Montana y Tennessee son los siguientes estados en estar a punto de aprobar leyes de privacidad.
Los legisladores estatales de Montana y Tennessee han aprobado sus propias versiones de leyes integrales de privacidad.
Aunque la Ley de Protección de Datos del Consumidor de Montana (MCDPA) se ajusta en gran medida a la legislación de Connecticut, presenta algunas características interesantes. Entre las características clave se incluyen:
- Reconocimiento de mecanismos universales de exclusión voluntaria (como la señal GPC).
- Derecho a subsanar las infracciones en un plazo de 60 días (que finaliza el 1 de abril de 2026).
- El umbral de alcance es uno de los más bajos del país, con solo 50 000 consumidores en Montana (similar a California bajo la CCPA, pero que se actualizó a 100 000 y se limitó aún más bajo la CPRA).
- Requisitos para los derechos estándar de los consumidores
- Evaluaciones de protección de datos
- Mayor privacidad para los menores de 16 años
Si se aprueba, la MCDPA entraría en vigor el 1 de octubre de 2024.
Por otro lado, la Ley de Privacidad de la Información de Tennessee (TIPA) contiene algunas disposiciones bastante singulares. Al igual que en otros estados, si se aprueba, la TIPA se aplicaría a las empresas que controlan la información personal de 100 000 consumidores de Tennessee o que obtienen el 50 % o más de sus ingresos de la venta de datos de más de 25 000 consumidores de Tennessee. La ley también se aplica a las organizaciones que procesan información personal. La TIPA incluye además el requisito de realizar evaluaciones de impacto en materia de protección de datos (DPIA) y contiene un derecho de 60 días para subsanar las infracciones.
Una disposición única de la TIPA es que las organizaciones deben contar con un programa de privacidad por escrito que «se ajuste razonablemente» al Marco de Privacidad del NIST, y disponen de un año para actualizar su programa de privacidad a fin de tener en cuenta cualquier revisión del Marco de Privacidad del NIST. Esta parece ser la primera vez que una legislatura estatal se remite a una norma nacional para las directrices y controles, en lugar de a las difusas medidas o prácticas de seguridad «razonables». El cumplimiento del Marco de Privacidad del NIST proporciona una defensa afirmativa ante cualquier presunta infracción.
Si se aprueba, la TIPA entraría en vigor el 1 de julio de 2024. Las empresas que puedan estar sujetas a la TIPA deberían considerar la posibilidad de elaborar políticas y procedimientos internos basados en el Marco de Privacidad del NIST para prepararse.
La ola de legislación estatal integral sobre privacidad en Estados Unidos, que pocos pensaban que se materializaría en un año natural, se ha hecho realidad. Los proyectos de ley integrales de Montana y Tennessee fueron aprobados por sus respectivas legislaturas estatales el 21 de abril, la primera vez que dos proyectos de ley estatales sobre privacidad se aprueban el mismo día, y se unen así a Indiana y Iowa entre los estados que han alcanzado la meta este año.
Ver artículo de referencia
Ambos proyectos de ley, que ahora esperan la firma del gobernador para su promulgación, se asemejan a las leyes estatales sobre privacidad existentes, con algunas originalidades.
