Eliminación de datos personales: La nueva ley SECURE Data Act en EE. UU.

El panorama de la privacidad digital en los Estados Unidos ha dado un giro sísmico. El 22 de abril de 2026, el Comité de Energía y Comercio de la Cámara de Representantes presentó formalmente la Securing and Establishing Consumer Uniform Rights and Enforcement (SECURE) Data Act. Esta legislación no es solo un proyecto de ley más; representa el intento más ambicioso hasta la fecha para centralizar la eliminación de datos personales y establecer un estándar federal que ponga fin al caótico “mosaico” de leyes estatales que ha confundido a consumidores y empresas por igual durante años.

Hacia un estándar federal: El fin de la fragmentación legal

Hasta la introducción de la SECURE Data Act, los ciudadanos estadounidenses vivían bajo una colcha de retazos regulatoria. Con más de 20 estados, liderados por California, Virginia y Texas, implementando sus propias normas de privacidad, la eliminación de datos personales se había convertido en una pesadilla logística. Un usuario en Nueva York tenía derechos diferentes a uno en San Francisco, y las empresas debían navegar por un laberinto de requisitos de cumplimiento que variaban según la frontera estatal.

La SECURE Data Act busca eliminar esta fricción mediante la “preeminencia federal”. Esto significa que la ley actuaría como un techo absoluto, reemplazando las normativas estatales existentes. Si bien esto ha generado críticas de defensores de la privacidad que temen que se debiliten las protecciones más estrictas de estados como California, para la industria representa la “simplificación de cumplimiento” necesaria en una economía digital del siglo XXI. El enfoque principal de esta ley es otorgar al consumidor un control real, tangible y ejecutable sobre su huella digital.

El mecanismo de “Solicitud Única”: Inspiración en el modelo DROP

Uno de los pilares técnicos más innovadores de la SECURE Data Act es la creación de un mecanismo de “solicitud única”. Este concepto se basa directamente en la plataforma DROP (Delete Request and Opt-Out Platform) de California, que entró en funcionamiento el 1 de enero de 2026. La ley federal propone escalar este modelo a nivel nacional, permitiendo que un ciudadano estadounidense, mediante una única interfaz gestionada por la Comisión Federal de Comercio (FTC), exija la eliminación de datos personales de todos los brokers de datos registrados simultáneamente.

¿Cómo funcionará el portal federal de eliminación?

La implementación técnica de este sistema no es trivial. De acuerdo con el borrador de la ley, el proceso seguirá una estructura lógica diseñada para minimizar la carga sobre el usuario:

• Verificación de Identidad: El usuario deberá autenticarse a través de un sistema seguro (similar al California Identity Gateway) para evitar solicitudes fraudulentas de borrado.
• Registro de Brokers de Datos: Todas las entidades que califiquen como “data brokers” —aquellas que obtienen más del 50% de sus ingresos anuales vendiendo datos de personas con las que no tienen relación directa— deberán registrarse anualmente ante la FTC.
• Sincronización Automatizada: Los brokers de datos tendrán la obligación legal de conectarse a una API (Interfaz de Programación de Aplicaciones) de la FTC al menos cada 45 días para descargar la lista de usuarios que han solicitado la eliminación de su información.
• Alcance Extendido: La obligación de borrado no se limita al broker de datos primario; la SECURE Data Act exige que estos brokers notifiquen a todos sus “proveedores de servicios y contratistas” para asegurar que la eliminación de datos personales sea total y no queden copias residuales en servidores secundarios.

ACR: Clasificando el rastreo de Smart TVs como “Información Sensible”

Por primera vez en la historia legislativa federal, la tecnología de Reconocimiento Automático de Contenido (ACR) ha sido clasificada formalmente como “datos sensibles”. Para entender la magnitud de este cambio, debemos analizar qué es el ACR y por qué es tan invasivo. El ACR es la tecnología integrada en los televisores inteligentes que utiliza “huellas digitales” de audio y video para identificar en tiempo real qué está viendo el usuario, ya sea a través de cable, servicios de streaming o incluso dispositivos conectados por HDMI como consolas de videojuegos.

Bajo la SECURE Data Act, los fabricantes de televisores ya no podrán activar el ACR por defecto bajo cláusulas oscuras en los términos de servicio. La ley exige un consentimiento afirmativo (opt-in) específico. Esto significa que si la empresa desea rastrear los hábitos de visualización del usuario para vender esos datos a anunciantes, el consumidor debe decir explícitamente “sí”.

El impacto del ACR en la privacidad profunda

La reclasificación del ACR como dato sensible lo pone al mismo nivel que la información financiera, la geolocalización precisa y los datos biométricos. Los defensores de la ley argumentan que los hábitos de televisión revelan mucho más que simples preferencias de entretenimiento; pueden inferir inclinaciones políticas, creencias religiosas y estados de salud. Al incluir el ACR dentro del marco de la eliminación de datos personales, los usuarios ahora podrán exigir que las bases de datos históricas de sus televisores inteligentes sean purgadas por completo.

El golpe final a los sitios de búsqueda de personas: Whitepages y Spokeo

Durante años, sitios de búsqueda de personas como Whitepages, Spokeo, MyLife y BeenVerified han sido el principal punto de frustración para quienes intentan limpiar su presencia en línea. Estos sitios recopilan registros públicos, datos de redes sociales y compras comerciales para crear perfiles detallados que son accesibles para cualquiera con una tarjeta de crédito.

Históricamente, eliminar información de estos sitios era un proceso manual, tedioso y, a menudo, inútil, ya que los datos solían reaparecer semanas después. La SECURE Data Act cambia las reglas del juego de tres maneras fundamentales:

1. Prohibición de Re-aparición: Una vez que un usuario solicita la eliminación de datos personales a través del portal federal, el broker de datos tiene prohibido volver a recolectar o vender información sobre esa persona en el futuro, a menos que el usuario inicie una nueva relación comercial con ellos.
2. Sanciones Administrativas: La ley propone multas de hasta $200 dólares por día por cada solicitud de eliminación no procesada. Para sitios que manejan millones de registros, el riesgo financiero de ignorar la ley se vuelve insostenible.
3. Transparencia de Métricas: Los brokers de datos deberán publicar informes anuales que detallen cuántas solicitudes de borrado han recibido y qué porcentaje de ellas fueron completadas exitosamente, permitiendo una supervisión pública sin precedentes.

Comparativa: SECURE Data Act vs. el modelo DROP de California

Aunque la SECURE Data Act se inspira en el éxito de California, existen diferencias técnicas clave que los analistas y departamentos de IT deben considerar. Mientras que el DROP de California es un sistema estatal que solo aplica a brokers que operan con residentes de ese estado, la ley federal crea un estándar uniforme para toda la nación.

Diferencias Clave:

• Ámbito de Aplicación: La SECURE Data Act aplica a cualquier entidad que procese datos de más de 200,000 consumidores anuales y tenga ingresos brutos superiores a $25 millones de dólares.
• Derecho de Acción Privada: A diferencia de algunas versiones iniciales de leyes de privacidad estatales, la SECURE Data Act no incluye un derecho de acción privada. Esto significa que los ciudadanos no pueden demandar directamente a las empresas por violaciones; en su lugar, la ejecución recae exclusivamente en la FTC y los fiscales generales de los estados.
• Minimización de Datos: La ley federal introduce el concepto de “adecuación y necesidad”, obligando a las empresas a recolectar solo los datos estrictamente necesarios para el servicio ofrecido, reduciendo la superficie de ataque y la necesidad posterior de eliminación de datos personales.

Desafíos de cumplimiento para las empresas en 2026

Para las organizaciones, la transición a la SECURE Data Act requerirá una auditoría profunda de sus flujos de datos. Ya no basta con tener una política de privacidad en el pie de página del sitio web. Las empresas deberán implementar sistemas automatizados capaces de responder a las señales de borrado provenientes del portal de la FTC en ciclos de 45 días.

Además, la exclusión de ciertas entidades bajo normativas como HIPAA (salud) y GLBA (finanzas) genera una capa de complejidad adicional. Si una empresa maneja tanto datos de salud como datos de marketing no protegidos, deberá ser capaz de segmentar qué información es sujeta a la eliminación de datos personales bajo la SECURE Act y qué información debe retenerse por mandatos legales de salud o registros financieros.

Conclusión: El nuevo estándar de la soberanía digital

La presentación de la Securing and Establishing Consumer Uniform Rights and Enforcement (SECURE) Data Act el 22 de abril de 2026 marca el inicio de una nueva era en la protección de la privacidad en los Estados Unidos. Al centralizar la eliminación de datos personales y poner bajo estricto control tecnologías invasivas como el ACR, el gobierno federal finalmente está respondiendo a una demanda ciudadana que lleva más de una década creciendo.

Si bien el camino hacia la aprobación total y la implementación técnica enfrentará la resistencia de sectores que dependen de la monetización de datos, la estructura de la SECURE Data Act ofrece un marco robusto y necesario. La soberanía digital ya no será un privilegio de quienes tienen el tiempo para rastrear cada broker de datos individualmente; se convertirá en un derecho accesible mediante un solo clic, devolviendo a los individuos el control sobre su propia identidad en el vasto y a menudo peligroso ecosistema digital.