Los republicanos de la Cámara de Representantes presentaron el SECURE Data Act el 21 de abril de 2026, un amplio proyecto de ley federal de privacidad que eliminaría todas las leyes de privacidad del consumidor a nivel estatal en los Estados Unidos a través de una amplia preferencia federal. De promulgarse, la legislación anularía instantáneamente la CCPA/CPRA de California, la CDPA de Virginia, la CPA de Colorado y los marcos de privacidad de aproximadamente otros 20 estados, reemplazándolos con un único estándar federal aplicado exclusivamente por la FTC y los fiscales generales estatales, sin derecho a que los ciudadanos individuales demanden.
¿Qué es el SECURE Data Act?
La "Ley para Asegurar y Establecer Derechos Uniformes de los Consumidores y el Cumplimiento sobre los Datos" (SECURE Data Act) fue presentada por el representante Joyce de Pensilvania en nombre de los republicanos de la Cámara. Sobre el papel, el proyecto de ley otorga a los consumidores cinco derechos fundamentales: acceso a sus datos personales, corrección de registros inexactos, eliminación de datos, portabilidad de datos en un formato utilizable y la capacidad de excluirse de la publicidad dirigida y las ventas de datos. También impone requisitos de minimización de datos y exige el consentimiento para el procesamiento de categorías sensibles de información personal. Se incluye un nuevo registro para corredores de datos administrado por la FTC.
El proyecto de ley se aplica a entidades que manejan datos de 200,000 o más consumidores anualmente y tienen ingresos de $25 millones o más, o a entidades más pequeñas donde al menos el 25% de los ingresos proviene de la venta de datos personales. Este umbral de $25 millones es notablemente más bajo que el piso de $40 millones propuesto en APRA, lo que significa que el SECURE Data Act cubriría técnicamente a más pequeñas empresas, aunque en la práctica, los críticos argumentan que sus protecciones sustantivas más débiles compensan este alcance más amplio.
El problema de la preferencia: 20 estados pierden sus leyes de privacidad
El elemento más trascendental y controvertido del SECURE Data Act es su cláusula de preferencia. El proyecto de ley anularía cualquier ley o disposición estatal que "se relacione con" su materia. Este es un lenguaje intencionalmente amplio, lo suficientemente amplio como para eliminar no solo los estatutos dedicados a la privacidad del consumidor como la CCPA, sino potencialmente los registros de corredores de datos estatales, las leyes de privacidad biométrica y ciertas regulaciones sectoriales también.
La CCPA de California y su sucesor más fuerte, la CPRA, representan el estándar de oro de la ley de privacidad del consumidor de EE. UU. Otorgan a los residentes de California el derecho a saber qué datos recopilan las empresas, el derecho a eliminarlos, el derecho a excluirse de su venta y, lo que es fundamental, un derecho de acción privado por ciertas fallas en la seguridad de los datos. El SECURE Data Act despojaría de todo eso, reemplazando las protecciones de California con un piso federal más débil y eliminando la capacidad de los ciudadanos para hacer valer independientemente sus derechos a través de litigios.
Para los defensores de la privacidad, la preferencia federal en esta forma representa un paso atrás, no hacia adelante. El argumento para un estándar federal es la coherencia para las empresas que operan a través de las fronteras estatales, pero esa lógica solo se sostiene si el estándar federal es al menos tan protector como las leyes estatales más fuertes. El SECURE Data Act no lo es. Está diseñado para reducir la carga de cumplimiento en las grandes empresas de tecnología y los corredores de datos, no para fortalecer los derechos individuales de privacidad.
Sin derecho de acción privado: La brecha de cumplimiento
Bajo el SECURE Data Act, la autoridad de cumplimiento recae completamente en la FTC y los fiscales generales estatales. No hay un derecho de acción privado, lo que significa que un ciudadano estadounidense cuyos derechos de datos sean violados no puede presentar una demanda contra la empresa responsable. Esta es una elección deliberada de los redactores republicanos y refleja el enfoque adoptado en propuestas federales anteriores de privacidad como APRA.
El efecto práctico de eliminar los litigios privados como mecanismo de cumplimiento es significativo. La FTC está crónicamente subfinanciada en relación con la escala de la economía de datos que se le encargaría vigilar. Los fiscales generales estatales tienen recursos limitados y deben priorizar los casos más atroces. Sin la amenaza de demandas colectivas presentadas directamente por los ciudadanos, las empresas enfrentan un riesgo financiero mucho menor por violaciones de privacidad, y la estructura de incentivos para el cumplimiento se debilita en consecuencia.
Qué significa esto para su privacidad digital
Si el SECURE Data Act se aprueba en su forma actual, los estadounidenses en estados que actualmente tienen fuertes protecciones de privacidad se encontrarían con menos derechos exigibles y menos recursos legales cuando se violen esos derechos. El modelo de exclusión (opt-out) del proyecto de ley para la publicidad dirigida, donde sus datos se recopilan de forma predeterminada y usted debe solicitar activamente la exclusión, es más débil que los regímenes de consentimiento de inclusión (opt-in) que algunos estados han comenzado a explorar.
Desde una perspectiva práctica de privacidad, este impulso legislativo subraya una realidad que los usuarios de VPN ya entienden: los marcos legales son una capa de protección de la privacidad, pero no son la única, y no son permanentes. Una VPN encripta su tráfico de Internet y enmascara su actividad de navegación a su ISP, evitando la recopilación de datos a nivel de red que las leyes de privacidad intentan regular después del hecho. A medida que la legislación federal de privacidad se inclina hacia estándares más débiles bajo la presión de la industria, las herramientas de privacidad a nivel de red se vuelven cada vez más importantes como defensa básica.
El proyecto de ley aún debe pasar por el comité y ambas cámaras del Congreso. Se enfrenta a la oposición de organizaciones de derechos digitales y estados que han invertido mucho en sus propios marcos de privacidad. California en particular es poco probable que acepte la preferencia federal de la CCPA sin una lucha política significativa.
