Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Ley de Privacidad en Línea 2026: Redefiniendo el cumplimiento de datos en EE. UU.

Ley de Privacidad en Línea 2026: Redefiniendo el cumplimiento de datos en EE. UU.

by Danielle Barbour updated abril 21, 2026 Cumplimiento Regulatorio
Reading Time: 11 minutes

El 19 de marzo de 2026, la representante Zoe Lofgren (D-CA-18) presentó en la Cámara de Representantes de EE. UU. la H.R. 8014, la Ley de Privacidad en Línea de 2026. Con 151 páginas distribuidas en seis títulos, es la propuesta federal de privacidad más integral que ha llegado a la Cámara en esta década. Su presentación, en un año marcado por la proliferación de leyes estatales de privacidad y regulaciones de IA, ha redefinido el debate sobre cómo debe ser la gobernanza de datos empresariales en EE. UU. para 2028.

Puntos clave

  1. La H.R. 8014 establece la base federal de privacidad más completa jamás propuesta en EE. UU. La representante Zoe Lofgren presentó la Ley de Privacidad en Línea de 2026, de 151 páginas, el 19 de marzo de 2026. El proyecto crea derechos individuales, obligaciones corporativas sobre datos, deberes de seguridad, requisitos de notificación de brechas y una Agencia de Privacidad Digital dedicada con autoridad normativa y de cumplimiento.
  2. El proyecto desplaza el cumplimiento del modelo de aviso y elección hacia la minimización de datos. Las entidades cubiertas tendrían prohibido recolectar más información personal de la razonablemente necesaria para proveer un producto o servicio solicitado, y no podrían reutilizar esa información sin justificación específica. Esto rompe con dos décadas de práctica estadounidense en privacidad.
  3. Un «derecho a la impermanencia» transforma la economía de la retención de datos. El proyecto otorga a las personas el derecho a decidir cuánto tiempo las entidades cubiertas pueden conservar sus datos personales. Junto con la obligación de minimización, esto obliga a las empresas a incorporar la gobernanza de retención en la arquitectura de datos, en lugar de gestionarla solo con políticas.
  4. El cumplimiento se amplía mucho más allá de la situación actual de la FTC. La Agencia de Privacidad Digital absorbería ciertas funciones de privacidad de la FTC, obtendría autoridad normativa, impondría sanciones civiles y operaría junto a los fiscales generales estatales y la Agencia de Protección de la Privacidad de California. Un derecho privado de acción completa la arquitectura de cumplimiento.
  5. La aprobación es incierta, pero la respuesta empresarial no debe esperar. El proyecto está actualmente en el Comité de Energía y Comercio de la Cámara con una sola patrocinadora, y versiones previas no avanzaron. Sin embargo, leyes estatales como la Ley de Privacidad de Datos en Línea de Maryland y las próximas obligaciones de la Ley de IA de Colorado ya convergen en requisitos similares. Las organizaciones que construyan infraestructura de gobernanza ahora enfrentarán menos costos de adaptación, independientemente de si la H.R. 8014 se convierte en ley.

La aprobación sigue siendo incierta. El proyecto tiene una sola patrocinadora y está en el Comité de Energía y Comercio de la Cámara, con referencias adicionales a los comités de Justicia y Ciencia, Espacio y Tecnología. Versiones anteriores de la Ley de Privacidad en Línea se presentaron en 2019, 2021 y 2023, sin avanzar. Lo que cambia en 2026 es el entorno regulatorio: la Ley de Privacidad de Datos en Línea de Maryland está en vigor, Connecticut ha endurecido su ley de privacidad, la Ley de IA de Colorado entra en vigor en 2026 y las regulaciones sobre Tecnología de Toma de Decisiones Automatizadas de la Agencia de Protección de la Privacidad de California comienzan a aplicarse en enero de 2027. Puede que la base federal no se apruebe, pero el piso regulatorio sube estado por estado, y la H.R. 8014 señala hacia dónde se dirige ese piso.

¿Qué haría realmente la Ley de Privacidad en Línea?

El proyecto crea un marco federal de privacidad basado en derechos, con disposiciones que se asemejan mucho más al GDPR que a las leyes sectoriales estadounidenses que complementaría. El Título I establece derechos individuales como acceso, corrección, eliminación, portabilidad de datos, revisión humana de decisiones automatizadas con impacto y un «derecho a la impermanencia» que permite a los usuarios decidir cuánto tiempo las empresas pueden conservar sus datos. El Título II impone obligaciones a las entidades cubiertas: minimización de datos, restricciones al acceso de empleados y contratistas, prohibiciones de divulgar contenidos de comunicaciones, veto a los «patrones oscuros» en los procesos de consentimiento y requisitos afirmativos de aviso y consentimiento.

El Título III crea la Agencia de Privacidad Digital, una nueva agencia federal independiente con autoridad normativa, poderes de investigación y presupuesto propio. La agencia absorbería ciertas funciones de privacidad de la FTC, gestionaría el cumplimiento, tramitaría quejas y emitiría regulaciones. El Título IV cubre el cumplimiento: investigación administrativa, sanciones civiles, cumplimiento por parte de fiscales generales estatales, derecho privado de acción, protección a denunciantes y remisiones penales en circunstancias específicas. El Título V preserva protecciones estatales más estrictas en lugar de anularlas, y el Título VI encarga a NIST y NSF el desarrollo de guías de gestión de riesgos de privacidad.

La lógica estructural es deliberada. En lugar de complementar leyes sectoriales como HIPAA, GLBA y COPPA con una base federal limitada, la H.R. 8014 establece una base integral y deja las leyes sectoriales y estatales como capas adicionales. Esa arquitectura se parece más a la relación del GDPR con las leyes nacionales que a cualquier propuesta federal estadounidense previa.

La obligación de minimización de datos reestructuraría las prácticas empresariales

Las disposiciones de minimización de datos del proyecto, concentradas en la Sección 201, representan el cambio operativo más relevante para el cumplimiento empresarial. Las entidades cubiertas tendrían prohibido recolectar más información personal de la necesaria para proveer el producto o servicio solicitado por el usuario, y procesar esa información para otros fines salvo condiciones específicas. Esto supone un cambio estructural respecto al paradigma estadounidense de aviso y elección, que ha permitido cualquier recolección de datos divulgada en una política de privacidad.

Bajo un régimen de minimización, la pregunta de cumplimiento pasa de «¿Divulgamos este procesamiento?» a «¿Es necesario este procesamiento para el producto o servicio solicitado por el usuario?» Para la mayoría de las empresas, esta es una pregunta mucho más difícil de responder. Analíticas de comportamiento de clientes, personalización de marketing, telemetría de desarrollo de productos, conjuntos de datos para entrenamiento de IA y acuerdos de intercambio de datos con terceros requieren justificaciones claras de necesidad. Muchas no resistirán el escrutinio.

El Informe de Amenazas de Datos Thales 2026 reveló que solo el 34% de las organizaciones conocen completamente dónde se encuentran sus datos, y saber la ubicación es un requisito previo para evaluar si la recolección y el procesamiento son realmente necesarios. Una obligación de minimización, aplicada mediante sanciones civiles y derechos privados de acción, genera presión inmediata para construir inventarios de datos que vinculen los propósitos de recolección con la necesidad operativa, conjunto por conjunto de datos.

La restricción adicional sobre el acceso de empleados y contratistas amplifica el cambio operativo. La Sección 202 exigiría a las entidades cubiertas limitar el acceso interno a información personal y contenidos de comunicaciones a lo estrictamente necesario para la función del empleado. Esto contrarresta el patrón común de otorgar acceso amplio a equipos de analítica, ingeniería y producto, confiando en políticas en lugar de controles técnicos para evitar usos indebidos.

El «derecho a la impermanencia» cambia la arquitectura de datos, no solo la política

La creación del «derecho a la impermanencia» —el derecho de las personas a decidir cuánto tiempo las entidades cubiertas pueden conservar sus datos personales— es un requisito arquitectónico presentado como un derecho. La gobernanza de retención históricamente se ha gestionado con políticas, tareas programadas de eliminación y transiciones a archivos. Un derecho individual exigible mediante acción privada, combinado con la minimización que exige justificación para la retención, convierte la retención en una cuestión operativa por sujeto de datos y por conjunto de datos.

En la práctica, la arquitectura de datos empresarial debe permitir la retención dirigida por el usuario. Los flujos de datos que agregan, transforman, desnormalizan o replican datos personales deben propagar señales de eliminación aguas abajo y confirmar la eliminación en cada etapa. Los sistemas analíticos que dependen de datos históricos deben gestionar solicitudes selectivas de eliminación sin corromper estadísticas agregadas. Los conjuntos de entrenamiento de IA requieren trazabilidad para que las eliminaciones solicitadas se reflejen en futuras actualizaciones del modelo.

Esto es similar al derecho de supresión del artículo 17 del GDPR, pero la H.R. 8014 lo plantea de forma más contundente. Mientras que el GDPR aplica el derecho de supresión en circunstancias específicas, la impermanencia es una elección general del usuario. Una organización que no pueda cumplir operativamente con los plazos de retención dirigidos por el usuario enfrentará derechos privados de acción a gran escala, que es el mecanismo de cumplimiento más probable para generar presión real en ausencia de una Agencia de Privacidad Digital totalmente financiada.

Las disposiciones sobre toma de decisiones automatizadas y gobernanza de IA anticipan el futuro regulatorio de IA en EE. UU.

Los requisitos de revisión humana para «decisiones automatizadas con impacto» posicionan el proyecto junto a la nueva ola de leyes estatales específicas de IA, como la Ley de IA de Colorado, la Ley de Gobernanza Responsable de IA de Texas (enero de 2026) y la Ley de Transparencia de IA de California. El enfoque federal es relevante porque extiende las obligaciones de gobernanza de IA más allá de las categorías de alto riesgo que regulan Colorado y la Ley de IA de la UE, aplicando derechos de revisión humana a cualquier decisión automatizada con impacto material en una persona.

Combinado con la minimización, esto tiene consecuencias directas para el entrenamiento e implementación de IA. Los datos de entrenamiento deben cumplir la minimización. La implementación de modelos debe ofrecer vías de revisión humana para decisiones con impacto. Los derechos de retención deben respetarse tanto en los datos de entrenamiento como, potencialmente, en los resultados de modelos que contengan datos personales. El modelo implícito es que la gobernanza de IA no es una vía regulatoria separada, sino una obligación de gobernanza de datos aplicada a los casos de uso de IA.

Este enfoque coincide con la opinión del EDPB de diciembre de 2024, que establece que los modelos de IA entrenados con datos personales no pueden considerarse automáticamente anónimos, y con un fallo de un tribunal alemán de noviembre de 2025 (mencionado en la evaluación 2026 del Future of Privacy Forum) que trató los modelos como «copias» a efectos de propiedad intelectual. La convergencia entre jurisdicciones es que los sistemas de IA son sistemas de datos, sus datos de entrenamiento son datos personales y sus obligaciones de gobernanza son obligaciones de gobernanza de datos.

La Agencia de Privacidad Digital y la arquitectura de cumplimiento ampliada

El Título III del proyecto crea una Agencia de Privacidad Digital con poderes que superan ampliamente la autoridad actual de la FTC en privacidad. La DPA tendría presupuesto propio, autoridad normativa, una Oficina de Derechos Civiles, mecanismos de denuncia, gestión de quejas y coordinación con reguladores estatales. Sus poderes incluyen investigación administrativa, sanciones civiles, remisión a procesos penales y facultad de litigar en tribunales federales.

El derecho privado de acción del Título IV es el mecanismo de cumplimiento más probable para generar comportamientos de cumplimiento reales, independientemente de los recursos de la DPA. Los derechos privados de acción en leyes de privacidad históricamente impulsan respuestas organizacionales más contundentes que la aplicación administrativa, ya que los abogados de los demandantes agrupan reclamaciones y las persiguen a escala. El derecho privado de acción de la CCPA de California para filtraciones de datos ha generado una presión litigiosa considerable; un derecho privado más amplio bajo la H.R. 8014 abarcaría violaciones de derechos individuales y obligaciones clave, extendiendo esa presión a todo el ciclo de vida de la privacidad.

El cumplimiento estatal por parte de fiscales generales y la autorización explícita para reguladores estatales como la Agencia de Protección de la Privacidad de California significa que el proyecto no depende de la capacidad federal para garantizar la aplicación. El efecto acumulativo sería que el cumplimiento en EE. UU. escalaría desde la división de privacidad de unas 40 personas de la FTC a una agencia federal dedicada, derecho privado de acción, cumplimiento de fiscales generales estatales y reguladores estatales operando en paralelo. Es la infraestructura de cumplimiento que el GDPR ha tenido en Europa, donde las multas en 2024 y 2025 superaron cada año los 1.200 millones de euros según el DLA Piper GDPR Fines and Data Breach Survey.

Por qué el piso regulatorio sube con o sin la H.R. 8014

Las perspectivas de aprobación del proyecto son débiles en el Congreso actual. El 119º Congreso no ha avanzado legislación federal integral de privacidad, el proyecto tiene una sola patrocinadora y la Ley de Derechos de Privacidad Estadounidense de 2024 se estancó tras negociaciones bipartidistas. Pero la acción estatal está haciendo que la cuestión federal sea cada vez más académica. El análisis de OneTrust 2026 documentó el panorama actual de leyes estatales: leyes de privacidad vigentes en Nueva Jersey, Tennessee y Minnesota; enmiendas en Connecticut para reducir umbrales y ampliar datos sensibles; la Ley de Privacidad de Datos en Línea de Maryland efectiva el 1 de octubre de 2025; y la primera multa significativa de la CCPA en California impuesta en 2025.

Las leyes estatales de IA suman otra capa —Ley de IA de Colorado en 2026, Ley de Gobernanza Responsable de IA de Texas en enero de 2026, Ley de Transparencia de IA de California en 2026— junto con el endurecimiento de la privacidad infantil mediante reglas actualizadas de COPPA y leyes de diseño apropiado para la edad en Nueva York y Vermont.

El efecto acumulativo es que las organizaciones que atienden a consumidores estadounidenses a gran escala ya están sujetas, en la práctica, a obligaciones que la H.R. 8014 codificaría a nivel federal: minimización de datos bajo Maryland, Connecticut y Colorado; gobernanza de decisiones automatizadas bajo Colorado, Texas y California; derechos de acceso y eliminación en más de 20 leyes estatales; y protección reforzada de datos sensibles en la mayoría de los marcos estatales integrales. Las organizaciones que construyen infraestructura de cumplimiento para este mosaico multiestatal, en la práctica, se están preparando para la H.R. 8014 o cualquier versión federal futura.

Gobernanza a nivel de datos como respuesta arquitectónica

Las obligaciones específicas de la H.R. 8014 —minimización, limitación de propósito, gobernanza de retención, cumplimiento de derechos de acceso, supervisión de decisiones automatizadas, controles de acceso de empleados, notificación de brechas y evidencia de auditoría— comparten una característica arquitectónica. Solo pueden cumplirse si los propios datos llevan propiedades de gobernanza que sobreviven a copias, transformaciones, análisis y entrenamiento de IA. El cumplimiento a nivel de políticas, basado en intenciones bien documentadas, no es suficiente. El cumplimiento a nivel de aplicación, que depende de que cada aplicación respete las reglas de gobernanza, genera brechas en los puntos de integración. El cumplimiento a nivel de datos, que aplica propiedades de gobernanza a los datos sin importar la aplicación o flujo de trabajo, es la arquitectura que escala.

Kiteworks funciona como un plano de control a nivel de datos para correo electrónico, uso compartido de archivos, transferencia gestionada de archivos, formularios seguros, APIs e integraciones de IA. Varias capacidades se alinean directamente con los requisitos de la H.R. 8014. El Motor de Políticas de Datos de Kiteworks aplica controles de acceso basados en atributos en cada interacción con los datos, incluyendo las restricciones de acceso de empleados y contratistas de la Sección 202. Los controles de soberanía de datos y geoperimetraje permiten cumplir requisitos jurisdiccionales superpuestos con el marco de la H.R. 8014. Registros de auditoría integrales con feeds SIEM en tiempo real generan pruebas inalterables de cada acceso, procesamiento y divulgación, la base probatoria tanto para investigaciones de la DPA como para la defensa ante derechos privados de acción. La capacidad de IA Cumplimiento de Kiteworks extiende la gobernanza al acceso de agentes de IA, asegurando que el uso de datos por IA esté sujeto a las mismas políticas basadas en atributos, seguimiento de consentimientos y registros de auditoría que el acceso iniciado por humanos.

El argumento arquitectónico no es que la gobernanza a nivel de datos elimine la necesidad de entender leyes específicas. Es que produce controles lo suficientemente uniformes para adaptarse a los cambios normativos. Una organización cuya gobernanza reside en controles a nivel de datos —datos etiquetados, acceso basado en atributos, registros inalterables, evidencia de auditoría consolidada— se adapta a legislaciones sucesoras sin reconstruir todo. Una organización cuya gobernanza depende de la lógica de aplicaciones y documentos de políticas debe rehacer el cumplimiento cada vez que la legislación cambia.

¿Qué debe hacer tu programa de cumplimiento antes de la sesión del Congreso de 2027?

Primero, toma el mosaico de leyes estatales de privacidad como la base operativa. El Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 identificó que las organizaciones que usan 5 o más herramientas separadas para el intercambio seguro de datos enfrentan un riesgo de cumplimiento sistemáticamente mayor. Consolidar bajo una gobernanza unificada simplifica el cumplimiento frente a Maryland, Connecticut, Colorado, California y cualquier base federal futura.

Segundo, construye inventarios de datos que puedan defender la minimización. Si la H.R. 8014 o un proyecto sucesor impone la minimización exigible mediante derecho privado de acción, la pregunta probatoria será: «¿Puedes demostrar que cada recolección de datos es necesaria para un producto o servicio solicitado por el usuario?» Las organizaciones que no puedan demostrarlo enfrentarán costosos ajustes cuando el estándar se endurezca.

Tercero, implementa la gobernanza de retención a nivel de datos y prepara la infraestructura para solicitudes de acceso a escala. El derecho a la impermanencia exige propagación de eliminaciones en los flujos, confirmación de eliminación en los sistemas y evidencia de eliminación para auditoría. Las solicitudes automatizadas y masivas de acceso aumentan bajo leyes estatales actuales, y la sentencia del TJUE de 2026 sobre solicitudes abusivas deja claro que la negativa generalizada no es una respuesta defendible.

Cuarto, extiende la gobernanza de datos a los sistemas de IA. Ya sea por la Ley de IA de Colorado en 2026, las regulaciones ADMT de la CPPA en 2027 o la H.R. 8014 en el futuro, la gobernanza de IA se está convirtiendo en una obligación de gobernanza de datos. El entrenamiento de modelos debe cumplir la minimización. Las decisiones automatizadas que afectan a personas deben ofrecer vías de revisión humana. Los datos de entrenamiento y los resultados de modelos deben respetar los derechos de retención y eliminación.

Quinto, haz de la producción de evidencia de auditoría una capacidad central, no una reacción ante incidentes. Sea cual sea el aparato de cumplimiento que madure —DPA, FTC, fiscales generales estatales, CPPA, demandantes privados— la diferencia entre una advertencia y una sanción suele ser la calidad de la evidencia que la organización puede presentar. Registros de auditoría inalterables, reportes de cumplimiento estructurados y aplicación uniforme de políticas en todos los canales de datos son los controles que generan esa evidencia.

La Ley de Privacidad en Línea de 2026 puede aprobarse, estancarse o ser reemplazada por otro marco en 2027 o 2028. La dirección regulatoria es estable en todos esos escenarios. Las organizaciones que traten el proyecto como un anticipo —de lo que el mosaico estatal ya está alcanzando y lo que la base federal codificará— estarán mucho mejor posicionadas que quienes esperen la resolución legislativa.

Preguntas frecuentes

La justificación de la inversión no depende de que la H.R. 8014 se apruebe. El análisis de OneTrust 2026 documentó que las leyes estatales de privacidad y las regulaciones específicas de IA ya imponen obligaciones sustancialmente similares. La Ley de Privacidad de Datos en Línea de Maryland, las enmiendas de Connecticut, la Ley de IA de Colorado y las regulaciones ADMT de California crean la misma arquitectura de cumplimiento que la H.R. 8014 federalizaría. La infraestructura de cumplimiento construida para el mosaico estatal responde a la legislación federal en cualquier forma que finalmente adopte.

El proyecto exigiría minimización de datos para el entrenamiento de IA, justificación legal para los usos de entrenamiento y derechos de revisión humana para decisiones automatizadas con impacto. La Opinión 28/2024 del EDPB ya estableció que los modelos de IA entrenados con datos personales no pueden considerarse automáticamente anónimos. Si la H.R. 8014 o una ley sucesora se aprueba, la reclasificación retroactiva de los datos de entrenamiento genera una deuda de cumplimiento que exige reentrenamiento, medidas de resistencia a la extracción o restricciones en el alcance de la implementación.

La DPA superaría ampliamente la capacidad de la FTC en privacidad. La división de privacidad de la FTC opera con unas 40 personas y depende de la autoridad de la Sección 5 sobre «prácticas injustas o engañosas» en lugar de estatutos de privacidad dedicados. La DPA propuesta en la H.R. 8014 tendría presupuesto propio, autoridad normativa independiente, Oficina de Derechos Civiles, programas de protección a denunciantes y coordinación con fiscales generales estatales y reguladores como la CPPA de California. Combinado con un derecho privado de acción, la escala de cumplimiento se acercaría a niveles equivalentes al GDPR.

Controles de acceso basados en atributos, clasificación de datos, gobernanza de retención, registros de auditoría inalterables y cumplimiento de residencia de datos. El Informe de Soberanía de Datos de Seguridad y Riesgo de Cumplimiento de Kiteworks 2026 identificó estos controles como infraestructura central de cumplimiento en GDPR, leyes estatales y marcos emergentes de gobernanza de IA. Plataformas como Kiteworks ofrecen estos controles en la capa de intercambio de datos, generando cumplimiento uniforme en correo electrónico, uso compartido de archivos, MFT, formularios, APIs e integraciones de IA.

No anular significa que las leyes estatales siguen siendo el piso operativo, por lo que las organizaciones deben cumplir el requisito más estricto —federal o estatal— en cada jurisdicción. El Informe de Pronóstico de Seguridad de Datos y Riesgo de Cumplimiento de Kiteworks 2026 encontró que las organizaciones con herramientas fragmentadas de cumplimiento enfrentan mayor riesgo. La estandarización exige cumplir el estándar más estricto aplicable en los estados, que en la práctica es el modelo que la mayoría de las organizaciones multistatales ya siguen para CCPA, VCDPA, Colorado y ahora los marcos de Maryland y Connecticut.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks