In het Amerikaanse Huis van Afgevaardigden zijn twee belangrijke privacyvoorstellen geïntroduceerd die de manier waarop bedrijven consumentengegevens verzamelen, verwerken en bewaren ingrijpend zouden veranderen. Het gaat om de SECURE Data Act voor algemene consumentenprivacy en de GUARD Financial Data Act voor financiële instellingen. Deze wetsvoorstellen zouden nationale standaarden voor privacy en beveiliging vastleggen en tegelijkertijd veel bestaande staatswetten, waaronder strengere regels in staten als Californië en Maryland, buitenspel zetten.

De voorstellen sluiten de mogelijkheid van private rechtszaken uit en leggen handhaving vooral bij de Federal Trade Commission en de procureurs-generaal van de staten neer. Deze combinatie van federale voorrang, zwakkere handhaving en brede wijzigingen in naleving maakt de wetsvoorstellen politiek omstreden, zowel bij Democraten als privacyorganisaties. Zo noemde het Electronic Privacy Information Center (EPIC) de SECURE Data Act "een groot cadeau aan Big Tech" en waarschuwde dat "een zwakke federale standaard slechter is dan geen standaard".

Hoewel het Congres al meer dan tien jaar niet in slaagt een alomvattende federale privacywet aan te nemen, laten deze wetsvoorstellen zien welke privacyvraagstukken bedrijven nu al moeten aanpakken onder bestaande staatswetten en federale richtlijnen. Dit betreft onder meer dataminimalisatie, geautomatiseerde profilering, verantwoording van dataleveranciers en steeds complexere regels rond gevoelige gegevens.

Een centraal operationeel aandachtspunt is dataminimalisatie, het principe dat organisaties alleen de gegevens mogen verzamelen die noodzakelijk zijn, deze niet langer dan nodig bewaren en deze beslissingen kunnen onderbouwen. Het Amerikaanse National Institute of Standards and Technology (NIST) beschouwt dataminimalisatie als een kernprincipe voor privacy en beveiliging, zoals beschreven in hun richtlijnen. Ook steeds meer staten stellen strengere eisen aan onnodige verzameling en opslag van data. Voor bedrijven betekent dit dat overtollige klantgegevens, overbodige telemetrie, vergeten SaaS-archieven, te grote AI-trainingsdatasets en verouderde marketingdatabases het risico op datalekken vergroten doordat ze het aanvalsoppervlak vergroten.

Volgens Alan Butler, directeur van EPIC, is de dataminimalisatie in de SECURE Data Act minder streng dan de eisen in toonaangevende staten. Hij stelt dat de wet vooral koppelt aan wat bedrijven in hun privacybeleid vermelden, in plaats van een strengere noodzaakstandaard te hanteren. Dit kan ertoe leiden dat de wet de privacybescherming juist verzwakt.