1 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Virginia prohíbe la venta de datos de geolocalización mediante una enmienda a la VCDPA, reforzando en las leyes estatales de privacidad las restricciones al comercio de datos de ubicación
  • La enmienda quedó confirmada con la firma de la S.B. 388, y la prohibición se aplicará a partir del 1 de julio de 2026
  • La definición de venta (sale) en la VCDPA se limita a transferir datos personales a un tercero a cambio de una contraprestación monetaria, por lo que su alcance es más estrecho que en otros estados
  • Maryland y Oregon también prohibieron la venta de datos de geolocalización, pero ambos estados incluyen en la venta incluso otras contraprestaciones de valor, además del dinero
  • Con proyectos de ley similares en California, Massachusetts, Vermont y el estado de Washington, además de una investigación del California Attorney General y un acuerdo de la FTC, la venta de datos de geolocalización se perfila como un nuevo foco regulatorio

Enmienda a la VCDPA de Virginia

  • La gobernadora de Virginia, Abigail Spanberger, firmó la S.B. 388 el 13 de abril de 2026
  • La ley modifica la Virginia Consumer Data Protection Act (VCDPA) para prohibir la venta de datos de geolocalización
  • En la VCDPA, venta se define como “el intercambio de datos personales por parte de un controlador con un tercero a cambio de una contraprestación monetaria”
  • Por ello, la definición de venta en Virginia sigue teniendo un alcance más limitado que el de las leyes integrales de privacidad de otros estados

Fecha de entrada en vigor y diferencias con otras leyes estatales

  • La prohibición de vender datos de geolocalización entrará en vigor el 1 de julio de 2026
  • Virginia sigue a Maryland y Oregon, que también prohibieron la venta de datos de geolocalización
  • Maryland y Oregon definen venta de forma más amplia, como el intercambio de datos personales por una “contraprestación monetaria u otra contraprestación de valor”

Proyectos de ley similares e investigaciones regulatorias

  • En varios estados también se han propuesto proyectos similares para prohibir la venta de datos de geolocalización
  • Este movimiento legislativo coincide con una ola de investigaciones regulatorias sobre la venta de datos de geolocalización
    • El California Attorney General llevó a cabo en marzo de 2025 una investigación sobre la industria de datos de ubicación
    • Un acuerdo de la FTC de 2024 prohibió a un data broker vender datos de geolocalización

1 comentarios

 
GN⁺ 4 시간 전
Comentarios en Hacker News
  • En la práctica, si se les da a las personas una opción realmente informada y sin coerción, rechazan este tipo de recolección de datos y, en especial, su venta
    Lo mismo aplica cuando se usan para fines distintos a los servicios que creen haber autorizado explícitamente, como navegación o ajustar la hora. Está bien que haya aunque sea un poco de lenguaje de protección, pero tiene que haber capacidad real de hacerla cumplir. Si recolectaron datos con pretextos falsos o de forma coercitiva, no debería haber solo multas, sino hasta procesos penales

    • Totalmente de acuerdo. La gente que dice “no tengo nada que ocultar” parece no entender cuánto daño puede llegar a sufrir si no existen la privacidad y las leyes que la protegen. O quizá simplemente no tiene instinto de conservación
    • Si eres rico, al final solo pagas la multa, ¿no? Se oye mucho que a las grandes empresas les caen multas de miles de millones de dólares todos los años por hacer estas cosas y no les importa en lo más mínimo
      Edit: apenas ahora mi cerebro procesó la información, pero si hay procesos penales entonces sí habría un poco más de efecto disuasorio. Claro, porque nadie hace cosas ilegales ;)
    • Me pregunto dónde está el límite de la coerción
      ¿Podría existir un producto que pusiera en letras grandes en la pantalla de pago “vamos a vender tus datos de ubicación”? ¿El simple hecho de querer ese producto ya lo convierte en coerción?
  • Es un buen comienzo. En 2024 se reportó que “una investigación encontró que una empresa rastreó visitas a cerca de 600 sedes de Planned Parenthood en 48 estados y proporcionó esos datos a una de las mayores campañas publicitarias antiaborto de Estados Unidos” - https://www.politico.com/news/2024/02/13/planned-parenthood-...

  • Por ejemplo, si una empresa constituida en Delaware vende datos de ubicación recolectados en Virginia, pero esa empresa no opera en Virginia, ¿qué pasaría?
    Por otro lado, us-east-1 está en Virginia, y no sé cuántos servidores de procesamiento de pagos corren ahí

    • Es lo mismo que siempre pasa en litigios entre estados. O el caso termina en alguna jurisdicción en particular, o si cumple con los requisitos de jurisdicción por diversidad se va a un tribunal federal
    • Si la empresa de Delaware no tiene ninguna presencia en Virginia, el estado de Virginia no puede hacer nada
      Dicho eso, el hecho de que us-east-1 esté en Virginia probablemente complique bastante el asunto, y parece algo que tendrían que resolver los tribunales
    • Lo más probable es que el vendedor decida si cumple o no. Si intenta cumplir, excluirá todos los datos de Virginia del conjunto recolectado y exigirá por contrato que los usuarios secundarios lo indemnicen si usan el dataset para afectar a residentes de Virginia
  • Hace unos años el NYTimes habló de cómo las aseguradoras de autos usan estos datos. Decía que rastreaban frenadas bruscas, manejo nocturno y conducir a más de 80 millas por hora

    • Como comentario al margen, me pregunto por qué se eligieron las 80 millas por hora como umbral arbitrario
      En zonas rurales de Utah hay tramos con límite de 80 mph, y también existen leyes de velocidad presumiblemente ilegal. Muchos conductores en Utah superan regularmente las 80 mph, y entiendo que a veces lo hacen legalmente. Es un número raro para usarlo como criterio
    • Exacto. Es datos privados y personales intercambiados con fines de lucro, sin consentimiento ni conocimiento del usuario
    • ¿No se recolectan esos datos como parte de un programa de seguros con consentimiento, y además de forma bastante explícita?
  • Como alguien que trabaja en la compra de publicidad, este tipo de ley me encanta. Estos puntos de datos nunca debieron ponerse a la venta para empezar
    Evita que proteger a la gente dependa solo de la buena voluntad. Es un paso en la dirección correcta

  • Este artículo es de abril, y la prohibición entró en vigor el 1 de julio

  • Si esto realmente apunta a la “venta” de datos y les impone restricciones duras a los brokers de datos y a varios actores maliciosos, lo apoyo por completo
    En cambio, si es como la ley de California que llama “venta de datos” a todo uso de datos, enturbia las aguas y al final no impone regulaciones realmente valiosas a los peores actores de la industria, entonces sería una lástima. También tiene valor mantener el significado de las palabras claro y consistente. No hay problema con que Google use sus propios datos de Google Maps para dar mejores recomendaciones, pero sí hay un gran problema en que AT&T venda a terceros datos de ubicación agregados que permiten identificar personas con facilidad. Ojalá haya una vía clara para prohibir lo segundo sin tocar lo primero

  • Si se toman la molestia de hacer esta ley, me pregunto por qué solo prohíben la venta y no todo intercambio

    • Buena pregunta, yo también me lo pregunto. Pienso en servicios 911, las telefónicas y los datos exigidos por citatorios de las fuerzas del orden
      Puede que la lógica sea que terceros comerciales como las compañías telefónicas recolectan y comparten esos datos por necesidad, pero probablemente no los venden. Aunque eso también abre un vacío interesante. Puedes firmar un acuerdo de intercambio y luego recuperar por otro mecanismo lo que habrías cobrado originalmente. Si el Proveedor A quiere venderle datos al Proveedor B y B quiere comprarlos, pero legalmente no puede haber venta, A puede esconder el costo dentro de otro contrato no relacionado con B y luego “compartir” los datos de ubicación “gratis” como parte de la “relación”, con guiño, apretón de manos y asentimiento. Ambos saben que el costo está metido en el otro contrato, pero solo A conoce el desglose por partida y B simplemente calcula si el precio del otro paquete más el amigable intercambio de datos de ubicación vale el costo total. Siendo justos, antes de que entre dinero en juego la gente suele ser menos malintencionada en el uso y la intención respecto a la información. No siempre, pero en promedio sí
    • Porque los datos son muy útiles para reflejar el riesgo del conductor en la prima del seguro. Obviamente, los conductores peligrosos deberían pagar tarifas más altas
  • El simple hecho de que vender los datos de ubicación exacta de las personas alguna vez se tratara como un modelo de negocio normal es, francamente, absurdo
    Ya sabemos que hubo una recolección masiva de datos. Este tipo de leyes son apenas la medida mínima para intentar ponerse al día. Ojalá también se pudieran hacer leyes que castiguen a estas empresas hasta volver imposible su propia existencia, pero no espero demasiado

  • Me pareció interesante que la ubicación aproximada de una dirección IP también fuera “datos de ubicación”, pero la ley parece limitarse a datos de ubicación exacta, o sea, datos reportados por el dispositivo

    • Muy probablemente entra dentro de la definición de datos de ubicación exacta que se puede configurar en ajustes del móvil. Es la opción más precisa que puedes activar al compartir ubicación
    • Parecería que cualquier cosa que sean coordenadas entra ahí. Mientras no sea algo como “detrás del arce, cruzando la calle frente a Ross Dress for Less”