DONDE LA INTELIGENCIA ARTIFICIAL CONECTA DISCIPLINAS

Estados Unidos impulsa una ley para prohibir la venta de datos de salud y ubicación, incluidos los ingresados en sistemas de inteligencia artificial

ElNotariado.com Editor Jurídico y Tecnológico de Radio Nodo IA

El proyecto Health and Location Data Protection Act of 2026 busca limitar el negocio de los data brokers y proteger información sensible vinculada a salud, localización y consultas realizadas mediante herramientas de IA.

30 de junio de 2026

Legisladores de Estados Unidos presentaron el proyecto Health and Location Data Protection Act of 2026, una iniciativa federal destinada a prohibir que los intermediarios de datos —conocidos como data brokers— vendan, transfieran, licencien, compartan o pongan a disposición datos sensibles de salud y ubicación de las personas.

La iniciativa fue impulsada en la Cámara de Representantes por la congresista Mary Gay Scanlon y en el Senado por Elizabeth Warren, junto con otros legisladores demócratas e independientes. Su importancia jurídica radica en que el texto incorpora expresamente la protección de información de salud ingresada en sistemas de inteligencia artificial.

El texto oficial del proyecto

El proyecto establece desde su objeto central:

“To prohibit data brokers from selling and transferring certain sensitive data.”

La norma propuesta se denomina formalmente:

“Health and Location Data Protection Act of 2026”.

El núcleo prohibitivo aparece en la sección 2 del texto legislativo. Allí se dispone que será ilícito para un data broker vender, revender, licenciar, negociar, transferir, compartir o poner a disposición determinadas categorías de datos de una persona, ya sean declarados o inferidos.

El proyecto enumera tres categorías protegidas:

“Location data.”

“Health data.”

“Other categories of data identified by the Commission that address or reveal” esas categorías.

La redacción es amplia porque no se limita a datos entregados directamente por el usuario, sino que también alcanza datos “inferidos”. Esto resulta central en el ecosistema de inteligencia artificial, donde los sistemas pueden derivar información sensible a partir de patrones de conducta, consultas, localización o historial digital.

La novedad: datos ingresados en sistemas de inteligencia artificial

El punto más relevante para el debate tecnológico aparece en la definición de “health data”.

El proyecto considera datos de salud aquellos que revelen o describan la búsqueda, intento de obtener, consulta o recepción de información, servicios o suministros de salud, incluyendo:

“prompts or other information entered into an artificial intelligence system.”

Esta frase convierte al proyecto en una pieza legislativa especialmente importante para la etapa actual de la inteligencia artificial generativa. La protección no se limitaría a historiales médicos tradicionales, aplicaciones de salud o registros clínicos, sino que alcanzaría también a consultas, indicaciones, síntomas, búsquedas o información personal introducida en sistemas de IA.

En términos prácticos, el texto apunta a impedir que datos sensibles compartidos por una persona en un entorno digital puedan ser comercializados luego por intermediarios de datos.

Qué se entiende por sistema de inteligencia artificial

El proyecto define “artificial intelligence system” como cualquier sistema de datos, software, hardware, aplicación, herramienta o utilidad que opere total o parcialmente mediante inteligencia artificial.

La amplitud de la definición permite incluir desde chatbots de IA generativa hasta plataformas digitales, asistentes automatizados, aplicaciones de salud, sistemas de recomendación o herramientas de análisis automatizado.

Protección de datos de ubicación

El proyecto también define “location data” como datos capaces de determinar la ubicación física pasada o presente de una persona o de su dispositivo.

Esta categoría es especialmente sensible porque puede revelar asistencia a centros médicos, clínicas de salud reproductiva, hospitales, centros de tratamiento, lugares de trabajo, domicilios, prácticas religiosas, reuniones políticas o desplazamientos personales.

Contexto político y sanitario

Según el comunicado oficial de la congresista Scanlon, los data brokers recopilan información personal mediante fuentes aparentemente inocuas, como aplicaciones del clima o aplicaciones de oración, frecuentemente sin conocimiento o consentimiento efectivo del consumidor.

La congresista afirmó:

“Americans deserve to know that their most sensitive and personal information is safe, not exploited for profit.”

Por su parte, la senadora Elizabeth Warren vinculó expresamente el proyecto con la expansión de la inteligencia artificial en salud:

“Especially as more people enter their private health data into AI, we need to make sure that information isn’t exploited by the highest bidder.”

La referencia es jurídicamente relevante porque reconoce un nuevo riesgo: que las personas utilicen herramientas de inteligencia artificial para consultar sobre salud física, salud mental, embarazo, fertilidad, síntomas, diagnósticos o tratamientos, y que esa información pueda circular luego en mercados de datos.

Excepciones previstas

El proyecto no establece una prohibición absoluta sin matices. Contempla excepciones para:

  • actividades compatibles con HIPAA;
  • publicación de información noticiosa de interés público legítimo;
  • divulgaciones realizadas con autorización válida de la persona.

Esta arquitectura intenta equilibrar privacidad, salud pública, libertad de expresión y tratamiento legítimo de datos.

Rol de la Federal Trade Commission

La autoridad de aplicación prevista es la Federal Trade Commission (FTC).

El proyecto ordena que la FTC dicte las reglas de implementación dentro de los 180 días posteriores a la entrada en vigencia de la ley.

El texto dispone:

“The Commission shall issue a final rule by not later than 180 days after the date of enactment of this Act.”

Además, prevé que una infracción sea tratada como una práctica desleal o engañosa bajo la Federal Trade Commission Act.

Acciones judiciales y sanciones

El proyecto incorpora una estructura fuerte de cumplimiento.

Podrían accionar:

  • la Federal Trade Commission;
  • los fiscales generales estatales;
  • las personas afectadas.

La acción privada es uno de los puntos más significativos. El texto permite que una persona cuyo interés haya sido afectado o amenazado pueda iniciar una acción civil para obtener medidas de cumplimiento, eliminación de información, daños, restitución, honorarios y otras reparaciones.

Además, el proyecto prevé sanciones civiles que podrían alcanzar hasta el 15 % de los ingresos de la entidad matriz durante los 12 meses anteriores.

Financiamiento

El proyecto asigna fondos específicos a la FTC para implementar y fiscalizar la ley.El texto establece una apropiación de: “$1,000,000,000” para el año fiscal 2027, disponible hasta el 30 de septiembre de 2035, destinada al trabajo de la Comisión.

Alcance jurídico

La iniciativa tiene tres alcances principales.

Primero, busca limitar el negocio de intermediación y venta de datos sensibles.

Segundo, intenta actualizar la protección de datos de salud frente al uso creciente de sistemas de inteligencia artificial.

Tercero, introduce una respuesta legislativa frente a la ausencia de una ley federal integral de privacidad de datos en Estados Unidos.

A diferencia de normas sectoriales como HIPAA, que se aplican a determinados actores del sistema sanitario, este proyecto apunta a cubrir flujos comerciales de información sensible fuera del entorno médico tradicional.

La novedad jurídica más importante no es solamente la prohibición de venta de datos de salud o ubicación, sino la inclusión expresa de información ingresada en sistemas de inteligencia artificial.

Ese punto anticipa un problema regulatorio global: millones de usuarios ya consultan a sistemas de IA sobre síntomas, diagnósticos, tratamientos, salud mental, embarazo, fertilidad, medicamentos o antecedentes clínicos. Esa información puede tener una sensibilidad equivalente o incluso superior a la de un registro médico formal.

El proyecto estadounidense reconoce que la privacidad sanitaria ya no se juega únicamente en hospitales, historias clínicas o aseguradoras. También se juega en plataformas digitales, aplicaciones, asistentes conversacionales y sistemas de IA.

Para América Latina, el caso ofrece un antecedente relevante. Los marcos de protección de datos personales deberán revisar si sus categorías tradicionales alcanzan para proteger datos inferidos, datos introducidos en IA y datos derivados de interacciones conversacionales con sistemas automatizados.

Estado del trámite

Al momento de esta nota, se trata de un proyecto legislativo presentado en el Congreso de Estados Unidos. No es una ley vigente. Su aprobación dependerá del trámite parlamentario correspondiente.

Dejá un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio