Sandbox de privacidad de Android

¿El RGPD en EE. UU.? Esto es lo que dice la Ley de Derechos de Privacidad de EE. UU. de 2024

Por John Koetsier 27 de mayo de 2024

¿Tendrá Estados Unidos pronto su propia versión nacional del RGPD europeo? En abril de este año, un demócrata y un republicano presentaron la Ley de Derechos de Privacidad Estadounidense de 2024, que podría convertirse en el primer proyecto de ley nacional sobre privacidad .

Si bien 17 estados han creado sus propias leyes de privacidad del consumidor, lideradas por California en 2022 con la CCPA, aún no existe un marco nacional para la privacidad digital de los ciudadanos estadounidenses. En cambio, el Reglamento General de Protección de Datos de Europa se adoptó en 2016 y entró en vigor en 2018.

Si la Ley Estadounidense de Derechos de Privacidad de 2024 se aprueba y se convierte en ley, supondrá cambios significativos en la forma en que las empresas estadounidenses, incluidas las de aplicaciones y juegos móviles, operan. Por lo tanto, en esta publicación me gustaría resumir la Ley Estadounidense de Derechos de Privacidad de 2024, compararla con el RGPD y analizar sus implicaciones para los profesionales del marketing móvil.

Al mismo tiempo, seamos honestos: estamos en un ciclo electoral, y aprobar una legislación bipartidista es increíblemente difícil en este momento en el actual gobierno hiperpartidista de Estados Unidos. Es más probable que la APRA sirva de marco para una futura ley que que se apruebe por sí sola ahora mismo... aunque probablemente sea más probable si los demócratas ganan las próximas elecciones.

Estados con leyes de privacidad: ¡muchos!

Comencemos aquí: al menos 17 estados tienen leyes de privacidad vigentes, aunque para algunos estados las leyes no entrarán en vigencia hasta 2026. La Ley de Derechos de Privacidad Estadounidense de 2024 no surge de la nada. 

En general, los estados de EE. UU. se han centrado en los derechos de los consumidores (acceso a la información personal en poder de las empresas, corrección y eliminación de dichos datos, posibilidad de optar por no participar y la posibilidad de transferir información a otros proveedores de servicios). Las obligaciones de las empresas incluyen obtener el consentimiento, garantizar la transparencia y minimizar la cantidad de datos recopilados. 

Además, las empresas están obligadas a implementar medidas de seguridad para salvaguardar los datos de los consumidores, así como a notificar a los usuarios o clientes en caso de una violación de seguridad.

A continuación se presentan los estados con legislación sobre privacidad, en orden cronológico de cuándo adoptaron o están adoptando leyes de privacidad digital del consumidor:

  1. CaliforniaLey de Privacidad del Consumidor de California (CCPA), 1 de enero de 2020
    1. También: Ley de Derechos de Privacidad de California (CPRA), 1 de enero de 2023
  2. Virginia : Ley de Protección de Datos del Consumidor de Virginia (VCDPA), 1 de enero de 2023
  3. Colorado : Ley de Privacidad de Colorado (CPA), 1 de julio de 2023
  4. Connecticut : Ley de Privacidad de Datos de Connecticut (CTDPA), 1 de julio de 2023
  5. Utah : Ley de Privacidad del Consumidor de Utah (UCPA), 31 de diciembre de 2023
  6. Texas : Ley de Privacidad y Seguridad de Datos de Texas, 1 de julio de 2024
  7. Florida : Declaración de Derechos Digitales de Florida, 1 de julio de 2024
  8. Oregón : Ley de Privacidad del Consumidor de Oregón, 1 de julio de 2024
  9. Montana : Ley de Protección de Datos del Consumidor de Montana, 1 de octubre de 2024
  10. Delaware : Ley de Privacidad de Datos Personales de Delaware, 1 de enero de 2025
  11. Nuevo Hampshire : Ley de Privacidad de Datos de Nuevo Hampshire, 1 de enero de 2025
  12. Iowa : Ley de Protección de Datos del Consumidor de Iowa, 1 de enero de 2025
  13. Nueva Jersey : Ley de Privacidad de Datos de Nueva Jersey, 15 de enero de 2025
  14. Tennessee : Ley de Protección de la Información de Tennessee, 1 de julio de 2025
  15. Maryland : Ley de Privacidad de Datos en Línea de Maryland, 1 de octubre de 2025
  16. Indiana : Ley de Protección de Datos del Consumidor de Indiana, 1 de enero de 2026
  17. Kentucky : Ley de Protección de Datos del Consumidor de Kentucky, 1 de enero de 2026

Como es bastante evidente por las fechas, desde 2023 se ha producido una avalancha de legislación en muchos estados para promulgar una ley de protección de la privacidad digital. Este impulso a la privacidad digital continúa, ya que al menos otros ocho estados tienen nuevas leyes de privacidad pendientes o en consideración:

  1. Hawai
  2. Massachusetts
  3. Nueva York
  4. Pensilvania
  5. Washington
  6. Wisconsin
  7. Minnesota
  8. Ohio

A este ritmo acelerado, prácticamente todos los estados contarán con una ley de privacidad digital en los próximos años. El reto, por supuesto, radica en que si existen pequeñas diferencias entre ellas —y cómo no las habría—, las empresas tendrán que respaldar una diversidad de leyes según la ubicación de sus usuarios, jugadores o clientes.

Lo cual… no suena eficiente.

Ésa es una de las razones de la Ley de Derechos de Privacidad de Estados Unidos de 2024: una ley universal para todo el país sobre la privacidad digital.

Ley de Derechos de Privacidad de Estados Unidos de 2024

¿De qué trata la Ley Estadounidense de Derechos de Privacidad de 2024? Si conoce el RGPD, encontrará muchos aspectos similares. La APRA es un proyecto de ley para "establecer derechos nacionales de privacidad de datos de los consumidores y establecer estándares de seguridad de datos" 

De aprobarse, tendrá un impacto significativo en la forma en que los profesionales del marketing, las empresas de tecnología publicitaria y las grandes plataformas digitales, como los conglomerados GAFAM o FAANG, recopilan datos. También afectará el tipo de datos que recopilan, su procesamiento y su capacidad para ejecutar campañas publicitarias personalizadas y específicas.

A continuación se presentan algunos de los puntos clave del APRA:

  1. El estándar nacional de privacidad de datos
    APRA, de promulgarse, establecería un estándar nacional uniforme de privacidad que reemplazaría la disparidad existente de leyes estatales. También es probable que ofrezca mayor protección que la mayoría de las leyes estatales actuales, e incluso todas.
  2. Derechos del consumidor.
    La Ley de Derechos de Privacidad de Estados Unidos otorga a los consumidores derechos como el acceso, la corrección, la eliminación y la exportación de sus datos, así como la posibilidad de impedir su venta. Los estadounidenses también podrían optar por no participar en el procesamiento de datos y la publicidad dirigida.
  3. Consentimiento para datos sensibles
    APRA requiere que las empresas obtengan el consentimiento explícito antes de transferir datos sensibles a terceros.
  4. Minimización de datos.
    Como se observa en el RGPD y en muchas leyes estatales, las empresas estarían obligadas a limitar la recopilación, el almacenamiento y el uso de datos a lo necesario para prestar sus servicios. En otras palabras, se acabaría la libertad de acción.
  5. Mecanismos de cumplimiento:
    La APRA otorga a las personas el derecho a demandar por daños y perjuicios si se violan sus derechos a la privacidad y evita el arbitraje obligatorio en casos de daño significativo a la privacidad. También autoriza la aplicación de la ley por parte de la Comisión Federal de Comercio (FTC), los fiscales generales estatales y particulares.
  6. Protección contra la discriminación
    La Ley de Derechos de Privacidad de Estados Unidos prohíbe el uso de información personal con fines discriminatorios y exige revisiones anuales de algoritmos para prevenir daños, incluida la discriminación. Cómo estas revisiones anuales
  7. Obligaciones de seguridad de datos
    Las empresas deben implementar fuertes medidas de seguridad de datos para protegerse contra violaciones de datos y robo de identidad, y contar con un oficial de seguridad de datos.
  8. Exención para pequeñas empresas.
    Las pequeñas empresas que no venden información personal están exentas de los requisitos de la Ley. Una "pequeña empresa" es aquella con ingresos anuales inferiores a $40 millones y que procesa datos de menos de 200,000 personas.
  9. Exenciones de algoritmos
    La Ley de Derechos de Privacidad de Estados Unidos daría a los consumidores el derecho a optar por no utilizar algoritmos para “decisiones importantes”, como a qué consumidores se les debe ofrecer crédito, atención médica, seguros, empleo, etc.

Los datos que cubre la APRA incluyen datos de identificación personal y datos sensibles, como información de salud, biometría, información genética, datos financieros, datos de ubicación precisa, credenciales de inicio de sesión, fotos y grabaciones privadas, entre otros. No incluye datos anónimos, datos de empleados, información pública ni inferencias derivadas de diversas fuentes de información pública

Las grandes empresas tendrán obligaciones especiales, definidas como empresas con ingresos anuales de 250 millones de dólares o más que procesan datos de más de 5 millones de personas (o 15 millones de teléfonos inteligentes, o datos confidenciales de tan solo 200.000 personas). Deberán presentar certificaciones anuales de sus controles internos ante la FTC.

¿Qué tan similar es la Ley de Derechos de Privacidad de Estados Unidos al RGPD?

En última instancia, ambos proyectos de ley tienen objetivos muy similares.

Es evidente en ambos casos el enfoque en los derechos individuales y la concesión de derechos a las personas para acceder, corregir, eliminar y exportar sus datos. En otras palabras: usted es el propietario de sus datos. Tanto la APRA como el RGPD incorporan el concepto de consentimiento y ambos lo exigen explícito para el tratamiento de datos personales sensibles.

Ambos también exigen que las empresas minimicen los datos, exigiendo que limiten la recopilación de datos a lo necesario para fines específicos, y ambos prevén importantes mecanismos de cumplimiento, incluidas sanciones por incumplimiento.

También existen algunas diferencias clave:

El RGPD se aplica a todas las organizaciones que procesan datos personales de ciudadanos de la UE, independientemente de su ubicación. (Por eso requirió una inversión significativa tanto por parte de empresas estadounidenses como europeas). La APRA se centra en crear un estándar uniforme en EE. UU.

Los derechos de exclusión también son ligeramente diferentes:

  • El RGPD permite a las personas optar por no recibir tratamiento de datos para marketing directo en cualquier momento
  • La Ley de Derechos de Privacidad de Estados Unidos incluye el derecho a optar por no recibir publicidad dirigida

Además, la APRA prohíbe específicamente el arbitraje obligatorio en casos de daño significativo a la privacidad, una característica que no se contempla explícitamente en el RGPD. Asimismo, la Ley de Derechos de Privacidad de Estados Unidos exige revisiones anuales de algoritmos para detectar impactos discriminatorios, lo cual es más específico que los requisitos generales del RGPD para las evaluaciones de impacto de los datos.

Además, el RGPD define la diferencia entre responsables y encargados del tratamiento de datos, algo que no aparece en la Ley de Derechos de Privacidad de Estados Unidos (APRA). En cambio, la Ley de Derechos de Privacidad de Estados Unidos (APRA) incluye el concepto de intermediario de datos, que parece ser significativamente diferente. Sin embargo, la APRA reconoce que el tratamiento de datos es necesario y permite el tratamiento de datos cubiertos únicamente para medir o informar sobre el rendimiento, el alcance o la frecuencia de la publicidad, el marketing o los medios de comunicación

Este proyecto de ley tendría que pasar por múltiples iteraciones antes de convertirse en ley real; es posible que algunas de estas definiciones y casos de uso se detallen con más detalle si sigue adelante.

¿Impacto en los especialistas en marketing digital y en la adquisición de usuarios?

Claramente, una ley como la Ley de Derechos de Privacidad de Estados Unidos aceleraría la adopción de marcos de privacidad como SKAdNetwork de Apple y Privacy Sandbox de Google. 

El APRA también podría exigirlos.

En particular, Privacy Sandbox incluye mecanismos que protegen la privacidad para la segmentación, las audiencias y el retargeting, y estos podrían ser no solo convenientes, sino absolutamente necesarios en un mundo donde las personas pueden optar por no recibir publicidad dirigida. Actualmente, la "publicidad dirigida" se define en el proyecto de ley como algo que ocurre en presencia de un identificador único persistente, lo que parece indicar que la Ley de Derechos de Privacidad de Estados Unidos considera la segmentación conductual tradicional IDFA o GAID como potencialmente problemática, pero no necesariamente como segmentación anónima.

Aun así, sin embargo, los estadounidenses tendrían mucho más control sobre la recopilación, el uso y el almacenamiento de sus datos, y la tecnología publicitaria en general tendría que adaptarse.

Los datos de terceros serían los más vulnerables, como es habitual.

En definitiva, es probable que cualquier impacto de la APRA ya esté prácticamente incluido en el coste de implementar marketing de rendimiento basado en datos hoy en día, especialmente para las empresas que también operan en Europa, que adoptan SKAN de Apple y trabajan en el Privacy Sandbox de Google. Además, para las empresas que utilizan procesadores de datos como Singular, prácticamente todo lo que necesitan en términos de transparencia y capacidad de eliminación ya está disponible.

¿También como siempre?

Los datos propios son fundamentales. Conocer a fondo a sus usuarios, jugadores o clientes y desarrollar una sólida relación de confianza con ellos será cada vez más crucial en los próximos años.

Manténgase al día de los últimos acontecimientos en marketing digital

Simplemente envíanos su correo electrónico y ya está dentro! Prometemos no enviarle spam.