En 2023, el estado de Washington implementó una de las leyes de privacidad de datos más robustas de los últimos años: la ley “mi salud, mis datos” (HB 1155). Esta normativa ha sido elogiada por defensores de los derechos civiles, la privacidad de datos y la justicia reproductiva, quienes jugaron un papel clave en su aprobación.
La ley se centra en la protección de datos de salud del consumidor, definida como aquella información que se puede vincular a un individuo e identifica su estado físico o mental. Esto abarca una amplia gama de condiciones y tratamientos, incluyendo atención reproductiva y de afirmación de género. Aunque el objetivo final es proteger todos los tipos de información personal, iniciar con la protección de datos de salud es un paso significativo.
Washington protege a todos los «consumidores», que incluye a todas las personas naturales que residen en el estado o cuyos datos de salud han sido recolectados allí. Este enfoque integral evita que las entidades reguladas discriminen entre qué datos son recolectados, incentivando una mayor recolección de información sensible. Sin embargo, la ley excluye del ámbito regulatorio a algunos proveedores de servicios contratados que procesan datos en nombre del gobierno, un aspecto que podría ser problemático.
Uno de los aspectos más cruciales de la ley es que establece la necesidad de obtener consentimiento del consumidor antes de recolectar o compartir su información de salud. La normativa fija una definición clara de «consentimiento», que debe ser un acto afirmativo y voluntario. Sin este consentimiento, las entidades no pueden recolectar o compartir datos, salvo que sea necesario para cumplir con un servicio solicitado.
Además, la ley incluye incitativas para proteger la privacidad de los datos de localización, que muchas veces son recolectados y vendidos a anunciantes y otras entidades. La legislación prohíbe el uso de geocercas en torno a servicios de salud, lo que se traduce en un fuerte resguardo para los consumidores.
Entre otras disposiciones, las entidades reguladas están obligadas a publicar una política de privacidad que detalle los tipos de datos recolectados y su finalidad, así como a brindar a los consumidores la posibilidad de acceder y eliminar su información. También se impone la restricción de acceso a los datos únicamente al personal que realmente lo necesite.
La efectividad de estas regulaciones dependerá en gran medida de los mecanismos de ejecución. La ley de Washington permite que las personas demanden a las entidades que violen sus derechos de privacidad, lo cual es fundamental para asegurar la rendición de cuentas. Asimismo, busca evitar el daño que podría surgir de esquemas donde los consumidores se vean forzados a pagar por mantener su privacidad.
Washington ha demostrado que la privacidad de los datos es un tema esencial en la política pública, aunque es fundamental que se avance hacia un marco más robusto que considere la violación de la privacidad de datos como una lesión legal en sí misma. En medio de un debate nacional sobre la regulación de la privacidad de datos, la experiencia de Washington puede servir de modelo para otros estados que busquen crear leyes que protejan a sus ciudadanos.
Fuente: EFF.org
