Indiana, Kentucky y Rhode Island promulgaron leyes integrales de privacidad del consumidor el 1 de enero de 2026, ampliando a 20 el número total de estados de EE. UU. con tales regulaciones. Estos estatutos introducen requisitos más estrictos para el procesamiento de información confidencial y datos biométricos a medida que las marcas navegan por un entorno regulatorio cada vez más complejo.
Según informes de natlawreview.com y nixonpeabody.com, las actualizaciones de la Ley de Privacidad del Consumidor de California (CCPA) también entraron en vigor a principios de año. Estas revisiones abordan tecnologías automatizadas de toma de decisiones, auditorías de ciberseguridad y derechos mejorados de los consumidores con respecto a datos personales confidenciales.
Está previsto que la Ley de Privacidad de Datos de Connecticut (CTDPA) se amplíe aún más el 1 de julio de 2026. Esta enmienda requerirá que las organizaciones revelen explícitamente si utilizan información personal para entrenar modelos de lenguaje grandes (LLM).
Los legisladores federales están debatiendo simultáneamente la Ley de Datos SECURE, una propuesta liderada por los republicanos presentada por el representante John Joyce y el presidente del Comité de Energía y Comercio de la Cámara, Brett Guthrie. Si bien el proyecto de ley establece algunos estándares nacionales, ha generado duras críticas por potencialmente anticiparse a protecciones más fuertes a nivel estatal.
Caitriona Fitzgerald, subdirectora y directora de políticas del Centro de Información sobre Privacidad Electrónica (EPIC), expresó una fuerte oposición a la propuesta federal.
«Este proyecto de ley eliminaría una amplia gama de leyes de privacidad, seguridad, protección en línea y derechos civiles sin brindar ninguna protección significativa a los estadounidenses», dijo Fitzgerald, subdirector y director de políticas de EPIC. «Un estándar federal débil es peor que ningún estándar».
Los defensores argumentan que el proyecto de ley carece de un derecho de acción privado, lo que impediría que las personas presenten demandas por violaciones de la privacidad.
«Básicamente, una luz verde para que la industria tecnológica siga recopilando los datos que quieran de usted y haga lo que quiera con ellos. Luego se asegura de que ningún estado molesto que quiera, ya sabe, regular realmente lo que las empresas están haciendo, pueda interponerse en el camino», dijo RJ Cross, director del Programa de Vida en Línea del Grupo de Investigación de Interés Público (PIRG).
El proyecto de ley también excluye las grabaciones de audio y video de la definición de datos biométricos, una medida que, según los críticos, crea importantes lagunas.
«El proyecto de ley consolidaría las prácticas dañinas de datos en línea que los estadounidenses necesitan y quieren que se corrija una ley de privacidad, lo que resultaría en más violaciones de datos, recopilación de datos más intrusiva, prácticas publicitarias más espeluznantes y más negocios para los intermediarios de datos», dijo Eric Null, director del proyecto de datos y privacidad del Centro para la Democracia y la Tecnología.
Por el contrario, las organizaciones empresariales han acogido con satisfacción la iniciativa federal como una forma de simplificar el cumplimiento en diferentes jurisdicciones.
«El costo y la complejidad de rastrear y cumplir con más de 20 leyes de privacidad estatales están paralizando a las pequeñas empresas, y las restricciones radicales de datos de algunos estados están poniendo en peligro las herramientas digitales que impulsan el crecimiento de las pequeñas empresas», dijo Rob Retzlaff, director ejecutivo del Connected Commerce Council.
Los grupos industriales, incluida la Cámara de Comercio de EE. UU. y la Federación Nacional de Minoristas, apoyan la prioridad de las leyes estatales para crear un estándar uniforme.
«El proyecto de ley pondría fin a un mosaico confuso que perjudica a los consumidores y a las pequeñas empresas», dijeron varios grupos industriales importantes, entre ellos la Cámara de Comercio de Estados Unidos, la Federación Nacional de Minoristas y NetChoice en una declaración conjunta.
A nivel federal, la Comisión Federal de Comercio ha finalizado las normas relativas a la Ley de Protección de la Privacidad Infantil en Línea (COPPA), y se espera que su aplicación comience más adelante en 2026.
