivado el debate sobre consentimiento real y riesgos para la privacidad. Aunque la legislación vigente exige consentimiento afirmativo, existen excepciones amplias por motivos de seguridad. La nueva propuesta busca reforzar la protección del consumidor y convertir a Connecticut en un referente nacional frente a la recopilación masiva de datos biométricos en el comercio.

Nueva York está construyendo un marco propio de gobernanza digital destinado a reducir su dependencia de las grandes plataformas tecnológicas y reforzar la protección de los datos de sus residentes. A través de iniciativas como la New York Privacy Act, leyes sectoriales sobre datos infantiles y sanitarios, restricciones en la contratación pública de tecnologías de riesgo y la creación de una oficina de activos digitales, la ciudad y el estado avanzan hacia un modelo de control más estricto del poder de las plataformas. Estas medidas imponen consentimiento previo, transparencia radical y mayor control ciudadano sobre la información personal, cuestionando la normalización de la recolección masiva de datos. La estrategia se refuerza con un enfoque institucional coordinado y un liderazgo político más confrontacional con Big Tech, que busca convertir a Nueva York en una “jurisdicción digital segura”. Dado su peso económico y simbólico, este modelo podría influir en otras ciudades y redefinir el equilibrio entre innovación, mercado y derechos digitales.

La gobernadora de Nueva York, Kathy Hochul, presentó en febrero de 2026 una nueva agenda integral sobre inteligencia artificial destinada a reforzar la seguridad digital, la protección de consumidores y la rendición de cuentas tecnológica. El eje central es la creación de la Office of Digital Innovation, Governance, Integrity and Trust (DIGIT), concebida como autoridad coordinadora para la aplicación y supervisión de las leyes estatales sobre IA y tecnologías digitales. La agenda incluye propuestas para etiquetar contenidos generados por IA con datos de procedencia, limitar deepfakes no consentidos, combatir la desinformación electoral y reforzar la privacidad mediante el registro obligatorio de intermediarios de datos y mecanismos centralizados de supresión de información personal. Estas iniciativas consolidan a Nueva York como referente estatal en gobernanza de la IA, en un contexto de tensiones con la pretensión federal de limitar la regulación autonómica.

La New Jersey Data Privacy Act (NJDPA), firmada el 16 de enero de 2024 y en vigor desde el 15 de enero de 2025, establece un marco general de protección de datos para residentes de Nueva Jersey y fija obligaciones para responsables y encargados, aplicable a entidades que operen en el estado o dirijan servicios a sus residentes y superen ciertos umbrales de tratamiento o venta de datos. Reconoce derechos de acceso, rectificación, supresión, portabilidad y oposición (publicidad dirigida, venta y perfiles), e incorpora un principio de minimización ligado a fines legítimos. Exige consentimiento expreso para datos sensibles y prohíbe “patrones oscuros”. Obliga a habilitar vías para solicitudes verificables (45 días, ampliables), prevé evaluaciones de impacto y medidas de seguridad razonables, y manda respetar mecanismos universales de exclusión (como GPC). La ejecución corresponde al Fiscal General, sin acción privada.