La Ley de Datos SEGURA (SECURE Data Act) federal está bajo escrutinio por su posible impacto en la privacidad del consumidor. Están surgiendo preocupaciones de que la ley, si se aprueba, representaría un retroceso significativo respecto a las protecciones actuales, aunque insuficientes, a nivel estatal. Los republicanos del Comité de Energía y Comercio de la Cámara de Representantes introdujeron el borrador de la legislación a fines del mes pasado sin consenso bipartidista. Los críticos argumentan que la ley es más débil que las propuestas anteriores del Congreso y que muchas de las [21 leyes estatales de privacidad del consumidor](https://iapp.org/resources/article/us-state-privacy-legislation-tracker) ya en vigor. ### Preocupaciones sobre la Prelación Un punto importante de controversia es el potencial de la ley para anteponerse a numerosas leyes estatales de privacidad. La Sección 15 de la ley antepondría cualquier "ley, norma, regulación, requisito, estándar u otra disposición [que] se relacione con las disposiciones de esta Ley". Esto podría anular efectivamente las leyes de privacidad del consumidor existentes en 21 estados. Por ejemplo, California mantiene una [herramienta de eliminación de corredores de datos](https://privacy.ca.gov/drop/) y exige que las empresas cumplan con [señales de exclusión voluntaria automáticas](https://www.eff.org/gpc-privacy-badger), incluida una que está integrada en [Privacy Badger de EFF](https://privacybadger.org/#What-is-Global-Privacy-Control). Dado que la Ley de Datos SEGURA tiene disposiciones relacionadas con la privacidad y seguridad de los datos, podría anteponerse a [todas las leyes estatales de notificación de violaciones de datos de los 50 estados](https://www.ncsl.org/technology-and-communication/security-breach-notification-laws) y a [muchas otras](https://www.congress.gov/crs-product/R48667). También podría anteponerse a leyes estatales relacionadas con datos sensibles específicos, como las prohibiciones de venta de información [biométrica](https://www.ilga.gov/Legislation/ILCS/Articles?ActID=3004&ChapterID=57) o de [ubicación](https://www.doj.state.or.us/consumer-protection/id-theft-data-breaches/privacy/privacy-law-faqs-for-consumers/). Algunos [estados como California](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CONS&sectionNum=SECTION%201.&article=I) tienen disposiciones constitucionales que protegen el derecho individual a la privacidad, que puede hacerse cumplir [contra las empresas](https://btlj.org/wp-content/uploads/2025/01/39-2_Ozer.pdf). Esa disposición constitucional, así como los [agravios de privacidad estatales](https://scholarship.law.bu.edu/faculty_scholarship/628/), también podrían estar en peligro si este proyecto de ley se aprobara. ### Falta de Derecho de Acción Privado Otra preocupación importante es la ausencia de un derecho de acción privado, que permitiría a los individuos demandar a las empresas por violaciones de privacidad. Los críticos argumentan que esta omisión socava la efectividad de la ley, ya que es posible que las agencias reguladoras carezcan de los recursos para hacer cumplir el cumplimiento de manera integral. En cambio, la [FTC](https://www.ftc.gov/), junto con los fiscales generales de los estados, tendría la autoridad de aplicación principal. La ley también otorga a las empresas 45 días para "curar" cualquier violación sin penalización después de ser descubiertas. ### Deficiencias en la Configuración de Privacidad y Minimización de Datos La ley también es criticada por sus débiles configuraciones de privacidad predeterminadas, que ponen la carga en los consumidores para optar por no participar en prácticas de datos invasivas. Si bien la ley requiere el consentimiento para el procesamiento de datos sensibles, los críticos argumentan que esto podría dar lugar a solicitudes de consentimiento manipuladoras. La Sección 3 de la ley utiliza el término "minimización de datos", pero solo de nombre. La disposición no limita el procesamiento de datos de una empresa a solo lo que es necesario para proporcionar al cliente el bien o servicio que solicitó. En cambio, la disposición limita el procesamiento de datos a solo lo que una empresa "divulgó al cliente", lo que significa que si está en la política de privacidad confusa que nadie lee, está bien. Y la ley ni siquiera le permitiría restringir ciertos usos de sus datos. A medida que las empresas buscan más datos para los sistemas de IA, muchos usuarios de Internet no quieren que sus datos personales privados se utilicen para entrenar esos modelos. Sin embargo, la ley deja claro que "nada en esta Ley puede interpretarse como una restricción" a una empresa para recopilar, usar o retener sus datos para "desarrollar" o "mejorar" una nueva tecnología. ### Otras Preocupaciones * **Contratistas gubernamentales**: Según la Sección 13(b)(2), los contratistas gubernamentales están exentos de la ley, lo que podría interpretarse erróneamente como una exención para ciertos corredores de datos de las restricciones de venta cuando esas ventas se realizan al gobierno. Este tipo de exención podría beneficiar a empresas de vigilancia como [Clearview AI](https://www.clearview.ai/), que