Emailing
Protección de Datos en Estados Unidos: ¿Cómo afecta a tu negocio?
Aquí puedes encontrar un historial de los cambios en las leyes de protección de datos en Estados Unidos y sus relaciones con la Unión Europea en el marco del RGPD. El auge y caída del Privacy Shield y qué nos espera en el futuro.
De vez en cuando, la protección de los datos personales acapara todos los titulares y siembra el pánico en el mundo del marketing. Lo vivimos con el RGPD y parece que cada cierto tiempo toca volver a vivirlo con cambios que llegan de otros lugares, como Estados Unidos.
Con todos los países, normativas y regulaciones que existen, es difícil estar al día de lo que ocurre y entender bien cómo pueden afectar al funcionamiento de tu empresa. Pero no te preocupes, que para eso estamos nosotros.
Tabla de contenidos
Cambios en las políticas de protección de datos en los diferentes estados
¿Quieres conocer la historia de Privacy Shield?
¿Cómo es la protección de datos personales en Estados Unidos?
La protección de datos en Estados Unidos es un escenario complejo. Por un lado, porque, a ojos europeos, los estándares de protección de información personal siempre han sido más laxos, más aún desde que entró en vigor el RGPD. Por otro lado, porque en Estados Unidos las normas y reglas para el tratamiento de datos varían entre estados, lo que implica diferentes niveles de seguridad y exigencias dependiendo de dónde opere cada empresa.
Hace unos años la protección de datos en Estados Unidos volvió a saltar a las portadas cuando Donald Trump firmó una ley para permitir a los proveedores de servicios de internet (ISP) vender datos sensibles de los consumidores sin consentimiento previo, invalidando así una norma impulsada por Obama que dictaba lo contrario. Aunque las empresas de internet como Facebook y Google ya tenían acceso a este tipo de información y recopilaban datos de los consumidores sin tener que pedir permiso, ahora los ISP pueden ir más allá y acceder a la información completa sobre todos los sitios web que visita un consumidor.
La Comisión Federal de Comunicaciones (FCC, una agencia independiente del gobierno de EE. UU.) apoyó la decisión de invalidar esta parte del plan de la era Obama para regular internet. Según Ajit Pai, su nuevo director, la normativa impulsada por Trump favorecería que la competencia en el mundo digital fuera más equilibrada.
Sin embargo, defensores de los derechos de internet, incluidos el ex-presidente del FCC, se mostraron indignados por esta ley, que tacharon de norma para beneficiar a las corporaciones frente a los internautas.
Por otro lado, la FCC también declaró en su momento que colaboraría con la Comisión Federal de Comercio (FTC) para devolverle su poder de vigilancia en internet y dejar que “el mayor experto en privacidad de Estados Unidos vuelva a tomar las riendas”.
Cambios en las políticas de protección de datos en los diferentes estados
A pesar de que se ha empezado ya a trabajar en un proyecto de ley para diseñar el marco legislativo que regulará la recogida y el tratamiento de datos en Estados Unidos, a nivel federal, lo cierto es que las últimas noticias han llegado directamente desde los estados.
Obviamente, la gran diferencia entre Estados Unidos y la Unión Europea radica en las competencias a la hora de legislar, que en el caso de Europa recaen sobre el Parlamento Europeo y en el caso de Estados Unidos compete a los estados.
Lo que esto provoca es que, mientras que a este lado del Atlántico contamos con “una norma para gobernarlos a todos” (no podíamos resistirnos…), en EE. UU. no existe una ley federal, sino que cada estado cuenta con su propia legislación de protección de datos a la que debe acogerse.
A raíz de la aprobación del RGPD, y las presiones desde Europa por un endurecimiento de las normativas, varios estados modificaron sus leyes o introdujeron cláusulas nuevas.
Sin embargo, el gran cambio llegó en verano de 2018, cuando California aprobó el California Consumer Privacy Act (CCPA, o Ley de Privacidad del Consumidor de California), una norma inaudita en Estados Unidos por imponer, por primera vez, niveles de protección de datos muy similares a los presentes en el RGPD. Poco tiempo después añadieron la California Privacy Rights Act (o CPRA), que modificaba a la anterior.
Más estados han tomado medidas para actualizar su legislación en este respecto, y se espera que mucho más les sigan. A fecha de hoy, en septiembre de 2024, los estados que tienen leyes de protección de datos más completas (y más similares al RGPD) en activo son: California, Colorado, Connecticut, Oregón, Texas, Utah y Virginia.
Además, unos cuantos estados más han aprobado sus respectivas leyes, que entrarán en vigor en los próximos meses/años (entre paréntesis el nombre y la fecha en la que se hace efectiva la ley):
Montana (Montana Consumer Data Privacy Act, 01/10/2024).
Delaware (Delaware Personal Data Privacy Act, 01/01/2025).
Iowa (Iowa Consumer Data Protection Act, 01/01/2025).
Nebraska (Nebraska Data Privacy Act, 01/01/2025).
New Hampshire (SB 255, 01/01/2025).
New Jersey (SB 332, 15/01/2025).
Tennessee (Tennessee Information Protection Act, 01/07/2025).
Minnesota (Minnesota Consumer Data Privacy Act, 31/07/2025).
Maryland (Maryland Online Data Privacy Act, 01/10/2025).
Indiana (Indiana Consumer Data Protection Act, 01/01/2026).
Kentucky (Kentucky Consumer Data Protection Act, 01/01/2026).
Rhode Island (Rhode Island Data Transparency and Privacy Protection Act, 01/01/2026).
¿Cómo afectan las normas de protección de datos entre EE. UU. y la UE?
Como seguro que ya sabes, porque no nos cansamos de hablar de ello, toda empresa que recopile datos de ciudadanos de la Unión Europea debe cumplir con lo estipulado en el Reglamento General de Protección de Datos, que entró en vigor el 25 de mayo de 2018.
Antes de la llegada del RGPD, el flujo de datos entre Estados Unidos y la Unión Europea estaba regulado por un tratado conocido como el Privacy Shield, que ofrecía a las empresas una forma de auto-certificarse anualmente para garantizar el cumplimiento de una serie de normativas de protección de datos.
La adecuación del Privacy Shield al RGPD quedó invalidada por la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de julio de 2020. Se está trabajando en el Marco Transatlántico de Privacidad de Datos (TDPA, por sus siglas en inglés), pero aún no está en marcha, por lo que el RGPD sigue siendo la referencia en cuanto a transferencias de datos internacionales UE-EE. UU.
El 10 de julio de 2023 se aceptó e implementó por parte de la Comisión Europea un nuevo Marco de Privacidad de Datos UE-EE.UU. (o EU-U.S. Data Privacy Framework, en inglés), que sustituye al Privacy Shield. Esta decisión sigue la orden ejecutiva estadounidense 14086 “Enhancing Safeguards for United States Signals Intelligence Activities” firmada por el Presidente Biden en octubre de 2022.
Este nuevo acuerdo significa que Estados Unidos proporciona un nivel de protección adecuado para los datos personales que recopila y transfiere entre empresas estadounidenses que hayan decidido adecuarse a este Marco de Privacidad de Datos.
La decisión de adecuación para el Marco de Privacidad de Datos UE- EE. UU. permite a compañías de ámbito global tener una base legal alternativa para transferir datos personales a EE. UU. y, a la vez, ofrecer garantías de que solo tendrán acceso las agencias de inteligencia estadounidenses a esos datos europeos en situaciones muy concretas. Además, se establece un mecanismo imparcial de gestión y resolución de quejas de los europeos sobre el acceso por parte de Estados Unidos a sus datos por motivos de seguridad nacional.
Darine Fayed - Vicepresidenta y directora jurídica en EMEA en Sinch
¿Quieres conocer la historia de Privacy Shield?
Hemos hablado bastante del predecesor al nuevo Marco de Privacidad de Datos, Privacy Shield, en el blog de Mailjet. A su vez, su predecesor, Safe Harbor, se invalidó el 6 de octubre de 2015. De hecho, antes de que entrara en vigor el Reglamento General de Protección de Datos, Privacy Shield solía ser una fuente habitual de noticias (y algo de drama) en lo relativo a la transferencia de datos personales a nivel internacional.
Aquí tienes un repaso cronológico a las idas y venidas entre EE. UU. y la Unión Europea en materia de protección de datos:
Octubre de 2015: ¿Qué es Safe Harbor y cómo puede afectar a tu negocio?
Marzo de 2016: ¿Es Privacy Shield el futuro de Europa?
Abril de 2016: Privacy Shield: Trabajo en construcción
Agosto de 2016: Privacy Shield: Nuevo capítulo en la protección de datos personales en Europa
Julio de 2020: La Privacidad importa: garantizamos la seguridad de tus datos
Agosto de 2022: La realidad de la normativa de protección de datos entre la UE y Estados Unidos y su cumplimiento
Julio de 2023: Se adopta el Marco de Protección de Datos UE-EE.UU.
También te puedes suscribir a nuestra newsletter para enterarte antes que nadie de las novedades en materia de protección de datos.
¿Cómo pueden asegurarse las empresas de estar cumpliendo con las normativas?
Desde la llegada del RGPD, la respuesta a esta pregunta es más sencilla de lo que pueda parecer. Independientemente de dónde se encuentre tu negocio, si tu empresa recoge o trata información personal de ciudadanos de alguno de los Estados miembro de la Unión Europea, es imprescindible que cumpla con los requerimientos del Reglamento General de Protección de Datos.
Uno de los puntos más importantes para estar en conformidad con el RGPD es trabajar con proveedores externos que también puedan garantizar su cumplimiento. Echa un vistazo a la política de privacidad de tus proveedores externos (deberías poder encontrarla en su sitio web) para ver cómo tratan y almacenan tus datos personales.
¿Cómo puede ayudarte Mailjet?
En el caso de tu ESP, trabajar con proveedor europeo te ayudará a asegurar el máximo nivel de seguridad. Mailjet, por ejemplo, cuenta con unas Condiciones de Servicio y una Política de Uso Aceptable a los que tendrás que ceñirte para poder enviar tus emails. Puede que esto te parezca un tostón, pero cumplir con la legislación de protección de la privacidad te beneficia como empresa.
Además, Mailjet fue la primera empresa en el mundo en recibir la certificación AFAQ de AFNOR, que garantiza el cumplimiento de los principios fundamentales del RGPD. Además, Mailjet cuenta con las certificaciones ISO 27001 e ISO 27701, que aseguran el máximo nivel de seguridad.
Si quieres estar al tanto de las novedades en materia de protección de datos, pero no quieres consultar la prensa todos los días, suscríbete a nuestra newsletter y te mandaremos todas las actualizaciones que os afectan a ti y a tu empresa.
***
Esta es una versión actualizada del artículo “Protección de Datos en Estados Unidos: ¿Cómo afecta a tu negocio?”, publicado en el blog de Mailjet en febrero de 2019.