Regulaciones privacidad IA: La Nueva Ola de Leyes Estatales en EE. UU. para 2026

La primera parte de 2026 ha marcado un hito crucial en el panorama de la gobernanza de datos y la inteligencia artificial en Estados Unidos. Entre enero y marzo, una oleada de nuevas y enmendadas leyes de privacidad de datos estatales, junto con regulaciones emergentes para el uso de redes sociales por parte de menores y la inteligencia artificial (IA), ha entrado en vigor. Este cambio regulatorio subraya una tendencia innegable: la creciente demanda de transparencia, responsabilidad y control sobre los datos personales y las tecnologías que los procesan. Para las empresas que operan en el dinámico mercado estadounidense, y para aquellas con vínculos con la región de Latam, comprender estas Regulaciones privacidad IA no es solo una cuestión de cumplimiento, sino una necesidad estratégica para salvaguardar la confianza del consumidor y evitar sanciones significativas.

La Nueva Era de las Leyes Integrales de Privacidad de Datos

El 1 de enero de 2026 fue una fecha clave, con la entrada en vigor de nuevas leyes integrales de privacidad del consumidor en Indiana, Kentucky y Rhode Island. Estas leyes, que en gran medida se inspiran en el modelo establecido por la Ley de Protección de Datos del Consumidor de Virginia (VCDPA), otorgan a los consumidores derechos sustanciales sobre su información personal y establecen obligaciones claras para las empresas que la manejan.

Indiana, Kentucky y Rhode Island: Pilares de la Privacidad

La Ley de Protección de Datos del Consumidor de Indiana (ICDPA), efectiva desde el 1 de enero de 2026, se distingue por ser una de las leyes más amigables para las empresas, ofreciendo un período de subsanación obligatorio y permanente de 30 días para presuntas violaciones, una característica poco común entre las leyes de privacidad estatales. La ICDPA también presenta umbrales de aplicabilidad más altos, lo que significa que solo se aplica a entidades que controlan o procesan los datos personales de al menos 100,000 consumidores de Indiana, o de 25,000 si más del 50% de sus ingresos brutos provienen de la venta de datos personales.

De manera similar, la Ley de Protección de Datos del Consumidor de Kentucky (KCDPA), que también entró en vigor el 1 de enero de 2026, aplica a empresas que procesan datos de al menos 100,000 consumidores de Kentucky, o de 25,000 con más del 50% de ingresos de la venta de datos. La KCDPA se alinea con otras leyes estatales al otorgar a los consumidores derechos de acceso, corrección, eliminación y portabilidad de sus datos, así como el derecho a optar por no participar en la publicidad dirigida, la venta de datos personales y ciertos tipos de toma de decisiones automatizadas.

Por su parte, la Ley de Transparencia y Protección de la Privacidad de Datos de Rhode Island (RIDTPPA), efectiva desde la misma fecha, fue la 19ª ley estatal integral de privacidad del consumidor. A diferencia de Indiana y Kentucky, Rhode Island no ofrece un período de subsanación garantizado antes de la aplicación, y las multas por incumplimiento pueden alcanzar hasta $10,000 por violación. La RIDTPPA establece umbrales de aplicabilidad notablemente más bajos, cubriendo a las entidades que controlan o procesan los datos de al menos 35,000 consumidores, o 10,000 consumidores si más del 20% de los ingresos provienen de la venta de datos personales.

Enmiendas en Oregón y la Expansión General de Derechos del Consumidor

Junto a estas nuevas leyes, las enmiendas a la Ley de Privacidad del Consumidor de Oregón también entraron en vigor el 1 de enero de 2026. Aunque los detalles específicos de las enmiendas no se proporcionaron explícitamente en la investigación, la tendencia general de estas leyes integrales es la expansión de los derechos del consumidor, incluyendo:

• El derecho a confirmar si se están procesando datos personales y a acceder a ellos.
• El derecho a corregir inexactitudes en los datos personales.
• El derecho a solicitar la eliminación de datos personales.
• El derecho a la portabilidad de datos, permitiendo a los consumidores obtener una copia de sus datos en un formato fácilmente transferible.
• El derecho a optar por no participar en la venta de datos personales, la publicidad dirigida y la elaboración de perfiles que produzcan efectos legales o significativos.

Para las empresas, esto se traduce en la necesidad de proporcionar avisos de privacidad claros y accesibles, obtener consentimiento explícito para el procesamiento de datos sensibles y llevar a cabo evaluaciones de impacto de protección de datos para actividades de procesamiento de alto riesgo.

Regulaciones Emergentes para Menores y Redes Sociales

El primer trimestre de 2026 también vio la implementación de regulaciones destinadas a proteger a los menores en el entorno digital. Estos desarrollos reflejan una creciente preocupación por el impacto de las redes sociales y las plataformas en línea en la salud mental y el bienestar de los jóvenes.

Restricciones en Virginia y el Derecho a la Cancelación de Cuentas en California

El 1 de enero de 2026, la ley de Virginia que restringe el uso de redes sociales por parte de menores entró en vigor. Esta ley, conocida como Senate Bill 854, requiere que las plataformas de redes sociales utilicen métodos comercialmente razonables, como mecanismos neutrales de pantalla de edad, para determinar si un usuario es menor de 16 años. Una vez identificado, el uso de un menor se limita por defecto a una hora al día por servicio o aplicación, a menos que un padre o tutor otorgue un consentimiento verificable para ajustar este límite. Es importante destacar que la información recopilada para verificar la edad no puede usarse para ningún otro propósito. Aunque la ley fue objeto de un desafío constitucional por parte de NetChoice, una asociación comercial que representa a las principales empresas de tecnología, y se emitió una orden judicial preliminar para bloquear su aplicación a finales de febrero de 2026, su existencia subraya la intención regulatoria de proteger a los menores.

Simultáneamente, la ley de California sobre la cancelación de cuentas de redes sociales (Assembly Bill 656) también se hizo efectiva el 1 de enero de 2026. Esta legislación exige que las plataformas de redes sociales con más de $100 millones en ingresos brutos anuales proporcionen a los usuarios una manera clara y accesible de eliminar sus cuentas. Crucialmente, esta acción debe desencadenar la eliminación completa de los datos personales del usuario. La ley busca combatir las “patrones oscuros” y las complejidades que a menudo dificultan la eliminación de cuentas, asegurando que cuando un usuario elimina su cuenta, sus datos personales no permanezcan en la plataforma.

La Ley de Garantía de la Edad Digital de California (2027)

Mirando hacia el futuro, la Ley de Garantía de la Edad Digital de California, que entrará en vigor el 1 de enero de 2027, requerirá que los desarrolladores de aplicaciones y los proveedores de sistemas operativos envíen señales de verificación de edad en tiempo real. Esto activará el cumplimiento de las leyes existentes de privacidad y seguridad para jóvenes, como la Ley de Protección de la Privacidad en Línea de los Niños (COPPA).

El Frente de la Inteligencia Artificial: Transparencia y Responsabilidad

La inteligencia artificial ha sido otro foco principal de la actividad regulatoria, con varias leyes que buscan abordar los desafíos únicos que presenta esta tecnología avanzada.

Ley de Transparencia de la IA de Frontera de California

La Ley de Transparencia de la Inteligencia Artificial de Frontera de California (TFAIA) se hizo efectiva el 1 de enero de 2026. Esta ley, la primera en EE. UU. centrada en los desarrolladores de modelos de IA de frontera, impone requisitos significativos de transparencia y rendición de cuentas. Los “desarrolladores de frontera”, es decir, aquellos que entrenan modelos de IA a gran escala, deben publicar un marco que describa cómo incorporan las mejores prácticas, identifican y mitigan riesgos, responden a incidentes críticos de seguridad e instituyen prácticas de gobernanza interna. El incumplimiento de estas regulaciones puede acarrear multas civiles de hasta $1 millón por violación.

La Ley de Washington sobre Chatbots de IA de Compañía

El 24 de marzo de 2026, el estado de Washington promulgó una ley (House Bill 2225) que regula específicamente los chatbots de IA de compañía. Esta ley, que entrará en vigor el 1 de enero de 2027, es notable por proporcionar un derecho privado de acción, permitiendo a los individuos demandar directamente a las empresas por violaciones. La ley de Washington aplica a chatbots de IA que utilizan interfaces de lenguaje natural, proporcionan respuestas adaptativas similares a las humanas y mantienen relaciones a lo largo de múltiples interacciones. Los requisitos clave incluyen:

• Divulgación Obligatoria: Los operadores deben revelar clara y conspicuamente que el chatbot es artificial y no humano. Esta divulgación debe aparecer al inicio de la interacción y repetirse cada tres horas para adultos y cada hora para menores.
• Protecciones Mejoradas para Menores: Si un operador sabe que un usuario es menor de edad, debe implementar medidas razonables para prevenir contenido sexualmente explícito o diálogo sugerente, así como técnicas de participación manipuladoras que puedan fomentar una relación emocional o dependencia del chatbot.
• Prevención de Autoagresión y Crisis: Los chatbots deben tener protocolos para identificar expresiones de ideación suicida o autoagresión y dirigir a los usuarios a recursos de crisis.

La inclusión de un derecho privado de acción en la ley de Washington la convierte en una de las regulaciones más estrictas en este espacio, señalando un énfasis legislativo en la protección de poblaciones vulnerables de los daños mitigables de las nuevas tecnologías emergentes.

Clarificación de Obligaciones de IA en Connecticut

El 30 de marzo de 2026, el Fiscal General de Connecticut aclaró las obligaciones de cumplimiento de la IA bajo la Ley de Privacidad de Datos de Connecticut (CTDPA). Este memorando enfatiza que las empresas que desarrollan o utilizan sistemas de IA deben cumplir con los requisitos existentes de la CTDPA, incluyendo:

• Divulgar claramente el uso de datos personales de los consumidores de Connecticut en modelos de IA a través de sus avisos de privacidad.
• Asegurarse de que cualquier uso o intercambio de datos personales obtenidos de terceros sea debidamente divulgado por el recolector de datos original.
• Notificar a los consumidores sobre cualquier cambio en las prácticas de privacidad relacionadas con la IA y proporcionar un mecanismo para que los consumidores retiren su consentimiento.
• Obtener consentimiento explícito para el procesamiento de datos sensibles (salud, biométricos, geolocalización precisa) por sistemas de IA y realizar evaluaciones de impacto de protección de datos para actividades de procesamiento de alto riesgo.
• Mantener salvaguardas de seguridad de datos para prevenir “fugas de datos y resultados errantes” de los sistemas de IA.

Además, el memorando destaca responsabilidades elevadas para las empresas que recopilan o procesan datos de menores, prohibiendo las características de diseño destinadas a aumentar, mantener o prolongar el uso de ofertas impulsadas por IA por parte de menores.

Nuevos Actores y la Protección de Datos Genéticos

La tendencia regulatoria no se limita a las leyes de privacidad generales, sino que también aborda categorías de datos más sensibles y estados adicionales que se unen al movimiento.

Oklahoma se Une al Conjunto de Leyes de Privacidad

Oklahoma se unió a la creciente lista de estados con leyes integrales de privacidad, promulgando la suya el 20 de marzo de 2026. La Ley de Privacidad del Consumidor de Oklahoma (OKCDPA) entrará en vigor el 1 de enero de 2027. Esta ley sigue de cerca el modelo de la VCDPA de Virginia, otorgando a los consumidores derechos similares a los de otras leyes estatales. Aplica a controladores y procesadores que hagan negocios en Oklahoma o dirijan productos/servicios a residentes de Oklahoma y que anualmente controlen o procesen datos personales de al menos 100,000 consumidores, o de 25,000 si más del 50% de sus ingresos brutos provienen de la venta de datos personales. La OKCDPA también exige la obtención de consentimiento para el procesamiento de datos sensibles y la realización de evaluaciones de protección de datos para actividades de alto riesgo. Al igual que Indiana y Kentucky, Oklahoma proporciona un período de subsanación de 30 días, el cual no tiene fecha de caducidad.

La Ley de Privacidad de Información Genética de Dakota del Sur

El 23 de marzo de 2026, Dakota del Sur firmó la Ley de Privacidad de Información Genética (Senate Bill 49), regulando la recopilación y el uso de datos genéticos del consumidor. La ley, que entrará en vigor el 1 de julio de 2026, impone requisitos estrictos a las empresas de pruebas genéticas directas al consumidor. Los requisitos clave incluyen:

• Transparencia y Notificación: Las empresas deben publicar una política de privacidad detallada sobre el procesamiento, la retención y la seguridad de los datos genéticos.
• Consentimiento Explícito: Se requiere un “consentimiento expreso” (una respuesta afirmativa por escrito) para la recopilación, uso y divulgación de datos genéticos, con consentimiento separado para fines específicos como la transferencia a terceros o el uso más allá del propósito principal de la prueba.
• Revocación del Consentimiento: Las empresas deben respetar las revocaciones de consentimiento y destruir las muestras biológicas dentro de los 30 días posteriores a una solicitud.
• Estándares de Seguridad: Se exige el desarrollo y mantenimiento de un programa de seguridad robusto para proteger los datos genéticos.
• Derechos del Consumidor: Los residentes de Dakota del Sur tienen derecho a acceder, eliminar y solicitar la destrucción de sus datos genéticos y muestras biológicas.

La promulgación de esta ley surge en un contexto donde el Fiscal General de Dakota del Sur se unió a una coalición de 29 Fiscales Generales en una demanda de 2025 contra 23andMe, buscando bloquear la venta de datos genéticos personales sin el consentimiento del cliente.

Mirando Hacia el Futuro: Massachusetts y Más Allá

La actividad regulatoria en EE. UU. no muestra signos de desaceleración. Las discusiones continúan en Massachusetts con propuestas como la Ley de Privacidad de Datos de Massachusetts (MDPA) y la Ley de Privacidad de Datos del Consumidor de Massachusetts (MCDPA) siendo consideradas activamente en marzo de 2026. Esto indica que más estados seguirán el camino de la regulación de la privacidad de datos y la IA en los próximos años.

La envergadura de estas nuevas Regulaciones privacidad IA y su entrada en vigor en un período tan concentrado, desde enero hasta marzo de 2026, representa un cambio monumental para las empresas. La complejidad de navegar por este “mosaico” de leyes estatales, cada una con sus propios matices, umbrales y períodos de subsanación, exige un enfoque proactivo y bien informado. Para las empresas en Latam que atienden al mercado estadounidense o procesan datos de sus residentes, la armonización de las prácticas de privacidad y el establecimiento de programas de cumplimiento robustos son imperativos. La era de la autorregulación está dando paso a un entorno donde la transparencia y la responsabilidad no son opcionales, sino requisitos legales con consecuencias financieras y de reputación significativas.