Protección de datos personales: Connecticut aprueba ley contra el doxxing y corredores de datos

En un movimiento que redefine los límites de la soberanía digital en los Estados Unidos, el Senado de Connecticut ha marcado un hito legislativo el 23 de abril de 2026. Con una votación decisiva de 31 a 4, la aprobación del proyecto de ley S.B. 4 no solo representa una victoria para los defensores de la privacidad, sino que establece un nuevo estándar de oro en la protección de datos personales a nivel estatal. Esta legislación, que se sustenta sobre los cimientos de la Ley de Privacidad de Datos de Connecticut (CTDPA) de 2023, aborda de manera agresiva la industria multimillonaria de los corredores de datos o data brokers, empresas que, hasta ahora, operaban en una zona gris legal recolectando, procesando y vendiendo perfiles detallados de ciudadanos sin su consentimiento explícito.

Connecticut a la vanguardia de la protección de datos personales en 2026

La era de la vigilancia comercial masiva enfrenta hoy un obstáculo legal sin precedentes. El S.B. 4 ha sido diseñado para devolver el control de la identidad digital a los individuos, otorgándoles herramientas tangibles para desvincularse de las bases de datos comerciales. La esencia de esta ley radica en su enfoque preventivo y correctivo frente al manejo de la información sensible. En el panorama actual, la protección de datos personales ya no es solo una cuestión de evitar anuncios intrusivos; es una medida de seguridad nacional y personal contra el fraude, la manipulación de precios y el acoso digital.

A diferencia de legislaciones anteriores que ponían la carga de la prueba y la acción sobre el consumidor, el S.B. 4 invierte la ecuación. Ahora, las empresas que comercian con datos deben registrarse, pagar por el privilegio de operar y, lo más importante, someterse a la voluntad del ciudadano que decida desaparecer de sus registros. Este cambio de paradigma es lo que los expertos denominan “privacidad por defecto”, un concepto que busca que el anonimato sea el estado natural y no un lujo difícil de alcanzar.

El fin de la impunidad para los “Data Brokers”

Los corredores de datos han sido, históricamente, los arquitectos invisibles de la economía digital. Estas entidades acumulan miles de puntos de datos sobre cada individuo: desde el historial de compras y la ubicación física en tiempo real, hasta afiliaciones políticas y estados de salud mental. El S.B. 4 define a un data broker como cualquier negocio que vende o licencia datos personales de terceros con los que no tiene una relación directa. Para poner fin a su anonimato operativo, la ley impone las siguientes obligaciones técnicas:

• Registro Anual Obligatorio: A partir del 1 de enero de 2027, todos los corredores de datos que operen en Connecticut deberán registrarse ante el Departamento de Protección al Consumidor (DCP).
• Tasas de Operación: El registro conlleva una tarifa anual de $600, destinada a financiar la supervisión y la infraestructura tecnológica necesaria para proteger a los usuarios.
• Transparencia de Prácticas: Las empresas deben declarar explícitamente si recopilan datos de menores, información de geolocalización precisa o datos biométricos.
• Auditorías Externas: A partir de julio de 2030, se requerirá que estas empresas se sometan a auditorías independientes cada tres años para verificar el cumplimiento de las solicitudes de eliminación de datos.

El mecanismo de eliminación universal: Un “botón de pánico” digital

Inspirado directamente por la “Delete Act” de California, Connecticut implementará un mecanismo de eliminación universal. Este es quizás el componente más revolucionario de la ley en términos de protección de datos personales. Actualmente, si un ciudadano desea borrar su información de los corredores de datos, debe contactar individualmente a cientos de empresas, un proceso que la legislatura de Connecticut ha calificado como una “tarea de Sísifo”.

Con el nuevo sistema, el estado desarrollará una interfaz centralizada, accesible y gratuita que permitirá a los residentes emitir una única solicitud de eliminación. Una vez activada, esta orden es vinculante para todos los data brokers registrados en el estado. Técnicamente, la ley exige que:

1. Los corredores de datos verifiquen el registro centralizado al menos cada 45 días.
2. Eliminen de forma definitiva cualquier dato asociado al usuario solicitante en sus sistemas principales y copias de seguridad.
3. Se abstengan de volver a recolectar o vender información sobre esa persona en el futuro, bloqueando cualquier re-identificación mediante procesos de enriquecimiento de datos.

Derechos contra el Doxxing: El control sobre la presencia pública

El término doxxing —la práctica malintencionada de investigar y publicar información privada de alguien en internet— ha pasado de ser un problema de nicho a una amenaza real para la seguridad física de las personas. El S.B. 4 aborda esta problemática de raíz al otorgar a los residentes el derecho legal de exigir la retirada de su información de directorios públicos y sitios de búsqueda de personas que facilitan el acoso.

La legislación reconoce que la información pública, cuando se agrega y se hace fácilmente rastreable, se convierte en un arma. Al permitir que los ciudadanos “limpien” su rastro digital, Connecticut protege especialmente a víctimas de violencia doméstica, funcionarios públicos y minorías vulnerables. La protección de datos personales bajo esta ley incluye el derecho a solicitar que información como direcciones residenciales, números telefónicos privados y registros de propiedad sean eliminados de los motores de búsqueda comerciales que se alimentan de bases de datos de corredores.

Protección de datos biológicos y genéticos: El último bastión de la privacidad

Uno de los puntos más innovadores del S.B. 4 es la inclusión de protecciones específicas para la información biológica y genética. Con el auge de los kits de ADN para ascendencia y las aplicaciones de salud, los datos genéticos se han convertido en activos valiosos para aseguradoras y empresas de biotecnología. Sin embargo, a diferencia de una contraseña o un número de tarjeta de crédito, el ADN no se puede cambiar.

La ley establece que los datos genéticos son una categoría de “información sensible” de alto nivel. Esto significa que:

• Está prohibida la venta de datos biológicos sin un consentimiento por escrito, específico y separado de los términos y condiciones generales.
• Las empresas que manejen estos datos deben implementar protocolos de cifrado y seguridad de nivel militar.
• Los ciudadanos tienen el derecho absoluto de solicitar la destrucción de sus muestras biológicas y la eliminación de sus perfiles genéticos de cualquier base de datos comercial.

Transparencia algorítmica y el fin de los precios discriminatorios

La protección de datos personales también se extiende al ámbito económico mediante la regulación de lo que se conoce como “precios de vigilancia”. Muchas plataformas de comercio electrónico utilizan algoritmos para ajustar los precios en tiempo real basándose en el perfil del usuario: su ubicación, el dispositivo que usa o su historial de compras previo.

El S.B. 4 exige que las empresas revelen si están utilizando precios algorítmicos personalizados. Los defensores de la ley argumentan que el uso de datos personales para cobrar más a un cliente por el mismo producto —simplemente porque el algoritmo detecta que tiene mayor capacidad de pago o una necesidad urgente— es una práctica depredadora. Esta medida busca garantizar una competencia justa y evitar que la información privada sea utilizada como una herramienta de discriminación económica.

Impacto en instituciones financieras y exenciones de entidad

Históricamente, muchas instituciones financieras estaban exentas de las leyes estatales de privacidad debido a que ya estaban reguladas por leyes federales como la Ley Gramm-Leach-Bliley (GLBA). No obstante, estas exenciones solían aplicarse a la “entidad” completa, dejando desprotegidos otros tipos de datos que el banco pudiera recolectar fuera de los servicios financieros tradicionales.

El S.B. 4 elimina estas exenciones a nivel de entidad. Ahora, la ley se aplica según el tipo de datos procesados. Si un banco recolecta información de comportamiento en su sitio web que no es estrictamente necesaria para la prestación de un servicio financiero regulado, dichos datos caen bajo la jurisdicción del S.B. 4. Este cierre de brechas legales asegura que ninguna organización, por grande o regulada que sea, tenga un “cheque en blanco” para comercializar la vida digital de los residentes de Connecticut.

Además, la ley redefine lo que se considera “información disponible públicamente”. Anteriormente, las empresas podían evadir las restricciones alegando que los datos procedían de registros públicos. Con la nueva definición, si una empresa combina datos públicos con datos privados para crear un perfil de consumidor detallado, ese perfil completo se considera información protegida y está sujeto a todas las regulaciones de la ley.

Conclusión: Hacia una soberanía digital robusta

La aprobación del S.B. 4 en el Senado de Connecticut es una señal clara de que el tiempo de la autorregulación en la industria tecnológica ha terminado. Al fortalecer la protección de datos personales con mecanismos de ejecución reales y técnicos, el estado no solo protege a sus ciudadanos de estafadores y actores maliciosos, sino que también fomenta una economía digital basada en la confianza y el respeto mutuo.

Para los residentes de Connecticut, el mensaje es de empoderamiento: su identidad ya no está a la venta de forma indefinida. Para las empresas, el mensaje es de responsabilidad: la privacidad debe ser integrada en el diseño de cada producto y servicio. A medida que otras naciones y estados observan el éxito de este “botón de eliminación universal”, es probable que el modelo de Connecticut se convierta en el estándar global para la defensa de los derechos humanos en el siglo XXI. La seguridad digital, en última instancia, no es un privilegio técnico, sino un derecho fundamental que hoy, en Connecticut, es más sólido que nunca.