Privacidad de datos en Connecticut: Nueva ley prohíbe venta de geolocalización

El mapa legislativo de los Estados Unidos está viviendo un sismo silencioso pero devastador para la industria del rastreo masivo. El pasado 29 de mayo de 2026, el gobernador de Connecticut, Ned Lamont, firmó la revolucionaria ley Senate Bill 4 (SB 4), un paquete normativo de vanguardia que redefine por completo la privacidad de datos en la era del capitalismo de vigilancia. Inspirada en la emblemática “Delete Act” de California, esta legislación no solo ofrece a los ciudadanos herramientas sin precedentes para borrar su huella digital de forma centralizada, sino que asesta un golpe estructural a los intermediarios de información y a los rastreadores de geolocalización, consolidando un nuevo estándar para los derechos civiles en el entorno digital.

El fin de la impunidad de los Data Brokers: El borrado en un solo clic

Durante años, el proceso de eliminar la información personal de internet ha sido una pesadilla burocrática diseñada para desalentar al usuario común. Los denominados data brokers (corredores de datos)—empresas dedicadas a compilar, analizar y vender perfiles detallados de millones de personas—suelen ocultar sus formularios de exclusión (opt-out) detrás de laberintos de enlaces, exigiendo verificaciones de identidad redundantes y prolongando deliberadamente el rastreo. La ley SB 4 de Connecticut llega para demoler este modelo de fricción intencionada.

La legislación exige que el Departamento de Protección al Consumidor (DCP) del estado desarrolle una plataforma en línea centralizada y accesible, inspirada directamente en el sistema DROP (Delete Request and Opt-out Platform) de California. Este portal funcionará como una “ventanilla única” tecnológicamente avanzada:

• Petición universal: Con un solo clic, cualquier residente de Connecticut podrá enviar una orden de borrado vinculante que se transmitirá de manera simultánea a todos los corredores de datos registrados en el estado.
• Eliminación sistemática: Las empresas receptoras estarán obligadas por ley a purgar todos los registros históricos asociados al usuario y a cesar cualquier intento futuro de perfilarlo.
• Mecanismo automatizado: En lugar de obligar al ciudadano a realizar cientos de solicitudes individuales, el sistema del estado canalizará las peticiones mediante APIs seguras y protocolos de verificación en lote, garantizando la eficiencia técnica del proceso.

Este cambio de paradigma transforma un derecho teórico de privacidad en una herramienta práctica de desconexión masiva, permitiendo a los individuos desaparecer de las bases de datos comerciales con la misma facilidad con la que aceptaron los términos de servicio en primer lugar.

La privacidad de datos y el fin del negocio de los data brokers

Para que la plataforma de borrado universal tenga un impacto real, primero es necesario sacar a los intermediarios de la sombra. Por esta razón, la SB 4 establece la creación de un Registro Obligatorio de Data Brokers administrado por el estado. A partir del 1 de enero de 2027, cualquier entidad que opere bajo esta definición en Connecticut estará obligada por ley a inscribirse públicamente, revelar sus prácticas de recolección y financiar el mantenimiento de la infraestructura de borrado estatal a través de tarifas regulatorias de registro.

La ley define de manera precisa a un data broker como cualquier negocio que vende o licencia datos personales de consumidores con los cuales no mantiene una relación comercial directa. Al obligar a estas sombras digitales a registrarse, Connecticut no solo expone un ecosistema que tradicionalmente ha operado fuera del escrutinio público, sino que también introduce un marco de sanciones severas para quienes intenten evadir el registro o ignoren las solicitudes de eliminación de datos de los ciudadanos.

Las exigencias de registro y cumplimiento técnico se implementarán de manera gradual entre 2027 y 2031, otorgando a las agencias estatales y a las empresas el tiempo necesario para adecuar sus infraestructuras de transferencia de datos. No obstante, el mensaje es claro: la venta clandestina de perfiles de comportamiento humano tiene los días contados.

El veto definitivo al rastreo físico: Prohibición de la venta de geolocalización precisa

Nuestros teléfonos inteligentes actúan como transmisores constantes de nuestra ubicación física exacta. A través del rastreo de direcciones IP, conexiones Wi-Fi, balizas Bluetooth y pings de torres de telefonía celular, las empresas de tecnología publicitaria (ad-tech) y los corredores de datos logran estructurar bitácoras minuciosas de nuestras vidas. Saben cuándo visitamos un centro de salud mental, un lugar de culto, una clínica de salud reproductiva o una manifestación política.

Con la firma de la SB 4, Connecticut se convierte oficialmente en el cuarto estado del país (junto a Maryland, Oregón y Virginia) en prohibir de manera absoluta la venta de datos de geolocalización precisa. La rigurosidad técnica de esta prohibición radica en cómo la ley define el término:

• Cualquier información que revele la ubicación geográfica de un consumidor con una precisión inferior a un radio de 1,750 pies (aproximadamente 533 metros) es clasificada como geolocalización precisa.
• Se bloquea por completo la comercialización de coordenadas GPS exactas obtenidas mediante la integración de kits de desarrollo de software (SDK) en aplicaciones móviles aparentemente inofensivas, como juegos o herramientas del clima.
• Se corta de raíz el financiamiento de las redes de “geofencing” de terceros que subastan perfiles basados en los desplazamientos reales de las personas para campañas de publicidad hiperlocalizada o manipulación política.

Esta restricción no impide que una aplicación use la ubicación para entregar un servicio solicitado (como un mapa de navegación o la entrega de comida), pero erradica por completo la posibilidad de empaquetar y monetizar ese rastro de movimiento físico en los mercados secundarios de datos.

Precios de vigilancia y algoritmos dinámicos bajo la lupa

Uno de los aspectos más innovadores y técnicamente robustos de la SB 4 es la regulación de los denominados “precios de vigilancia” (surveillance pricing) y la fijación de precios algorítmica personalizada. En la economía digital actual, las grandes plataformas de comercio electrónico y servicios utilizan algoritmos dinámicos para calcular cuánto está dispuesto a pagar un usuario en tiempo real. Para lograrlo, analizan el historial de navegación, el tipo de dispositivo de acceso (por ejemplo, cobrando más a usuarios de iOS que de Android), la ubicación geográfica y la urgencia implícita en sus búsquedas.

La nueva legislación de Connecticut exige una transparencia radical en este sector. A partir del 1 de febrero de 2027, cualquier empresa que utilice software de fijación dinámica de precios basado en los datos personales recopilados del consumidor deberá mostrar una advertencia clara e inequívoca en la pantalla antes de la transacción. El mensaje de advertencia obligatorio deberá leerse de manera idéntica o sustancialmente similar a la siguiente fórmula:

“Este precio fue incrementado por un dispositivo de fijación de precios utilizando sus datos personales”.

Esta medida no solo actúa como un elemento disuasorio reputacional para las empresas que abusan de la asimetría de información, sino que empodera al consumidor al revelarle de inmediato que el precio dinámico que visualiza no se debe a la fluctuación natural de la oferta y la demanda, sino a una evaluación algorítmica de sus vulnerabilidades financieras o su historial de comportamiento.

Privacidad genética, biometría y reformas estructurales a la CTDPA

La ley SB 4 también introduce enmiendas críticas a la Ley de Privacidad de Datos de Connecticut (CTDPA, por sus siglas en inglés), ampliando el rango de acción sobre la información más íntima de las personas. La regulación establece nuevas directrices sumamente estrictas para las empresas de pruebas genéticas directas al consumidor (como los servicios de genealogía y mapeo de ADN):

1. Derecho de revocación absoluto: Los consumidores tienen derecho a revocar su consentimiento para el almacenamiento y uso de sus datos genéticos en cualquier momento.
2. Destrucción de muestras biológicas: Las empresas están legalmente obligadas a destruir de forma física e irreversible las muestras biológicas del usuario tras una solicitud formal.
3. Redefinición de información pública: La ley actualiza la definición de “información disponible públicamente”, excluyendo expresamente los datos combinados por brokers, las representaciones visuales obscenas o de desnudez no consentida (incluyendo deepfakes sintéticos generados por IA) y los datos genéticos que no hayan sido publicados de manera intencional y consciente por el propio usuario.

Además, se imponen fuertes limitaciones al despliegue de tecnologías de reconocimiento facial y al uso de sistemas automáticos de lectura de matrículas de vehículos (ALPR). A través de estrictas cláusulas contractuales exigidas en las contrataciones estatales y municipales, se prohíbe la transferencia, venta o el libre acceso a la información recopilada por estos lectores de matrículas automáticos, limitando la vigilancia masiva pasiva en los espacios urbanos públicos.

Un mosaico regulatorio que presiona al panorama federal

La inacción histórica del Congreso federal de los Estados Unidos para aprobar una ley integral de privacidad de datos ha obligado a los estados a asumir el rol de laboratorios regulatorios. Con la aprobación de la SB 4 y las recientes actualizaciones a la CTDPA —que redujeron el umbral de aplicabilidad de la ley para alcanzar a más empresas pequeñas y medianas que procesen datos sensibles—, Connecticut se posiciona junto a California en la vanguardia absoluta de la defensa ciudadana.

Para las corporaciones multinacionales y los proveedores de tecnología publicitaria, el cumplimiento normativo se está convirtiendo en un complejo rompecabezas operativo. El costo de mantener infraestructuras técnicas diferenciadas para usuarios de California, Connecticut o Maryland es astronómicamente alto. Esto forzará, eventualmente, a que muchas empresas adopten el estándar de Connecticut y California como su base operativa global dentro del territorio estadounidense, demostrando que la soberanía digital del consumidor ya no es un ideal utópico, sino un imperativo comercial y legal ineludible.