A diferencia de la mayoría de los países de Latinoamérica que tienen una legislación horizontal sobre protección de datos, los Estados Unidos se maneja, hasta ahora, con un régimen de privacidad sectorial (ejemplo, para datos sobre salud o financieros), y leyes estatales que protegen la seguridad de cierta clase de datos como los números de la seguridad social.

La tendencia a regular la privacidad por sector se ha acentuado con la reciente decisión del regulador de las comunicaciones, la Comisión Federal de Comunicaciones (FCC, por sus siglas en ingles). A fines de octubre la FCC adoptó normas específicas de privacidad solamente para las empresas de telecomunicaciones y proveedores de acceso a internet (ISPs). Otros actores del sector de internet, igual o quizá más importantes que los ISPs, como buscadores, navegadores o aplicaciones, quedaron exceptuados de estas normas al no estar bajo la jurisdicción administrativa de la FCC.

Los datos que se encuentran comprendidos en la nueva normativa de la FCC se denominan información de propiedad del cliente. Comprenden tres categorías: información de red individual del cliente, información que identifica al cliente en forma personal y contenido de las comunicaciones.

En el ámbito de los servicios de acceso a internet la información de red individual del cliente incluye, entre otros: localización geográfica, identificadores de equipos, direcciones de IP, información de puerto, el encabezado para una aplicación y el uso de la aplicación. Por su parte, se entiende por información que identifica al cliente en forma personal, entre otros, a los números de la seguridad social o licencia de conducir, fecha de nacimiento, domicilio, email, número telefónico y dirección de IP.

Las nuevas regulaciones de la FCC requieren a los proveedores de acceso a internet -tanto fijos como móviles- obtener el consentimiento expreso e informado (“opt-in”) del cliente para poder usar los siguientes tipos de datos sensibles: localización geográfica precisa; información sobre salud, financiera y sobre menores de edad; números de la seguridad social; el contenido de las comunicaciones; uso de navegadores y aplicaciones; e información detallada sobre llamadas. Para información no sensible es suficiente con darle al cliente la posibilidad de objetar el uso de sus datos (“opt-out”). El consentimiento del cliente se infiere si los datos se usan para prestar el servicio o administrar la red, facturar o proteger contra el fraude.

Un caso parecido a lo que está pasando en Estados Unidos con esta normativa sectorial para telecomunicaciones e Internet sucedió hace un par de años en Brasil. Brasil tampoco tiene una ley comprensiva sobre privacidad. En 2014 el gobierno promulgó la Leinº 12.965 -Marco Civil da Internet- luego reglamentada por el Decreto nº 8.771 de 2016. Esta ley aplica en el ámbito de internet. Pero a diferencia de los Estados Unidos, la legislación brasileña comprende tanto a proveedores de acceso como a proveedores de aplicaciones; ambos deben obtener el consentimiento expreso del cliente para recolectar datos personales.

¿Cómo van a influir las nuevas regulaciones sobre privacidad de la FCC en los países de la región y viceversa? Está abierto a debate. Es ilustrativo lo que ya aconteció con AT&T. Bajo el viejo régimen de privacidad de la FCC en 2015 esta empresa de telecomunicaciones recibió una multa civil de 25 millones de dólares por violaciones a la privacidad de clientes estadounidenses como consecuencia de acciones fraudulentas de un subcontratista mexicano de servicios de call center (centro de atención telefónica). Ante las consecuencias del hecho en México, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI)inicio, de oficio, un expediente de investigación, pero no concluyó en una sanción.