Privacidad de datos en Vermont: Nueva ley para borrar información personal

El pasado 16 de junio de 2026, el estado de Vermont consolidó una de las transformaciones regulatorias más profundas en la historia reciente de la tecnología en Norteamérica. Al estampar su firma en los proyectos de ley H.211 y S.71, el gobernador Phil Scott no solo convirtió a Vermont en el estado número 23 en adoptar una regulación de protección al consumidor, sino que estableció un precedente implacable contra la industria multimillonaria del corretaje de información. Este doble golpe legislativo introduce herramientas de control que permiten a los ciudadanos depurar su presencia digital desde la raíz, marcando un hito definitivo en la lucha global por la privacidad de datos.

A diferencia de los enfoques regulatorios tradicionales de otros estados, que a menudo se limitan a replicar normativas previas, la estrategia de Vermont ataca el problema desde dos frentes simultáneos: por un lado, asfixia financieramente y audita de manera estricta a los intermediarios que comercian con nuestra información (data brokers); por el otro, proporciona a los usuarios mecanismos automatizados para que no tengan que luchar individualmente contra cientos de corporaciones para proteger su anonimato.

El renacimiento de la privacidad de datos: El origen de H.211 y S.71

Para comprender la magnitud de estas leyes, es necesario analizar el contexto político del estado. En 2024, el gobernador Phil Scott vetó una ambiciosa ley de privacidad (la H.121) debido a la inclusión del polémico “derecho privado de acción” (private right of action), un mecanismo legal que habría permitido a los ciudadanos demandar directamente a las empresas por violaciones de datos, algo a lo que la industria tecnológica se opuso ferozmente. Tras intensos debates durante la sesión legislativa 2025-2026, los legisladores decidieron fragmentar la agenda de privacidad de datos en dos piezas legislativas complementarias pero independientes:

• H.211: Centrada específicamente en regular, auditar y sancionar a los intermediarios de datos.
• S.71 (VDPOSA): La Ley de Privacidad de Datos y Vigilancia En Línea de Vermont, que establece el marco de derechos de los consumidores frente a cualquier entidad comercial que procese su información.

Este rediseño estratégico permitió eludir el bloqueo corporativo y asegurar la firma del gobernador, dando luz verde a un ecosistema de protección digital que entrará en vigor de manera escalonada a partir de 2027 y 2028.

H.211: Desmantelando el lucrativo y silencioso negocio de los data brokers

La ley H.211 apunta directamente al núcleo del capitalismo de vigilancia: los data brokers. Estas empresas compran, empaquetan y revenden historiales de geolocalización, afiliaciones políticas, direcciones físicas, números telefónicos y datos médicos sin el consentimiento explícito del usuario. La nueva legislación transforma radicalmente la relación de fuerzas mediante las siguientes medidas:

1. El derecho a la eliminación en 30 días

Todos los intermediarios de datos registrados ante el estado están obligados a implementar una página web visible, clara y de fácil acceso dedicada exclusivamente a procesar solicitudes de eliminación de información personal. Una vez que un consumidor envía la solicitud, el data broker tiene un plazo mandatorio e improrrogable de 30 días para purgar por completo dichos registros de sus bases de datos. En caso de que la solicitud sea denegada, la ley garantiza un proceso de apelación estandarizado y supervisado por las autoridades.

2. Hacia el botón único de borrado (“One-Stop Deletion”)

El aspecto más revolucionario de la H.211 es la orden directa a la Secretaría de Estado de Vermont para llevar a cabo y financiar (mediante una partida presupuestaria de $50,000 dólares) un estudio de viabilidad técnica para la creación de un mecanismo de eliminación universal y centralizado. Este portal web permitiría a cualquier ciudadano solicitar, con un solo clic, la eliminación de su huella digital en la totalidad de los intermediarios de datos registrados en el estado, eliminando la extenuante tarea de enviar solicitudes individuales a cientos de empresas.

3. Un severo régimen fiscal y de sanciones

La H.211 trasciende de un modelo basado en la mera divulgación a un estricto régimen de cumplimiento obligatorio. Para lograrlo, los legisladores incrementaron significativamente las barreras de entrada y las multas por incumplimiento:

• Tarifas de registro: La tarifa anual que los intermediarios deben abonar para operar en el estado salta de los simbólicos $100 dólares a los $900 dólares.
• Garantía financiera: Se les exige presentar una fianza o bono de cumplimiento de $20,000 dólares.
• Sanciones por falta de registro: Las multas diarias por operar de manera clandestina se cuadruplican de $50 dólares (con un tope anual de $10,000) a $200 dólares diarios sin límite acumulativo.
• Penalizaciones por información falsa: Cualquier intermediario que presente información materialmente incorrecta en su registro enfrentará multas directas de $25,000 dólares.

Los ingresos generados por estas tarifas y multas se destinarán al nuevo Fondo de Registro de Intermediarios de Datos, garantizando que la propia industria financie las herramientas públicas de fiscalización y el futuro portal de exclusión única.

S.71 y la automatización de la privacidad de datos a nivel de navegador

Complementando las sanciones a los intermediarios de datos, la ley S.71 (conocida formalmente como la Ley de Privacidad de Datos y Vigilancia En Línea de Vermont o VDPOSA) establece un sólido catálogo de derechos de los consumidores frente a las empresas tecnológicas convencionales. Inspirada en el modelo regulatorio de Connecticut, esta ley entrará en vigor el 1 de enero de 2028 y destaca por su enfoque en la automatización técnica de los derechos individuales.

Señales globales de exclusión (Global Privacy Control)

S.71 obliga legalmente a las empresas a reconocer y procesar de forma automática las señales de exclusión voluntaria a nivel de navegador. Esto significa que si un usuario utiliza un navegador enfocado en la privacidad o una extensión compatible con el estándar Global Privacy Control (GPC), las páginas web que visite deberán interpretar esta señal como una orden vinculante para no rastrearlo, no vender sus datos y no perfilarlo para publicidad dirigida, sin necesidad de que el usuario interactúe con molestos banners de cookies o llene formularios individuales en cada sitio.

Límites estrictos al procesamiento de datos sensibles

Bajo la S.71, las empresas tienen prohibido recolectar o procesar datos sensibles sin obtener previamente el consentimiento afirmativo y explícito del consumidor. La definición de datos sensibles bajo este marco abarca:

• Información sobre origen étnico o racial, creencias religiosas o afiliación filosófica.
• Orientación sexual, identidad de género y estado de salud física o mental.
• Datos biométricos: Definidos técnicamente por la H.211 como patrones de venas, huellas dactilares, escaneos de retina, mapas faciales, huellas de voz y patrones de marcha (excluyendo fotografías y grabaciones de audio estándar no procesadas de manera identificativa).
• Geolocalización precisa: Datos que permiten identificar la ubicación de un dispositivo dentro de un radio geográfico estricto de 1,750 pies (aproximadamente 533 metros).

Umbrales de aplicación diferenciados

Para evitar asfixiar a los pequeños comercios locales, la S.71 establece límites de aplicabilidad muy claros para las empresas. La ley regula a las entidades comerciales que operan en Vermont o dirigen sus productos a sus residentes y que, en el año calendario anterior, cumplieron con alguno de los siguientes criterios:

1. Controlaron o procesaron los datos personales de al menos 35,000 consumidores de Vermont (excluyendo transacciones directas).
2. Procesaron datos sensibles de al menos 3,000 consumidores del estado.
3. Obtuvieron ingresos vendiendo datos personales de al menos 3,000 consumidores.

No obstante, la ley introduce una excepción crítica: las disposiciones sobre datos de salud de los consumidores se aplican de manera universal, sin importar los umbrales de volumen antes mencionados, cerrando así cualquier laguna legal para las aplicaciones de salud digital.

La tensión entre la protección del consumidor y el lobby de Big Tech

A pesar de la celebración por parte de los defensores de los derechos digitales, el texto final de la S.71 no estuvo exento de concesiones pragmáticas. La eliminación del derecho privado de acción (que habría permitido litigios individuales de los ciudadanos contra las corporaciones tecnológicas) fue calificada por organizaciones como Consumer Reports como “una lección desafortunada pero clarificadora sobre el poder bruto del lobby de Big Tech”.

En su lugar, la exclusividad de la aplicación de ambas leyes recae en la Fiscalía General de Vermont, que tratará las violaciones a estas normativas como “actos comerciales desleales y engañosos”. Aunque esto reduce el riesgo de demandas colectivas frívolas para las empresas, también significa que la efectividad real de la ley dependerá de la voluntad política y los recursos del regulador estatal.

Asimismo, durante el proceso legislativo, sectores de la banca y los seguros expresaron su preocupación sobre el impacto del “derecho a la eliminación” en actividades de verificación de identidad, aprobación de hipotecas y prevención de fraudes. Ante esto, el marco de Vermont armoniza con excepciones para datos regulados bajo leyes federales como la GLBA (Ley Gramm-Leach-Bliley para instituciones financieras) y la HIPAA (para el sector de la salud), asegurando que el ejercicio legítimo del derecho al olvido no impida el acceso ciudadano a servicios financieros esenciales.

Hacia una web comercial más limpia y transparente

Al entrelazar la purga de intermediarios propuesta por la H.211 con los controles de navegación automatizados de la S.71, Vermont ha edificado un ecosistema de resistencia digital que va mucho más allá de las advertencias pasivas de privacidad. Esta dupla legal no solo obliga a las corporaciones a rendir cuentas, sino que sienta las bases técnicas para que el usuario recupere su soberanía informativa mediante herramientas automatizadas.

Con la implementación de estas leyes en el horizonte cercano, las empresas tecnológicas y educativas (EdTech) —que ahora también enfrentan mayores requerimientos de transparencia estudiantil bajo la H.211— deberán reestructurar de raíz sus arquitecturas de almacenamiento y procesamiento de datos. Para los entusiastas de la privacidad y los defensores de los derechos civiles, las leyes de Vermont constituyen un plano de ingeniería legal sumamente valioso, demostrando que es posible desafiar la inercia del rastreo comercial y legislar en favor de un internet verdaderamente respetuoso del anonimato individual.