¿Por fin un RGPD en Estados Unidos?

Imagino que muchos de los lectores desconocen la realidad, de cómo tiene legislada la protección de datos Estados Unidos. Curiosamente es uno de los países desarrollados donde no existe una norma concreta y desarrollada, de cara a la privacidad y protección de datos, tal como la conocemos en Europa. Sabemos que es un país con graves deficiencias en la aplicación de privacidad de datos personales; sin ir más lejos, recordemos que la Unión Europea suspendió el tratado de Safe Harbour con Estados Unidos, por las graves informaciones a raíz del caso Snowden. Podríamos continuar con otros escándalos como Facebook, donde se probó la utilización de datos de forma ilícita y nada transparente. Así, podemos deducir que la existencia de leyes es nula o muy poco efectiva, para proteger los derechos individuales y la intimidad.

Actualmente, Estados Unidos dispone de una legislación inconexa de protección de datos y privacidad; se orienta a sectores, más que a sujetos, y opera con sus propias normas y condiciones. Podemos hablar de la HIPPA, que es la Ley de Transferencia y Responsabilidad de Seguro Médico, donde se aprecian unos controles y medidas para garantizar la privacidad de la información médica, dentro del objeto de la norma. También está la Sarbanes-Oxley (SOX), que protege a los empleados que denuncian fraude contra las empresas donde trabajan, y se exigen varias medidas de seguridad relativas a protección de los datos.

Por otro lado, existen numerosas normas en los estados federales, que desarrollan la protección de datos, pero nunca de forma unificada y con la intencionalidad de ser un referente en ello. Básicamente la normativa se incluye dentro de otras leyes cuyo objeto es la regulación de seguros, consumidores u otras cuestiones diferentes.

Pues bien, todas esas actividades encubiertas que se han ido realizando por parte de las grandes empresas tecnológicas han provocado la creación de la ADPPA o American Data and Privacy Protection Act. Aunque aún es un proyecto de ley, parece que va por buen camino y será un impacto importante en el panorama de la protección de datos en todo el país. Su aplicación será a todas las empresas, sean o no con ánimo de lucro, empresarios individuales, etc. pero no aplicará al sistema gubernamental. Esa es posiblemente una de las mayores diferencias con la normativa europea que sí aplica a gobiernos igualmente.

Siendo todavía un proyecto de ley, y por tanto sujeta a cambios en su versión definitiva, tiene como principales novedades la introducción de derechos de acceso, rectificación y cancelación de datos, hasta ahora inexistente o muy limitados para los interesados. También se regula la utilización de las famosas casillas de “Acepto” en las relaciones contractuales, aceptación de términos y condiciones en contratación electrónica, etc. Veremos en el texto final qué otros derechos otorga a las personas para garantizar un mayor control sobre sus datos.

Se prevé que la ADPPA tenga un carácter armonizador y obtenga una prelación frente a leyes estatales como la Ley de Privacidad del Consumidor de California, aunque no queda claro cómo lo logrará o si obtendrá suficiente consenso en la Cámara de Representantes para su aprobación e impulso definitivo. Lo que sí está clara, es la introducción de un nuevo derecho de acción contra las empresas, que infrinjan la norma y violen el uso de los datos de las personas.

Es una gran noticia que por fin Estados Unidos dé un paso a delante y legisle claramente a favor de la protección de datos de los individuos. Hasta ahora, recibimos constantemente noticias de mala praxis en el uso de datos por parte de empresas de gran calado en el país, quienes encuentran grandes obstáculos en zonas como la Unión Europea para seguir sus prácticas monopolísticas y opacas. Ojalá sea así y no se quede en un brindis al sol.

Xavier Ferretjans

Director de BinauraMONLEX

xferretjans@binauramonlex.com