La Ley de Derechos de Privacidad de los Estadounidenses (APRA) es un proyecto de ley federal de privacidad bicameral propuesto por el Congreso de EE. UU. Si bien el proyecto aborda muchos vacíos de larga data en la ley de privacidad estadounidense, sus reglas sobre publicidad dirigida son notablemente poco claras y a veces contradictorias.

Por qué importa la APRA

EE. UU. todavía carece de legislación federal integral de privacidad, creando un vacío regulatorio que ha dejado a la economía digital sin protecciones básicas significativas. La FTC ha intentado llenar este vacío, y estados individuales como California han aprobado sus propias leyes, pero el mosaico resultante crea complejidad de cumplimiento sin una protección consistente para los consumidores.

Disposiciones clave

Alcance: La APRA se aplica ampliamente pero exime a las pequeñas empresas, entidades gubernamentales y contratistas gubernamentales. Los datos de empleados también están excluidos, lo que muchos críticos consideran una debilidad significativa dado el auge de las herramientas de vigilancia laboral. La ley no reemplaza la legislación específica del sector como HIPAA.

Derechos del consumidor: El proyecto incluye derechos de acceso, corrección, eliminación y portabilidad de datos personales, además del derecho a rechazar la publicidad dirigida y las divulgaciones de datos. También incluye un derecho de acción privada que permite a los individuos demandar por violaciones, aunque muchas disposiciones importantes están exentas de este mecanismo.

Minimización de datos: El procesamiento debe ser necesario, proporcionado y limitado, con una lista detallada de propósitos permitidos. En la práctica, esto crea un marco complejo de reglas amplias y extensas excepciones.

Datos sensibles: Las categorías incluyen datos de salud, geolocalización precisa, información sobre comportamiento sexual, comunicaciones personales, identificadores gubernamentales, datos de menores de 17 años, comportamiento de usuarios entre sitios web y datos comportamentales de las principales plataformas de redes sociales. La divulgación de datos sensibles generalmente requiere consentimiento opt-in.

El problema de la publicidad dirigida

La publicidad dirigida se permite sobre una base de opt-out bajo la APRA, y el proyecto parece prohibir la recopilación de datos exclusivamente con fines publicitarios -- las organizaciones solo pueden usar datos ya recopilados para otros propósitos legítimos.

Sin embargo, la interacción entre las reglas generales de publicidad dirigida y las disposiciones de datos sensibles crea una ambigüedad seria. Las divulgaciones de datos sensibles requieren consentimiento opt-in, pero la publicidad dirigida se rige por reglas de opt-out. Cuando estas disposiciones se superponen -- particularmente respecto a los datos de actividad entre sitios y los datos comportamentales de redes sociales que alimentan la mayoría de la publicidad dirigida -- el resultado no es claro. La publicidad dirigida basada en datos sensibles puede ser opt-in o estar efectivamente prohibida, dependiendo de la interpretación.

Evaluación

Fortalezas: El principio de minimización de datos va más allá de depender del consentimiento, a menudo sin significado real. La prohibición de patrones oscuros en la recopilación de consentimiento es bienvenida. Las categorías de datos sensibles son encomiablemente amplias, y la ley protege los datos de salud que quedan fuera del alcance de HIPAA.

Debilidades: Demasiadas disposiciones están exentas de acción legal privada, lo que potencialmente debilita la aplicación. Las reglas sobre datos sensibles y publicidad dirigida están mal redactadas y son contradictorias. La exclusión de datos de empleados es una brecha seria.

Preempción estatal: La APRA anularía la mayoría de las leyes estatales de privacidad, creando uniformidad pero potencialmente debilitando las protecciones en estados con legislación existente más fuerte. Este tema descarriló el proyecto de ley predecesor de la APRA, la ADPPA.