La Comisión Federal de Comercio (FTC) aplica la ley federal de privacidad de EE. UU. principalmente a través de la Sección 5 de la Ley de la FTC — prohibiendo "prácticas injustas o engañosas" — sin un estatuto federal de privacidad integral equivalente al GDPR. A pesar de este marco más fragmentado, la aplicación de la FTC en 2024 produjo el año de aplicación de privacidad más agresivo en la historia de EE. UU.
Aplicación de la FTC 2024: Actividad Récord
La FTC emitió 19 acciones de aplicación relacionadas con la IA en 2024 — más que en los tres años anteriores combinados. Combinado con 25 leyes de privacidad estatales de EE. UU. promulgadas o activas, las organizaciones estadounidenses enfrentan un mosaico de cumplimiento que rivaliza con la complejidad del GDPR de la UE para las empresas que operan a gran escala.
Casos clave de aplicación en 2024:
Amazon Alexa ($875M, 2023/en curso): Amazon fue multada con $25M en penalidades civiles por violaciones de COPPA y se le exigió eliminar grabaciones de voz de Alexa de niños que se retuvieron ilegalmente. La queja más amplia de la FTC incluía alegaciones de que Amazon retuvo grabaciones de voz más allá de los períodos de retención establecidos y las utilizó para entrenar modelos de IA sin el consentimiento adecuado.
Acuerdos de publicidad conductual de Meta: La FTC prohibió a Meta monetizar datos recopilados de usuarios menores de 18 años, como parte de la supervisión continua de la FTC sobre la orden de consentimiento de privacidad de Meta.
Aplicación contra corredores de datos de IA: La FTC emitió acciones de aplicación contra múltiples corredores de datos que venden perfiles personales analizados por IA sin la divulgación o el consentimiento adecuados — estableciendo que el análisis de datos personales por IA para crear perfiles conductuales constituye un procesamiento "sensible" que requiere una divulgación aumentada.
Aplicación de datos de salud: La autoridad de aplicación de la FTC sobre datos de salud no cubiertos por HIPAA (aplicaciones de consumo, dispositivos portátiles, plataformas de telemedicina fuera de las redes de proveedores de atención médica) produjo múltiples acciones de aplicación dirigidas al intercambio no autorizado de datos de salud.
El Mosaico de Privacidad de EE. UU.: 25 Leyes Estatales
La ausencia de una ley federal de privacidad en EE. UU. ha producido un mosaico de estatutos estatales que cubren colectivamente la mayoría de la población de EE. UU.:
California CPRA (efectiva 2023): La ley estatal más completa de EE. UU., cubriendo a 40 millones de californianos. Se aplica a empresas con ingresos >$25M o que procesan a 100,000+ consumidores de CA. Crea la Agencia de Protección de la Privacidad de California (CPPA) como organismo de aplicación dedicado.
Virginia VCDPA, Colorado CPA, Connecticut CTDPA: Derechos y requisitos similares que cubren a más de 20 millones de residentes en tres estados.
Texas TDPSA, Florida FDBR: Ampliando la cobertura a los dos estados más grandes fuera de California.
Washington My Health MY Data Act: Extiende las protecciones de datos de salud más allá de HIPAA a aplicaciones de salud del consumidor — la ley de datos de salud más agresiva de EE. UU. fuera de California.
Para las organizaciones que operan a nivel nacional, el cumplimiento de las 25 leyes estatales activas requiere una infraestructura de gestión de derechos similar en gran medida al GDPR — solicitudes de derechos de los consumidores, minimización de datos, avisos de privacidad y contratos de procesadores — pero con requisitos específicos variables.
Lo que Significan Técnicamente las Aplicaciones de IA de la FTC
Las acciones de aplicación de IA de la FTC en 2024 establecen una guía práctica:
Transparencia de datos de entrenamiento: Las organizaciones deben poder documentar qué datos personales se utilizaron para entrenar modelos de IA, si el consentimiento fue adecuado para ese uso de entrenamiento y qué período de retención se aplicó.
Limitación de propósito: Los perfiles personales generados por IA no pueden ser utilizados para fines más allá de los que se divulgaron al sujeto de datos. Utilizar análisis conductuales de IA para la selección de empleo cuando solo se divulgó marketing constituye una violación de la Ley de la FTC.
Prácticas de datos de proveedores: La FTC considera que los proveedores de SaaS que acceden y retienen datos de usuarios tienen una responsabilidad de cumplimiento por parte de la organización que los despliega. Una organización que utiliza un CRM, plataforma de análisis o herramienta de IA donde el proveedor procesa datos de usuarios debe divulgar esto en los avisos de privacidad y asegurarse de que las prácticas del proveedor coincidan con los propósitos divulgados.
Arquitectura de conocimiento cero y cumplimiento de la FTC: La preocupación central de la FTC en los casos de proveedores de IA es que los proveedores recopilan, retienen y utilizan datos de usuarios más allá de lo que se divulgó. La arquitectura de conocimiento cero — donde la infraestructura del proveedor solo contiene datos encriptados sin capacidad de desencriptación — significa que el proveedor no puede participar en el uso no divulgado de datos de usuarios. La limitación técnica se alinea directamente con las prioridades de aplicación de la FTC.
Propuesta de Regulación sobre Vigilancia Comercial de la FTC
La propuesta de la FTC sobre prácticas de vigilancia comercial (pendiente a partir de 2025) crearía requisitos explícitos para:
- Minimización de datos para el procesamiento de IA
- Derechos de exclusión para perfiles automatizados
- Límites en el uso secundario de datos recopilados para un propósito
- Requisitos de seguridad para la retención de datos personales
Si se finaliza, esta regla crearía obligaciones de minimización de datos similares a las del GDPR federal aplicables a cualquier organización que sirva a consumidores de EE. UU. — elevando significativamente el estándar de cumplimiento de privacidad en todo el mercado estadounidense.
Fuentes: