Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La preeminencia federal en privacidad ya es una realidad: qué implica la Ley SECURE

La preeminencia federal en privacidad ya es una realidad: qué implica la Ley SECURE

by Danielle Barbour updated mayo 26, 2026 Cumplimiento Regulatorio
Reading Time: 9 minutes

Puntos clave

  1. Impulso coordinado de preeminencia federal. La SECURE Data Act, la GUARD Financial Data Act y el marco de IA de la Casa Blanca reemplazan el mosaico estatal por un único estándar nacional.
  2. 21 leyes estatales de privacidad en riesgo. Leyes integrales como CCPA, CDPA y CPA podrían quedar preeminidas bajo un enfoque de «techo, no piso», trasladando la supervisión a la FTC y a los fiscales generales estatales.
  3. El cumplimiento se redefine. Requisitos como la minimización de datos, el consentimiento explícito y los derechos del consumidor persisten, pero ahora deben alinearse con marcos federales en vez de leyes estatales.
  4. Una plataforma para múltiples marcos. Controles arquitectónicos como ABAC, cifrado y registros de auditoría permiten a las organizaciones adaptarse a reglas federales, estatales y sectoriales sin reconstruir desde cero.

Durante siete años, la privacidad de datos en EE. UU. ha seguido dos caminos paralelos. Las legislaturas estatales promulgaron leyes integrales de privacidad —California primero en 2018, luego otras 20— mientras el Congreso fracasaba repetidamente en aprobar una ley federal. Cada intento previo colapsó por las mismas líneas divisorias: preeminencia sobre la ley estatal, derecho privado de acción y desacuerdo partidista sobre el alcance de la supervisión.

Ese estancamiento se rompió el 22 de abril de 2026. Los republicanos de la Cámara presentaron dos proyectos de ley coordinados para trabajar en conjunto: la SECURE Data Act (HR 8413) y la GUARD Financial Data Act (HR 8398). Juntas establecerían un único estándar nacional, reemplazando el mosaico estatal mediante una amplia preeminencia federal. Llegaron en el contexto del Marco Nacional de Políticas para IA de la Casa Blanca (20 de marzo de 2026), que propone una preeminencia paralela sobre las leyes estatales de IA —nombrando explícitamente la Ley de IA de Colorado como objetivo. El impulso federal de preeminencia ahora es un esfuerzo coordinado de tres frentes que las organizaciones deben anticipar desde ya.

5 puntos clave

1. El impulso federal de preeminencia es ahora un esfuerzo coordinado de tres frentes.

La SECURE Data Act, la GUARD Financial Data Act y el marco de IA de la Casa Blanca establecerían juntos un único estándar nacional y anularían el mosaico estatal que ha definido la privacidad de datos y la regulación de IA en EE. UU. durante siete años. Es el cambio más importante en privacidad de datos desde la CCPA. Las decisiones arquitectónicas de cumplimiento que se tomen en los próximos 12 meses determinarán si las organizaciones solo re-mapean controles o si deben reconstruirlos.

2. Veintiuna leyes estatales de privacidad están en juego.

La CCPA de California, la CDPA de Virginia, la CPA de Colorado y otras 18 leyes estatales integrales de privacidad —además de los registros estatales de corredores de datos y la Delete Act de California— quedarían preeminidas bajo el enfoque de «techo, no piso» del proyecto. La supervisión estatal pasaría a la FTC y a los fiscales generales estatales bajo la ley federal. El mosaico de leyes estatales de privacidad que ha impulsado la inversión en cumplimiento durante siete años ahora está estructuralmente en riesgo.

3. El cumplimiento no se simplifica — se redefine.

La SECURE Data Act sigue imponiendo la minimización de datos, flujos de trabajo de derechos del consumidor, consentimiento explícito para datos sensibles, gobernanza entre controlador y procesador, y obligaciones directas para corredores de datos. La GUARD Act añade requisitos de divulgación de IA para instituciones financieras. Las organizaciones siguen necesitando los mismos controles arquitectónicos —solo que ahora deben mapearlos a un marco diferente. El pronóstico Kiteworks 2026 encontró que el 33% carece completamente de capacidades ABAC.

4. La vía de preeminencia de IA eleva la apuesta arquitectónica.

El marco de la Casa Blanca preeminirá explícitamente las leyes estatales que regulan el desarrollo de modelos de IA, incluida la Ley de IA de Colorado. Para las organizaciones que implementan agentes de IA sobre datos regulados, esto consolida la superficie de cumplimiento pero no reduce la carga de supervisión. El escrutinio federal sobre la gobernanza de datos de IA está aumentando, no disminuyendo —la FTC, HHS, SEC y DoD mantienen y amplían sus propias expectativas relacionadas con IA.

5. La respuesta arquitectónica es una plataforma, múltiples marcos.

Independientemente de qué proyecto se apruebe, los requisitos de control subyacentes —identidad autenticada, controles de acceso basados en atributos, cifrado validado, registros de auditoría a prueba de manipulaciones— son comunes a todos los marcos en discusión. Las organizaciones que construyeron el cumplimiento en torno a controles arquitectónicos solo re-mapean. Las que lo hicieron en base al texto específico de leyes estatales tendrán que reconstruir.

¿Qué estándares de cumplimiento de datos importan?

Read Now

¿Qué hace realmente la SECURE Data Act?

La SECURE Data Act es el proyecto federal de privacidad del consumidor más amplio que ha recibido un impulso legislativo serio desde la CCPA. Sus disposiciones operativas siguen el modelo de Virginia: derechos de exclusión para ventas, publicidad dirigida y elaboración de perfiles; derechos de acceso, corrección, eliminación y portabilidad; consentimiento explícito para datos sensibles; obligaciones entre controlador y procesador; y obligaciones directas para corredores de datos.

La característica estructural que define el proyecto es la preeminencia. La Sección 15 prohíbe que los estados prescriban o apliquen cualquier ley relacionada con las disposiciones de la ley. La Agencia de Protección de la Privacidad de California ha calificado esto como preeminencia total —no un piso federal, sino un techo que reemplaza los regímenes estatales por completo. La carta de la CPPA al Congreso señala que 40 millones de californianos perderían acceso a la plataforma estatal de solicitud de eliminación y exclusión si el proyecto se aprueba tal como está redactado.

La supervisión recaerá en la FTC y los fiscales generales estatales. No existe un derecho privado de acción. Las fechas de entrada en vigor se dividen entre un año (derechos del consumidor, seguridad de datos, disposiciones para corredores de datos) y dos años (la mayoría de las demás disposiciones) después de la promulgación. La ley se aplica a entidades que procesan datos personales de más de 200,000 residentes de EE. UU. o que obtienen más del 50% de sus ingresos de la venta de datos personales —umbrales que abarcan a todas las empresas medianas y grandes.

Lo que llama la atención por su ausencia: disposiciones explícitas sobre IA. La vía de IA se está gestionando en paralelo a través del marco de la Casa Blanca. Las organizaciones que leen la SECURE Data Act de forma aislada pierden de vista la arquitectura coordinada de la preeminencia total.

¿Qué añade la GUARD Financial Data Act?

La GUARD Financial Data Act moderniza la Gramm-Leach-Bliley Act —la ley de 1999 que regula la privacidad en el sector financiero desde hace más de dos décadas. Los dos proyectos están estructurados para evitar superposiciones: la SECURE Data Act exime a las entidades cubiertas por la GLBA; la GUARD Act las regula.

La GUARD Act añade la minimización de datos, limitando la recopilación y divulgación a lo «adecuado, relevante y razonablemente necesario»; un derecho continuo de exclusión para el consumidor; límites al uso de credenciales de acceso a cuentas; avisos de privacidad ampliados; derechos para clientes y exclientes; derechos de eliminación con excepciones para FCRA y requisitos legales de retención; plazos de respuesta de 45 días; y consentimiento explícito para información personal no pública sensible.

Dos disposiciones merecen especial atención. Primero, las divulgaciones obligatorias sobre cómo las instituciones financieras usan IA para recopilar, procesar y utilizar información personal no pública —incluyendo si los datos del consumidor se procesan o divulgan en una «nación cubierta». Segundo, la GUARD Act preeminirá expresamente las leyes estatales que imponen requisitos de privacidad o seguridad de datos a instituciones financieras cubiertas por la GLBA —resolviendo uno de los temas más debatidos en la privacidad de servicios financieros.

Ambos proyectos no alivian el cumplimiento —lo redefinen. Cada flujo de trabajo de derechos del consumidor, control de minimización de datos, puerta de consentimiento explícito y obligación para corredores de datos construido para la ley estatal debe re-mapearse a los requisitos federales.

La vía de preeminencia de IA eleva la apuesta arquitectónica

El marco de IA de la Casa Blanca recomienda que el Congreso preemine las leyes estatales que regulan el desarrollo de modelos de IA y ordena a la FTC y FCC iniciar regulaciones que aclaren la preeminencia federal bajo la ley existente. La Ley de IA de Colorado es nombrada explícitamente como objetivo.

Para las organizaciones que implementan agentes de IA sobre datos regulados, esto consolida la superficie de cumplimiento pero no reduce la carga de supervisión. El escrutinio federal sobre IA está aumentando: la autoridad de la FTC sobre prácticas engañosas bajo la Sección 5 se está extendiendo explícitamente al comportamiento de modelos de IA. Los reguladores sectoriales —HHS para HIPAA, SEC para informes financieros, DoD para CMMC— mantienen sus propias expectativas relacionadas con IA, independientemente de la preeminencia estatal.

El pronóstico Kiteworks 2026 resalta la brecha: el 51% de las organizaciones ya tiene agentes de IA en producción, pero el 41%–44% carece de controles básicos de gobernanza como supervisión humana, monitoreo y minimización de datos. La contención es aún peor: el 55%–63% carece de vinculación de propósito, interruptores de apagado o aislamiento de red. La vía federal de preeminencia de IA traslada la supervisión de reguladores estatales fragmentados a la FTC y reguladores sectoriales —ambos exigirán evidencia de control operativo, no solo políticas escritas.

Por qué la carga de cumplimiento no disminuye

La preeminencia reemplaza 21 leyes estatales de privacidad por una ley federal, pero continúan las regulaciones sectoriales (HIPAA, GLBA, FERPA, COPPA) y las obligaciones internacionales (GDPR, UK GDPR, LGPD, PIPEDA). Una organización multinacional aún debe cumplir con la base legal del GDPR, las limitaciones de propósito de la SECURE Data Act, el acceso mínimo necesario de HIPAA, las familias de control de acceso de CMMC y los requisitos de divulgación de IA de la GUARD Act, todo al mismo tiempo.

El pronóstico Kiteworks 2026 cuantifica la situación de la mayoría de las organizaciones respecto a los controles subyacentes: el 33% carece de registros de auditoría de calidad probatoria, el 87% no tiene planes conjuntos de respuesta a incidentes con socios, el 89% nunca ha practicado IR con proveedores externos, el 33% carece completamente de capacidades ABAC.

Estos son los controles que exige cada marco —estatal, federal, sectorial, internacional—, solo que bajo diferentes nombres. Las obligaciones subyacentes están convergiendo: identidad autenticada, política de acceso basada en atributos, cifrado validado, registros de auditoría a prueba de manipulaciones, minimización de datos, limitación de propósito. Estos elementos aparecen en la CCPA, GDPR, CMMC, HIPAA, PCI DSS, SOX, la SECURE Data Act y la GUARD Act —con distinta terminología pero fondo convergente.

Cómo Kiteworks operacionaliza «una plataforma, múltiples marcos»

La Red de Datos Privados de Kiteworks consolida los canales de intercambio de datos —correo electrónico, uso compartido de archivos, SFTP, MFT, formularios web, APIs, integraciones de IA— que están en el centro de toda regulación de privacidad y cumplimiento, aplicando un único conjunto de controles arquitectónicos en todos ellos.

La identidad autenticada se aplica mediante OAuth 2.0 y SAML/SSO con verificación criptográfica en cada solicitud de acceso. El motor de políticas de datos de Kiteworks evalúa cada solicitud frente a controles de acceso basados en atributos, combinando identidad de usuario (o agente de IA), clasificación de datos y contexto de la solicitud en tiempo real. El cifrado validado FIPS 140-3 protege los datos en reposo y en tránsito. El registro de auditoría es a prueba de manipulaciones, normalizado en todos los canales de intercambio y se transmite a SIEM en tiempo real.

Los paneles de cumplimiento preconfigurados mapean estos controles a requisitos específicos de cada marco: artículos 5, 25 y 32 del GDPR; HIPAA §164.312; familias de control de acceso de CMMC 2.0; requisitos 7 y 10 de PCI DSS; controles generales de TI de SOX; disposiciones de minimización de datos de la SECURE Data Act; obligaciones de divulgación de IA de la GUARD Act. Cuando el panorama regulatorio cambia, los controles subyacentes no cambian —solo el mapeo. Construye los controles una vez; mapea a cada regulación a medida que surja.

Qué deben hacer las organizaciones antes de que avancen los proyectos

Primero, inventaría los canales de intercambio de datos y los datos regulados que circulan por ellos. El pronóstico Kiteworks 2026 encontró que solo el 33% de las organizaciones sabe con certeza dónde almacena sus datos sensibles —una brecha que se convierte en hallazgo bajo cualquier marco que se apruebe.

Segundo, consolida controles arquitectónicos que cumplan con múltiples marcos a la vez. La aplicación de ABAC, el cifrado FIPS 140-3, los registros de auditoría a prueba de manipulaciones y la identidad autenticada cumplen con CCPA, GDPR, HIPAA, CMMC, PCI, SOX y los proyectos federales en discusión. El 33% de las organizaciones carece completamente de capacidades ABAC —cerrar esa brecha es la acción de mayor impacto disponible.

Tercero, construye la capa de gobernanza de IA ahora, no después de que se apruebe la vía de preeminencia de IA. El 51% de las organizaciones tiene agentes de IA en producción pero el 55%–63% carece de controles de contención. La puerta de enlace de datos IA y el servidor MCP seguro proporcionan la gobernanza a nivel de datos —identidad autenticada del agente, aplicación de ABAC, registros de auditoría— que exigirá cualquier marco de IA.

Cuarto, cierra la brecha de preparación con terceros. Ambos proyectos imponen obligaciones sobre los flujos de datos hacia terceros. El 87% de las organizaciones carece de manuales conjuntos de IR con socios y el 89% nunca ha practicado IR con proveedores externos. Re-mapear a marcos federales no soluciona la falta de coordinación subyacente.

Quinto, trata la calidad del registro de auditoría como un requisito arquitectónico fundamental. Cada marco exige evidencia demostrable de cumplimiento. La misma brecha que falla una auditoría GDPR falla una de CCPA, HIPAA, CMMC y la revisión de cumplimiento de la SECURE Data Act. Construye registros de auditoría de calidad probatoria antes de que cualquiera de estos marcos los exija.

Los resultados legislativos son inciertos. Los requisitos arquitectónicos no lo son.

Para saber más sobre gobernanza de datos de IA y cumplimiento normativo, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Esas leyes estatales quedarían preeminidas y el cumplimiento pasaría al marco federal. Las obligaciones sustantivas son similares —derechos de exclusión, minimización de datos, flujos de trabajo de derechos del consumidor— pero la supervisión se consolida en la FTC y los fiscales generales estatales, sin derecho privado de acción. Las organizaciones que construyeron sobre controles arquitectónicos solo re-mapean; las que lo hicieron sobre el texto específico de leyes estatales tendrán que reconstruir. El pronóstico Kiteworks 2026 encontró que el 33% carece de controles de acceso ABAC —el requisito subyacente que comparten todos los marcos.

La GUARD Act moderniza la GLBA con nuevos estándares de minimización de datos, derechos ampliados para el consumidor (acceso, eliminación, consentimiento explícito para datos sensibles) y requisitos de divulgación de IA. También preeminirá las obligaciones estatales de privacidad sobre instituciones cubiertas por la GLBA. El pronóstico Kiteworks 2026 encontró que el 87% de las organizaciones carece de planes conjuntos de respuesta a incidentes con socios —una brecha que persiste tras la modernización de la GLBA y aplica directamente bajo las obligaciones de flujo de datos a terceros de la GUARD Act.

HIPAA no cambia —sigue siendo la ley federal operativa para la información de salud protegida. El marco de IA de la Casa Blanca apunta a leyes estatales de IA, no a regulaciones federales sectoriales. El requisito de personal autorizado de HIPAA sigue aplicando al acceso de agentes de IA. El cifrado FIPS 140-3, la aplicación de ABAC y los registros de auditoría a prueba de manipulaciones cumplen con HIPAA, se preeminen o no las leyes estatales de IA.

CMMC 2.0 no cambia por la preeminencia federal de privacidad —opera bajo la autoridad del DoD y sigue siendo independiente de la SECURE Data Act y el marco de preeminencia de IA. El pronóstico Kiteworks 2026 encontró que solo el 46% de las organizaciones DIB se considera preparada para CMMC. La gobernanza a nivel de datos con identidad autenticada de agentes, ABAC, cifrado FIPS 140-3 y registros a prueba de manipulaciones cumple con los controles AC, AU e IA de CMMC, sin importar cómo se resuelva la preeminencia de privacidad.

Planifica en torno a controles arquitectónicos que cumplan con todos los marcos en discusión: identidad autenticada, aplicación de ABAC, cifrado validado, registros de auditoría a prueba de manipulaciones. El pronóstico Kiteworks 2026 encontró que el 33% de las organizaciones carece de registros de auditoría de calidad probatoria —una brecha que falla simultáneamente auditorías de CCPA, GDPR, HIPAA, CMMC, PCI y la SECURE Data Act. Los resultados legislativos son inciertos; los requisitos de control subyacentes no lo son.

Recursos adicionales

  • Artículo del Blog La lucha por tus datos: cómo las leyes CLOUD y SHIELD enfrentan seguridad y privacidad
  • Artículo del Blog Protege datos sensibles mapeando DSPM a tus objetivos de cumplimiento
  • Brief Las 3 principales infracciones FERPA y cómo evitarlas
  • Artículo del Blog Orden Ejecutiva 14117: Protegiendo los datos personales sensibles de los estadounidenses
  • Artículo del Blog ¿Necesitas cumplimiento NIS2? Empieza con ISO 27001

Preguntas frecuentes

La SECURE Data Act busca establecer un estándar nacional único de privacidad que preemina las leyes estatales existentes, reemplazando el mosaico de 21 regulaciones estatales de privacidad por reglas federales uniformes sobre derechos del consumidor, minimización de datos y obligaciones para corredores de datos, supervisadas por la FTC y los fiscales generales estatales.

La GUARD Act moderniza la GLBA añadiendo requisitos de minimización de datos, derechos ampliados para el consumidor incluyendo eliminación y consentimiento explícito para datos sensibles, mandatos de divulgación de IA y preeminencia explícita sobre leyes estatales de privacidad para instituciones financieras cubiertas por GLBA, mientras la SECURE Data Act exime a esas entidades para evitar superposiciones.

El Marco Nacional de Políticas para IA de la Casa Blanca propone que el Congreso preemine regulaciones estatales de IA, apuntando explícitamente a leyes como la de Colorado, y trasladando la supervisión a agencias federales como la FTC, mientras reglas sectoriales como HIPAA y CMMC permanecen vigentes.

La preeminencia reemplaza leyes estatales por un estándar federal, pero las organizaciones deben seguir cumpliendo reglas sectoriales como HIPAA y GLBA, obligaciones internacionales como GDPR y nuevos requisitos como divulgaciones de IA, todos basados en los mismos controles arquitectónicos clave como la gestión de acceso y los registros de auditoría.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks