- Virginia prohíbe la venta de datos de geolocalización mediante una enmienda a la VCDPA, reforzando en las leyes estatales de privacidad las restricciones al comercio de datos de ubicación
- La enmienda quedó confirmada con la firma de la S.B. 388, y la prohibición se aplicará a partir del 1 de julio de 2026
- La definición de venta (sale) en la VCDPA se limita a transferir datos personales a un tercero a cambio de una contraprestación monetaria, por lo que su alcance es más estrecho que en otros estados
- Maryland y Oregon también prohibieron la venta de datos de geolocalización, pero ambos estados incluyen en la venta incluso otras contraprestaciones de valor, además del dinero
- Con proyectos de ley similares en California, Massachusetts, Vermont y el estado de Washington, además de una investigación del California Attorney General y un acuerdo de la FTC, la venta de datos de geolocalización se perfila como un nuevo foco regulatorio
Enmienda a la VCDPA de Virginia
- La gobernadora de Virginia, Abigail Spanberger, firmó la S.B. 388 el 13 de abril de 2026
- La ley modifica la Virginia Consumer Data Protection Act (VCDPA) para prohibir la venta de datos de geolocalización
- En la VCDPA, venta se define como “el intercambio de datos personales por parte de un controlador con un tercero a cambio de una contraprestación monetaria”
- Por ello, la definición de venta en Virginia sigue teniendo un alcance más limitado que el de las leyes integrales de privacidad de otros estados
Fecha de entrada en vigor y diferencias con otras leyes estatales
- La prohibición de vender datos de geolocalización entrará en vigor el 1 de julio de 2026
- Virginia sigue a Maryland y Oregon, que también prohibieron la venta de datos de geolocalización
- Maryland y Oregon definen venta de forma más amplia, como el intercambio de datos personales por una “contraprestación monetaria u otra contraprestación de valor”
Proyectos de ley similares e investigaciones regulatorias
- En varios estados también se han propuesto proyectos similares para prohibir la venta de datos de geolocalización
- Este movimiento legislativo coincide con una ola de investigaciones regulatorias sobre la venta de datos de geolocalización
- El California Attorney General llevó a cabo en marzo de 2025 una investigación sobre la industria de datos de ubicación
- Un acuerdo de la FTC de 2024 prohibió a un data broker vender datos de geolocalización
1 comentarios
Comentarios en Hacker News
En la práctica, si se les da a las personas una opción realmente informada y sin coerción, rechazan este tipo de recolección de datos y, en especial, su venta
Lo mismo aplica cuando se usan para fines distintos a los servicios que creen haber autorizado explícitamente, como navegación o ajustar la hora. Está bien que haya aunque sea un poco de lenguaje de protección, pero tiene que haber capacidad real de hacerla cumplir. Si recolectaron datos con pretextos falsos o de forma coercitiva, no debería haber solo multas, sino hasta procesos penales
Edit: apenas ahora mi cerebro procesó la información, pero si hay procesos penales entonces sí habría un poco más de efecto disuasorio. Claro, porque nadie hace cosas ilegales ;)
¿Podría existir un producto que pusiera en letras grandes en la pantalla de pago “vamos a vender tus datos de ubicación”? ¿El simple hecho de querer ese producto ya lo convierte en coerción?
Es un buen comienzo. En 2024 se reportó que “una investigación encontró que una empresa rastreó visitas a cerca de 600 sedes de Planned Parenthood en 48 estados y proporcionó esos datos a una de las mayores campañas publicitarias antiaborto de Estados Unidos” - https://www.politico.com/news/2024/02/13/planned-parenthood-...
Por ejemplo, si una empresa constituida en Delaware vende datos de ubicación recolectados en Virginia, pero esa empresa no opera en Virginia, ¿qué pasaría?
Por otro lado,
us-east-1está en Virginia, y no sé cuántos servidores de procesamiento de pagos corren ahíDicho eso, el hecho de que
us-east-1esté en Virginia probablemente complique bastante el asunto, y parece algo que tendrían que resolver los tribunalesHace unos años el NYTimes habló de cómo las aseguradoras de autos usan estos datos. Decía que rastreaban frenadas bruscas, manejo nocturno y conducir a más de 80 millas por hora
En zonas rurales de Utah hay tramos con límite de 80 mph, y también existen leyes de velocidad presumiblemente ilegal. Muchos conductores en Utah superan regularmente las 80 mph, y entiendo que a veces lo hacen legalmente. Es un número raro para usarlo como criterio
Como alguien que trabaja en la compra de publicidad, este tipo de ley me encanta. Estos puntos de datos nunca debieron ponerse a la venta para empezar
Evita que proteger a la gente dependa solo de la buena voluntad. Es un paso en la dirección correcta
Este artículo es de abril, y la prohibición entró en vigor el 1 de julio
Si esto realmente apunta a la “venta” de datos y les impone restricciones duras a los brokers de datos y a varios actores maliciosos, lo apoyo por completo
En cambio, si es como la ley de California que llama “venta de datos” a todo uso de datos, enturbia las aguas y al final no impone regulaciones realmente valiosas a los peores actores de la industria, entonces sería una lástima. También tiene valor mantener el significado de las palabras claro y consistente. No hay problema con que Google use sus propios datos de Google Maps para dar mejores recomendaciones, pero sí hay un gran problema en que AT&T venda a terceros datos de ubicación agregados que permiten identificar personas con facilidad. Ojalá haya una vía clara para prohibir lo segundo sin tocar lo primero
Si se toman la molestia de hacer esta ley, me pregunto por qué solo prohíben la venta y no todo intercambio
Puede que la lógica sea que terceros comerciales como las compañías telefónicas recolectan y comparten esos datos por necesidad, pero probablemente no los venden. Aunque eso también abre un vacío interesante. Puedes firmar un acuerdo de intercambio y luego recuperar por otro mecanismo lo que habrías cobrado originalmente. Si el Proveedor A quiere venderle datos al Proveedor B y B quiere comprarlos, pero legalmente no puede haber venta, A puede esconder el costo dentro de otro contrato no relacionado con B y luego “compartir” los datos de ubicación “gratis” como parte de la “relación”, con guiño, apretón de manos y asentimiento. Ambos saben que el costo está metido en el otro contrato, pero solo A conoce el desglose por partida y B simplemente calcula si el precio del otro paquete más el amigable intercambio de datos de ubicación vale el costo total. Siendo justos, antes de que entre dinero en juego la gente suele ser menos malintencionada en el uso y la intención respecto a la información. No siempre, pero en promedio sí
El simple hecho de que vender los datos de ubicación exacta de las personas alguna vez se tratara como un modelo de negocio normal es, francamente, absurdo
Ya sabemos que hubo una recolección masiva de datos. Este tipo de leyes son apenas la medida mínima para intentar ponerse al día. Ojalá también se pudieran hacer leyes que castiguen a estas empresas hasta volver imposible su propia existencia, pero no espero demasiado
Me pareció interesante que la ubicación aproximada de una dirección IP también fuera “datos de ubicación”, pero la ley parece limitarse a datos de ubicación exacta, o sea, datos reportados por el dispositivo