La Ley Federal de Privacidad en Estados Unidos (ADPPA)tiene gran potencial... aún hay temas a revisar.

Muchos países tienen leyes de privacidad de referencia que establecen estándares mínimos para el uso de datos. Sin embargo, en Estados Unidos no; no existe una ley federal para hacer cumplir las leyes de privacidad o de protección de datos.

A pesar de que Estados Unidos es el hogar de Silicon Valley y sede de compañías de renombre, nuestro vecino del norte se ha quedado relegado frente a otros países  en la regulación del uso de datos por parte de los gigantes tecnológicos. Si bien, existen  leyes específicas del sector que cubren aspectos de los datos en línea de los niños, los datos de salud, los datos financieros y los datos de los estudiantes, hay muchos datos que pasan desapercibidos entre estas leyes y las diversas agencias que las regulan. 

Hace 4 años, la marea finalmente comenzó a cambiar de rumbo cuando el estado de California aprobó la primera legislación de privacidad de referencia en la nación, la Ley de Privacidad del Consumidor de California (CCPA). Dos años más tarde, para  2020, los votantes de California reforzaron esa ley a través de una iniciativa electoral. 

La Ley de California fue un parteaguas, ya que estableció la primera agencia de protección de datos del país, la Agencia de Protección de la Privacidad de California, lanzada el año pasado con una financiación anual garantizada de $10 millones al año,  debido a la medida electoral que evita que la legislatura de California debilite sus protecciones de privacidad. 

Recientemente, otros estados también se apresuraron a aprobar leyes de privacidad, mucho más débiles que la Ley de California y fuertemente influenciadas por la industria tecnológica. 

Toda esta acción estatal finalmente ha creado impulsos para la Ley Federal de Privacidad. El pasado mes de julio, el Comité de Energía y Comercio de la Cámara de Representantes aprobó por abrumadora mayoría un proyecto de ley de privacidad federal bipartidista decisivo, la Ley de Protección y Privacidad de Datos Estadounidenses (ADPPA, por sus siglas en inglés). Además de los requisitos básicos de privacidad, requiere que las empresas evalúen si sus algoritmos son discriminatorios y permite que las personas demanden directamente a las empresas por daños y perjuicios por violaciones de la privacidad, con algunas limitaciones. 

Pero hay un gran problema: se adelanta a casi todas las leyes estatales de privacidad, incluida la histórica Ley de California. Los funcionarios de California, incluido el gobernador, el fiscal general y otros legisladores, dicen que la Ley Federal podría socavar las sólidas protecciones de privacidad de California y desmantelar la primera agencia de aplicación de datos de la nación. 

La representante Anna Eshoo (D-CA) se opuso al proyecto de ley y dijo que "comprometería la capacidad de las agencias estatales de California para hacer cumplir la ley... [y] asignaría importantes responsabilidades de cumplimiento a la FTC históricamente con pocos recursos".  

El proyecto de ley también impide que los estados aprueben otras leyes de privacidad más sólidas que las protecciones de la ley. La Electronic Frontier Foundation dijo que se opone a esta disposición de "congelación" y que el Congreso "no debería sacrificar la capacidad de los estados para reaccionar en el futuro ante problemas actuales e imprevistos". Diez fiscales estatales han pedido al Congreso que haga de la legislación federal un "piso, no un techo". 

La Agencia de Protección de Privacidad de California votó esta semana para oponerse a la Ley Federal, que dijo que debilitaría significativamente las protecciones de privacidad de los californianos. “Podemos tener leyes federales sólidas sin debilitar la capacidad de los estados para brindar protecciones más sólidas”, dijo Ashkan Soltani, director ejecutivo de la agencia, cuando me acerqué a él para pedirle un comentario. 

"Como defensor de la privacidad, realmente entiendo el atractivo de una ley federal integral. He testificado personalmente (generalmente una vez por década) pidiendo un marco federal fuerte", dijo Soltani. "Sin embargo, me sorprende la voluntad de la comunidad no solo de aceptar un estándar demostrablemente más débil, sino también de fijar en ambas estas protecciones que impiden que los estados, las ciudades e incluso los condados mejoren estas protecciones en el futuro. Dada la velocidad de la tecnología e innovación, esto es una trampa".  

Pero ninguno de estos temas debería disuadir a la presidenta de la Cámara de Representantes, Nancy Pelosi (D-Calif.), de llevar esta legislación al pleno.

Las empresas en México tienen que volver a realizar un checklist, como el anexo, o en el mejor de los escenarios realizar un PIA (Privacy Impact Analysis) o DPIA (Data Protection Impact Analysis) para medir su nivel de madurez y de preparación antes una regulación como la ley federal en los Estados Unidos.

Quedará ser pacientes y esperar la evolución de este tema, si bien, este podría ser un gran comienzo para regular, desde la trinchera legal, la protección de los datos, también será el inicio de una ley que requerirá ajustes, casi a la par, de los cambios de los productos y servicios tecnológicos.