Cómo construir sobre la ley «Mi salud, mis datos» de Washington

English

En 2023, el estado de Washington promulgó una de las leyes de privacidad de datos de los consumidores más estrictas de los últimos años: la ley «mi salud, mis datos» (HB 1155). La EFF elogia a los defensores de los derechos civiles, la privacidad de los datos y la justicia reproductiva que han trabajado para que se apruebe esta ley.

Esta publicación sugiere a los legisladores y defensores de otros estados formas de basarse en la ley de Washington y redactar una con protecciones aún más estrictas. Esta publicación abordará por separado el alcance de la ley (por ejemplo, quiénes están protegidos); sus salvaguardias (por ejemplo, el consentimiento y la minimización); y su aplicación (por ejemplo, el derecho de acción privada). Si bien la ley solo se aplica a una categoría de datos personales —nuestra información de salud—, su estructura podría utilizarse para proteger todo tipo de datos.

Ámbito de protección

Los autores de toda ley de privacidad de datos de los consumidores deben tomar tres decisiones sobre el ámbito de aplicación: ¿Qué tipo de datos están protegidos? ¿De quién son los datos protegidos? ¿Y quién está regulado?

La ley de Washington protege los «datos sobre la salud de los consumidores», definidos como la información vinculable a un consumidor que identifica su «estado de salud física o mental». Esto incluye todo tipo de afecciones y tratamientos, como la atención reproductiva y la reafirmación de género. Si bien el objetivo final de la EFF es la protección de todo tipo de información personal, los proyectos de ley que protegen al menos algunos tipos de datos pueden ser un gran comienzo.

La ley de Washington protege a los «consumidores», definidos como todas las personas físicas que residen en el estado o cuyos datos sobre la salud se han recopilado allí. Lo mejor, como en este caso, es proteger a todas las personas. Si una ley de privacidad de datos protege solo a algunas personas, eso puede incentivar a una entidad regulada a recopilar aún más datos, con el fin de distinguir a las personas protegidas de las no protegidas. Cabe destacar que la definición de «consumidores» de Washington solo se aplica en «un contexto individual o doméstico», pero no en «un contexto laboral»; por lo tanto, los habitantes de Washington necesitarán una ley de privacidad de la salud diferente para protegerse de sus propios jefes entrometidos.

La ley de Washington define como «entidad regulada» a «cualquier entidad jurídica» que: «realice actividades comerciales» en el estado o dirija sus productos o servicios a los residentes; y «determine la finalidad y los medios» del tratamiento de los datos sobre la salud de los consumidores. Esto parece incluir a muchos grupos sin ánimo de lucro, lo cual es positivo, ya que estos grupos pueden tratar de forma perjudicial una gran cantidad de datos personales.

La ley excluye al gobierno de la regulación, lo cual no es inusual en los proyectos de ley sobre privacidad de datos centrados en actores no gubernamentales. Es probable que el gobierno estatal y local deban ser regulados por otra ley de privacidad de datos.

Lamentablemente, la ley de Washington también excluye a «los proveedores de servicios contratados cuando procesan datos en nombre del gobierno». Un corredor de datos u otra empresa orientada a la vigilancia no debería estar libre de regulación solo por trabajar para la policía.

Consentimiento o minimización para recopilar o compartir datos sobre la salud

La parte más importante de la ley de Washington exige el consentimiento o la minimización para que una entidad regulada recopile o comparta los datos sobre la salud de un consumidor.

La ley tiene una definición estricta de «consentimiento». Debe ser «un acto afirmativo claro que signifique el acuerdo libre, específico, informado, optativo, voluntario e inequívoco del consumidor». El consentimiento no puede obtenerse con «términos de uso generales» o «diseños engañosos».

Sin consentimiento, una entidad regulada no puede recopilar ni compartir los datos sobre la salud de un consumidor, salvo cuando sea necesario para proporcionar un bien o servicio que el consumidor haya solicitado. Estas normas se denominan a menudo «minimización de datos». Su ventaja es que el consumidor no tiene que hacer nada para disfrutar de sus derechos legales de privacidad; la carga recae en la entidad regulada, que debe procesar menos datos.

En cuanto a la «venta de datos», la ley de Washington exige un consentimiento reforzado (que la ley denomina «autorización válida»). La venta es la forma más peligrosa de compartir datos, ya que incentiva a las empresas a recopilar la mayor cantidad de datos posible con la esperanza de venderlos posteriormente. Por esta razón, algunas leyes prohíben rotundamente la venta de datos sensibles, como la ley de privacidad de la información biométrica de Illinois (BIPA).

Para contextualizar, hay cuatro formas en que un proyecto de ley o una ley pueden configurar el consentimiento y/o la minimización. Algunas solo exigen el consentimiento, como las disposiciones de la BIPA sobre la recopilación de datos. Otras solo exigen la minimización, como el proyecto de ley federal «mi cuerpo, mis datos». Otras exigen ambas cosas, como el proyecto de ley de privacidad de los datos de localización de Massachusetts. Y algunas exigen una u otra. En distintos momentos y lugares, la EFF ha apoyado las cuatro configuraciones. «O una cosa o la otra» es la más débil, porque permite a las entidades reguladas elegir entre minimizar o solicitar el consentimiento, una elección que tomarán en función de sus beneficios y no de nuestra privacidad.

Dos protecciones de la privacidad de los datos de localización

Los corredores de datos recopilan nuestra información de localización y la venden a cualquiera que pague por ella, incluidos anunciantes, la policía y otros adversarios. Los legisladores están dando pasos adelante para hacer frente a esta amenaza.

La ley de Washington lo hace de dos maneras. En primer lugar, los «datos sobre la salud de los consumidores» protegidos por la norma de consentimiento o minimización se definen de manera que incluyen «la información precisa sobre la ubicación que podría indicar razonablemente el intento de un consumidor de adquirir o recibir servicios o suministros sanitarios». A su vez, la «ubicación precisa» se define de manera que se encuentra dentro de un radio de 1750 pies de una persona.

En segundo lugar, la ley de Washington prohíbe las «cercas geográficas» alrededor de un «servicio de atención médica en persona» si se «utilizan» para uno de los tres fines prohibidos (rastrear a los consumidores, recopilar sus datos o enviarles mensajes o anuncios). Una «cerca geográfica» se define como una tecnología que utiliza el GPS o similares «para establecer un límite virtual» de 2,000 pies alrededor del perímetro de una ubicación física.

Es un buen comienzo. También es mucho mejor que las normas más laxas que solo se aplican a las inmediaciones de lugares sensibles. Estas normas permiten a los adversarios utilizar los datos de localización para rastrearnos mientras nos desplazamos hacia lugares sensibles, observarnos cuando entramos en la pequeña burbuja sin datos que rodea esos lugares y deducir lo que podemos haber hecho allí. Por otro lado, las normas de Washington se aplican a zonas considerables. Además, su norma de consentimiento o minimización se aplica a todos los lugares que puedan indicar la búsqueda de atención médica (no solo a los centros de salud). Y su norma de geovalla prohíbe el uso de datos de ubicación para rastrear a las personas.

Aun así, el mejor enfoque, como en varios proyectos de ley recientes, es simplemente proteger todos los datos de ubicación. Proteger solo un tipo de ubicación sensible, como los lugares de culto, dejará fuera a otros, como los juzgados. Más fundamentalmente, todas las ubicaciones son sensibles, dado el riesgo de que otros utilicen nuestros datos de ubicación para determinar dónde —y con quién— vivimos, trabajamos y socializamos.

Más protecciones de la privacidad de los datos

Otras salvaguardias de la ley de Washington merecen la atención de los legisladores de otros estados:

Las entidades reguladas deben publicar una política de privacidad que revele, por ejemplo, las categorías de datos recopilados y compartidos, y los fines de la recopilación. Las entidades reguladas no deben recopilar, utilizar ni compartir categorías adicionales de datos, ni procesarlos para fines adicionales, sin consentimiento.
Las entidades reguladas deben proporcionar a los consumidores el derecho a acceder y eliminar sus datos.
Las entidades reguladas deben restringir el acceso a los datos únicamente a los empleados que los necesiten y mantener la seguridad de los datos según los estándares del sector.

Aplicación

Una ley solo es tan fuerte como su aplicación. La mejor manera de garantizar su aplicación es facultar a las personas para demandar a las entidades reguladas que violen su privacidad; esto se denomina a menudo «derecho de acción privado».

La ley de Washington establece que su violación es «un acto desleal o engañoso» en virtud de la ley de protección al consumidor del estado. Esa ley, a su vez, prohíbe los actos desleales o engañosos en la conducta comercial. En caso de violación de la prohibición, dicha ley prevé una acción civil para «cualquier persona que resulte perjudicada en [su] negocio o propiedad», con las medidas cautelares de requerimiento judicial, daños y perjuicios reales, daños y perjuicios triples hasta 25 000 dólares y los honorarios y costos legales. Queda por ver cómo aplicarán los tribunales de Washington esta antigua acción civil a la nueva ley «mi salud, mis datos».

Los legisladores de Washington están demostrando que la privacidad es importante para las políticas públicas, pero una afirmación más explícita sería más clara: la invasión del derecho humano fundamental a la privacidad de los datos. Lamentablemente, existe un debate a nivel nacional sobre si la vulneración de la privacidad de los datos, por sí sola, debería ser suficiente para acudir a los tribunales, sin necesidad de demostrar también un daño más tangible, como el robo de identidad. Los mejores modelos legislativos garantizan el pleno acceso a los tribunales de dos maneras. En primer lugar, establecen que «la violación de esta ley en relación con los datos de una persona constituye un daño a dicha persona, y cualquier persona que alegue una violación de esta ley puede interponer una acción civil». En segundo lugar, establecen una cantidad mínima de daños y perjuicios (a menudo denominados «daños y perjuicios liquidados» o «daños y perjuicios legales»), ya que a menudo es difícil demostrar los daños reales derivados de una violación de la privacidad de los datos.

Por último, las leyes de privacidad de datos deben proteger a las personas de los sistemas de «pagar por la privacidad», en los que una empresa cobra un precio más alto o entrega un producto de menor calidad si un consumidor ejerce sus derechos legales de privacidad de datos. Estos sistemas darán lugar a una sociedad de «ricos» y «pobres» en materia de privacidad.

La ley de Washington contiene dos disposiciones útiles. En primer lugar, una entidad regulada «no podrá discriminar ilegalmente a un consumidor por ejercer cualquiera de los derechos incluidos en este capítulo». En segundo lugar, no podrá venderse ningún dato sin una «declaración» de la entidad regulada al consumidor en la que se indique que «el suministro de bienes o servicios no podrá condicionarse a la firma de una autorización válida por parte del consumidor».

Algunos proyectos de ley sobre privacidad contienen un lenguaje más específico, por ejemplo, en estos términos: «una entidad regulada no puede tomar medidas adversas contra un consumidor (como negarse a proporcionar un bien o servicio, cobrar un precio más alto o proporcionar una calidad inferior) porque el consumidor haya ejercido sus derechos de privacidad de datos, a menos que los datos en cuestión sean esenciales para el bien o servicio solicitado y solo en la medida en que los datos sean esenciales».

¿Y el Congreso?

Seguimos necesitando desesperadamente una ley federal integral sobre la privacidad de los datos de los consumidores basada en los principios de «la privacidad primero». Mientras tanto, los estados están tomando la iniciativa. Lo peor que podría hacer ahora el Congreso es impedir que los estados protejan la privacidad de los datos de sus residentes. Los defensores y legisladores de todo el país que deseen asumir esta responsabilidad se beneficiarían de examinar y basarse en la ley «mi salud, mis datos» de Washington.

Related Issues

Privacy

Related Updates

Deeplinks Blog by Paige Collings | August 1, 2025

No, the UK’s Online Safety Act Doesn’t Make Children Safer Online

Young people should be able to access information, speak to each other and to the world, play games, and express themselves online without the government making decisions about what speech is permissible. But in one of the latest misguided attempts to protect children online, internet users of all ages...

Deeplinks Blog by Rindala Alajaji | July 28, 2025

Fuiste a un espectáculo de drag queens y ahora el estado de Florida quiere tu nombre

La EFF lleva mucho tiempo advirtiendo sobre este tipo de abuso de poder: cuando una ley o política supuestamente destinada a la seguridad pública se convierte en una herramienta de represalia política o vigilancia masiva. Ir a un espectáculo de drag queens no debería significar perder su anonimato. No debería...

Deeplinks Blog by Adam Schwartz | July 21, 2025

EFF to Court: Protect Our Health Data from DHS

The federal government is trying to use Medicaid data to identify and deport immigrants. So EFF and our friends at EPIC and the Protect Democracy Project have filed an amicus brief asking a judge to block this dangerous violation of federal data privacy laws.Last month, the AP...

Deeplinks Blog by Paige Collings | July 21, 2025

Dating Apps Need to Learn How Consent Works

Staying safe whilst dating online should not be the responsibility of users—dating apps should be prioritizing our privacy by default, and laws should require companies to prioritize user privacy over their profit. But dating apps are taking shortcuts in safeguarding the privacy and security of users in favour of developing...

Deeplinks Blog by Hudson Hongo, Adam Schwartz | July 21, 2025

Cuando su medidor de energía se convierte en una herramienta de vigilancia masiva

Sacramento’s power company and law enforcement agencies have been running an illegal mass surveillance scheme for years, using our power meters as home-mounted spies. The Electronic Frontier Foundation (EFF) is seeking to end Sacramento’s dragnet surveillance of energy customers and have asked for a court order to stop this practice...

Deeplinks Blog by David Greene, Christoph Schmon | July 17, 2025

We Support Wikimedia Foundation’s Challenge to UK’s Online Safety Act

The Electronic Frontier Foundation and ARTICLE 19 strongly support the Wikimedia Foundation’s legal challenge to the categorization regulations of the United Kingdom’s Online Safety Act.The Foundation – the non-profit that operates Wikipedia and other Wikimedia projects – announced its legal challenge...

Deeplinks Blog by Andrew Crocker | July 10, 2025

EFF Tells Virginia Court That Constitutional Privacy Protections Forbid Cops from Finding out Everyone Who Searched for a Keyword

Online queries can give insight into our private details and innermost thoughts, but police increasingly access them without adhering to longstanding limits on government investigative power.

Deeplinks Blog by Paige Collings, Matthew Guariglia | July 9, 2025

Data Brokers are Selling Your Flight Information to CBP and ICE

For many years, data brokers have existed in the shadows, exploiting gaps in privacy laws to harvest our information—all for their own profit. They sell our precise movements without our knowledge or meaningful consent to a variety of private and state actors, including law enforcement agencies. And they...

Deeplinks Blog by Matthew Guariglia, Hannah Zhao | July 8, 2025

EFF to US Court of Appeals: Protect Taxpayer Privacy

EFF has filed an amicus brief in Trabajadores v. Bessent, a case concerning the Internal Revenue Service (IRS) sharing protected personal tax information with the Department of Homeland Security for the purposes of immigration enforcement. Our expertise in privacy and data sharing makes us the ideal organization to step in...

Deeplinks Blog by Rory Mir, Aaron Mackey | June 26, 2025

Cómo la policía puede obtener tus datos privados en línea

¿Puede la policía obtener tus datos en línea? En términos generales, sí. Existen diversas leyes federales y estatales de EE. UU. que otorgan a las fuerzas del orden la facultad de obtener la información que usted proporciona a los servicios en línea.Sin embargo, hay medidas que usted, como usuario o...

Related Issues

Privacy

Cómo construir sobre la ley «Mi salud, mis datos» de Washington

Cómo construir sobre la ley «Mi salud, mis datos» de Washington

Ámbito de protección

Consentimiento o minimización para recopilar o compartir datos sobre la salud

Dos protecciones de la privacidad de los datos de localización

Más protecciones de la privacidad de los datos

Aplicación

¿Y el Congreso?

Related Issues

Related Updates

Related Issues

Follow EFF:

Contact

About

Issues

Updates

Press

Donate