Los Estados Unidos son ampliamente considerados y reconocidos mundialmente como un estado, donde la libertad absoluta y el respeto por los derechos humanos son los más importantes. Por lo tanto, la privacidad de los datos debe ser una de las principales preocupaciones y debe existir algún tipo de ley federal unificada para proteger a los ciudadanos. Sorprendentemente, ese no es el caso: algunos campos están protegidos por leyes separadas, otros no, las leyes se superponen y se contradicen entre sí, las autoridades no entienden quién es responsable de qué. Agregue algunas leyes estatales separadas sobre violaciones de datos y problemas de cumplimiento de la ley, y obtendrá un desastre legal bastante caótico.
La naturaleza compleja y posiblemente incompleta de la ley de privacidad de datos de EE. UU. A menudo es criticada por países que cuentan con una legislación de protección de datos más completa. En primer lugar, en los EE. UU. No existe una ley federal (nacional) única y completa que regule la recopilación y el uso de datos personales. Sin embargo, cada término del Congreso trae propuestas para estandarizar las leyes a nivel federal. En cambio, EE. UU. Tiene un sistema de mosaico de leyes y regulaciones federales y estatales que a veces se pueden superponer, encajar y contradecirse entre sí. Además, hay muchas pautas, desarrolladas por agencias gubernamentales y grupos de la industria que no tienen fuerza de ley, pero son parte de pautas y marcos de autorregulación que se consideran "mejores prácticas". Estos marcos de autorregulación tienen componentes de responsabilidad y cumplimiento que cada vez se utilizan más como una herramienta para el cumplimiento por parte de los reguladores.
EE. UU. Es el hogar de las empresas tecnológicas más consolidadas del mundo y de un gran número de nuevas empresas, no es de extrañar que la cantidad de ataques cibernéticos sea enorme allí. El año pasado rompió el récord de la mayoría de las violaciones de datos (5,207 exactamente), exponiendo casi 8 mil millones de registros de información en todo el mundo, y un porcentaje masivo de ellos ocurrió en los Estados Unidos. Compañías de renombre como Verizon, Uber y Equifax se vieron afectadas, con datos personales comprometidos e información de tarjetas de crédito robadas.
Cada violación de datos que aparece en los titulares hace que los oradores de la industria propongan un estándar nacional para notificar y prevenir violaciones de datos, pero son los casos de personas individuales los que deben abordarse, no el caso general de la legislación. Si bien las empresas no suelen perder mucho dinero, las pérdidas de los clientes son más significativas, lo que significa que se debe construir un marco legal claro y completo para proteger los datos de los clientes. Quien puede recopilar y compartir información, cómo se almacenará y protegerá, debe estar incluido en una sola ley.
Ya existe una serie de leyes federales relacionadas con la privacidad que regulan la recopilación y el uso de datos personales. Algunos se aplican a categorías particulares de información, como información financiera o de salud, o comunicaciones electrónicas. Otros se aplican a actividades que utilizan información personal, como telemarketing y correo electrónico comercial. Además, existen leyes generales de protección al consumidor que no son leyes de privacidad en sí mismas, pero se han utilizado para prohibir las prácticas desleales o engañosas que involucran la divulgación y los procedimientos de seguridad para proteger la información personal.
En 2012, una ley de este tipo estaba cerca de ser sugerida, cuando la administración de Barack Obama propuso un plan de la Declaración de Derechos de Privacidad del Consumidor, basado en los Principios de Práctica de Información Justa (FIPP). Se cumplió favorablemente, pero no se desarrolló rápidamente y perdió impulso, lo que llevó a que se redactara un proyecto de ley solo en 2015. La administración de Trump no tenía mucho interés en él, por lo que no podemos estar seguros si EE. UU. pronto se podrá comparar con GDPR, mientras que algunas de las grandes economías del mundo, como Canadá o Japón, ya han comenzado a desarrollar proyectos bastante similares. La falta de un marco legal completo y unificado puede llevar a más violaciones de datos y menos victorias económicas.
En resumen, parece razonable afirmar que la legislación actual de protección de datos de los EE. UU. No ha logrado un equilibrio satisfactorio entre los intereses del individuo y los de la seguridad y el comercio. Irónicamente, numerosas encuestas de consumidores han señalado el impacto comercial negativo de las violaciones de la privacidad que se han producido en nombre de la seguridad. Al mismo tiempo, hay mucha evidencia de que pocos estadounidenses confían en que sus registros se mantendrán privados y seguros en manos de entidades comerciales. Lamentablemente, más de cuatro décadas después de que Ware (1973) articulara un Código de práctica equitativa de la información para los estadounidenses "El noventa y uno por ciento de los adultos está de acuerdo o muy de acuerdo en que los consumidores han perdido el control de cómo las empresas recopilan y utilizan la información personal"