Se da a conocer la Ley de Derechos de Privacidad de Estados Unidos: se aplica a más entidades que cualquier ley estatal de privacidad vigente
La Ley de Derechos de Privacidad de Estados Unidos (APRA) se presentó el 7 de abril de 2024 y aún le queda un largo camino por recorrer antes de convertirse en ley. Sin embargo, si llegara a promulgarse, se aplicaría a muchas más empresas que cualquier ley estatal de privacidad vigente, como la Ley de Derechos de Privacidad de California —una ley considerada desde hace tiempo como la precursora de las leyes estatales de privacidad en Estados Unidos—. Aquí puede consultarse un resumen artículo por artículo de la APRA.
En primer lugar, a diferencia de la mayoría de las leyes generales de protección de datos a nivel estatal, que incluyen una excepción general para las entidades sin ánimo de lucro, la APRA incluiría a las organizaciones sin ánimo de lucro dentro de su ámbito de aplicación.
En segundo lugar, actualmente solo dos leyes estatales establecen umbrales financieros que deben cumplirse para que una empresa entre en el ámbito de aplicación. En California, una entidad con ánimo de lucro debe obtener unos ingresos anuales de al menos 25 millones de dólares estadounidenses para entrar en el ámbito de aplicación, o bien cumplir alguno de los otros umbrales que se analizan a continuación. En Texas, una entidad con fines de lucro no debe ser considerada una pequeña empresa por la Administración Federal de Pequeñas Empresas (Small Business Administration) o cumplir uno de los umbrales que se analizan a continuación. La APRA, de aprobarse, haría que cualquier entidad, con o sin fines de lucro, quedara sujeta a la APRA si supera los 40 millones de dólares estadounidenses en ingresos anuales o cumple uno de los otros umbrales.
En tercer lugar, mientras que la mayoría de las leyes estatales vigentes en materia de privacidad exigen que una organización con ánimo de lucro trate los datos personales de al menos 100 000 personas residentes en ese estado, la APRA propone un modesto aumento hasta las 200 000 personas, pero esas 200 000 serían residentes en los Estados Unidos, un umbral mucho más fácil de alcanzar si se suman los residentes de todo el país.
Y, por último, mientras que la mayoría de las leyes estatales se aplican a las organizaciones que obtienen una parte significativa de sus ingresos de la venta de información personal (a veces con un umbral mínimo de volumen más bajo), la APRA incluiría en su ámbito de aplicación a cualquier entidad que obtenga ingresos de la transferencia de información personal a terceros. Queda por ver si esto incluiría ingresos en forma de «otras contraprestaciones de valor», como ocurre en muchas de las leyes estatales generales de privacidad, y si dichos ingresos incluirían las contraprestaciones derivadas de la divulgación a través de cookies publicitarias o analíticas. De ser así, cualquier empresa que gestione un sitio web que utilice cookies analíticas podría entrar en el ámbito de aplicación, independientemente del número de visitantes del sitio web, la cuantía de los ingresos obtenidos o el porcentaje de compensación (monetaria o de otro tipo) recibida por dichas divulgaciones.
El equipo de Ciberseguridad y Privacidad de Datos de Foley seguirá analizando la propuesta de ley APRA y ofrecerá más orientación a medida que (si es que) la legislación propuesta avance hacia su promulgación. Sin embargo, quienes siguen de cerca la legislación sobre privacidad en Estados Unidos tendrán una sensación de déjà vu y reconocerán que ya hemos pasado por esto antes. La última vez (hace apenas dos años), la representante Nancy Pelosi y otros miembros de la delegación del Congreso de California se opusieron a una propuesta legislativa porque prevalecía sobre la CPRA de California. La APRA también prevalece sobre las leyes generales de privacidad estatales, y queda por ver si se enfrentará a objeciones iguales o similares.
Entre las definiciones clave se incluyen:
Ver artículo de referencia
Entidad sujeta a la ley: cualquier entidad que determine la finalidad y los medios de recopilación, tratamiento, conservación o transferencia de los datos sujetos a la ley y que esté sujeta a la Ley de la FTC, incluidos los transportistas públicos y determinadas organizaciones sin ánimo de lucro. Quedan excluidas las pequeñas empresas, las administraciones públicas, las entidades que actúen en nombre de las administraciones públicas, el Centro Nacional para Niños Desaparecidos y Explotados (NCMEC) y, salvo en lo que respecta a las obligaciones en materia de seguridad de los datos, las organizaciones sin ánimo de lucro dedicadas a la lucha contra el fraude.
Pequeña empresa: empresas con unos ingresos anuales de 40 000 000 $ o menos; que recopilan, tratan, conservan o transfieren los datos cubiertos de 200 000 personas o menos (sin incluir datos de tarjetas de crédito y otros datos transitorios); y que no obtienen ingresos de la transferencia de datos cubiertos a terceros. Las pequeñas empresas están exentas de los requisitos de la Ley.
