Una mirada a la Ley de privacidad de Colorado: predicciones sobre el futuro de la protección de datos del usuario
Publicado: 2021-09-16
El pasado mes de julio, Colorado aprobó la Ley de privacidad de Colorado (CPA), lo que lo convirtió en el cuarto estado en promulgar una legislación de privacidad integral en los EE. UU., después de California, Nevada y Virginia.
Si bien la CPA y leyes similares estarán sujetas a cambios a medida que pase el tiempo, la pregunta sigue siendo: ¿deberían las empresas comenzar a trabajar para cumplir con cada nueva ley individual, o deberían establecer algún tipo de plan a través del cual los derechos de los usuarios permanezcan protegidos sin importar qué? Qué sucede en términos de cambios de política?
Con las regulaciones de privacidad únicas de cada estado, cada vez es más difícil para las empresas realizar un seguimiento de estos cambios, garantizar el cumplimiento y evitar sanciones.
Para facilitar este proceso, compararemos algunos ejemplos recientes de diferentes estados y ofreceremos información sobre cómo podrían afectar las prácticas comerciales, así como las tendencias futuras en la protección de datos de los usuarios.
En esta publicación de blog, echamos un vistazo a la Ley de Privacidad de Colorado y cómo se compara con otras leyes de privacidad, como la SB20 de Nevada, la CDPA de Virginia, la CPPA de California y la CPRA más reciente, y el RGPD europeo.
Primero, aquí hay un resumen de todas las disposiciones clave de estas leyes:
| Disposiciones clave | CPA de Colorado | nevada sb220 | CDPA de Virginia | California CDPA + CPRA | Europa RGPD | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Habilidad para Procesar | |||||||||||||||||||||||||||||||||||
| Minimización de datos | Sí | Sí | No | Sí | |||||||||||||||||||||||||||||||
| Propósito permitido | Sí | Sí | No | Sí | |||||||||||||||||||||||||||||||
| Derechos individuales | |||||||||||||||||||||||||||||||||||
| Derecho a recibir notificación de actividades de procesamiento | Sí | Sí | Sí | Sí | Sí | ||||||||||||||||||||||||||||||
| Derecho de acceso a los datos personales | Sí | Sí | Sí | Sí | |||||||||||||||||||||||||||||||
| Derecho a la portabilidad de los datos (es decir, los datos deben proporcionarse en un formato fácilmente utilizable, de modo que puedan transferirse de una entidad/plataforma a otra) | Sí | Sí | Sí | Sí | |||||||||||||||||||||||||||||||
| Derecho a corregir errores en los datos personales | Sí | Sí | No | Sí | |||||||||||||||||||||||||||||||
| Derecho de supresión de datos personales | Sí | Sí | Sí | Sí | |||||||||||||||||||||||||||||||
| Derecho a optar por no recibir publicidad comportamental | No | Sí | No | Sí | |||||||||||||||||||||||||||||||
| Derecho a oponerse a la elaboración de perfiles y la toma de decisiones automatizadas | No | Sí | No | Sí | |||||||||||||||||||||||||||||||
| Derecho a la no discriminación para el ejercicio de estos derechos | Sí | Sí | Sí | Sí | |||||||||||||||||||||||||||||||
| Derecho a excluirse de las ventas de información personal | Sí | Sí | Sí | Sí | No | ||||||||||||||||||||||||||||||
| Optar por aceptar o rechazar el procesamiento de información confidencial | Optar en | Optar en | Optar por no | Optar en | |||||||||||||||||||||||||||||||
| Derecho a apelar la denegación de solicitudes | No | Sí | No | No | |||||||||||||||||||||||||||||||
| Rendición de cuentas/gobernanza | |||||||||||||||||||||||||||||||||||
| Evaluaciones de protección de datos | Sí | Sí | No | Sí | |||||||||||||||||||||||||||||||
| Seguridad | |||||||||||||||||||||||||||||||||||
| Seguridad de datos adecuada para salvaguardar la información | Sí | Sí | Sí | Sí | |||||||||||||||||||||||||||||||
| Notificación de incumplimiento | Sí | Sí | Sí | Sí | |||||||||||||||||||||||||||||||
| Transferencias de datos fuera del EEE | |||||||||||||||||||||||||||||||||||
| Medidas adicionales para transferencias internacionales | Sí | No | No | Sí | |||||||||||||||||||||||||||||||
| Transferencias a Terceros | |||||||||||||||||||||||||||||||||||
| Requisitos contractuales en los acuerdos de proveedores de servicios | Sí | Sí | Sí | Sí | |||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||
| Consentimiento para las cookies de Adtech | No | Sí | Sí | Sí | |||||||||||||||||||||||||||||||
| Consentimiento obtenido antes de la comercialización directa | Sí | No | No | Sí | |||||||||||||||||||||||||||||||
| Agencias de aplicación | |||||||||||||||||||||||||||||||||||
| Fiscal General | Fiscal General | Fiscal General, CPPA | DPA | ||||||||||||||||||||||||||||||||
| Fecha operativa | |||||||||||||||||||||||||||||||||||
| 1 julio 2023 | 1 de octubre de 2019 | 1 enero 2023 | 1 enero 2020 / 1 enero 2023 | 25 mayo 2018 | |||||||||||||||||||||||||||||||
¿Qué tienen en común todas estas leyes de privacidad?
La CPA es similar a otras leyes de privacidad como GDPR, la ley de California y la de Virginia. Sin embargo, no se compara con Nevada, ya que este último solo promulgó una ley mucho más limitada con respecto a la venta de ciertos datos recopilados en línea, por lo que se excluye de la comparación a continuación.
- Acuerdo de procesamiento de datos : esto es común entre todas las leyes de privacidad. En pocas palabras, significa que una organización necesita redactar una plantilla legal en la que describa las actividades de procesamiento de datos personales que se llevan a cabo cuando se usa un servicio o producto. En resumen, habla de cómo se llevará a cabo el procesamiento de datos, quién será responsable de qué y qué medidas de seguridad se tomarán. Hemos preparado nuestra plantilla en 2018 para GDPR, disponible aquí. Con cada nueva ley, actualizamos las cláusulas modelo para adaptarnos a todos los nuevos términos legales.
- Una segunda característica común entre las leyes de privacidad es que todas requieren que las organizaciones tomen las medidas técnicas y organizativas apropiadas para responder de manera rápida y adecuada cuando los consumidores ejercen sus derechos. Cuáles son estos derechos difiere de una ley a otra, como se ve en la tabla anterior, pero las medidas siguen siendo las mismas.
- La notificación de violación de datos personales es otro término común presente en las leyes. Una violación de la seguridad de los datos personales es cualquier evento que tiene el potencial de afectar la confidencialidad, integridad o disponibilidad de los datos personales en poder de una organización en cualquier formato.
Las infracciones de seguridad de datos personales pueden ocurrir por muchas razones, que incluyen:- la divulgación de datos confidenciales a personas no autorizadas;
- pérdida o robo de datos o equipos en los que se almacenan los datos;
- controles de acceso inapropiados que permiten el uso no autorizado de la información;
- intentos de obtener acceso no autorizado a los sistemas informáticos, por ejemplo, piratería informática; registros alterados o borrados sin autorización del “propietario” de los datos;
- virus u otros ataques a la seguridad de los sistemas o redes de equipos informáticos;
- dejar el equipo de TI desatendido al iniciar sesión en una cuenta de usuario sin bloquear la pantalla para evitar que otros accedan a la información;
- correos electrónicos que contienen información personal o confidencial enviados por error al destinatario equivocado.
- Otro requisito común bajo GDPR, CCPA, VCDPA y CPA es el proceso de realizar evaluaciones de impacto de procesamiento de datos (DPIA) para cualquier nuevo proyecto de procesamiento de alto riesgo. Una DPIA es el proceso de considerar sistemáticamente el impacto potencial que un proyecto o iniciativa podría tener en la privacidad de las personas. Permite a las organizaciones identificar posibles problemas de privacidad antes de que surjan y encontrar una forma de mitigarlos. El RGPD introdujo por primera vez DPIA obligatorias para aquellas organizaciones involucradas en el procesamiento de alto riesgo; por ejemplo, donde se está implementando nueva tecnología, donde es probable que una operación de creación de perfiles afecte significativamente a las personas o donde hay un monitoreo a gran escala de un área de acceso público.
Por ejemplo, para ejercer su derecho a acceder a sus datos personales que utiliza Convert, debe enviar una solicitud por escrito a [email protected]. En la solicitud, mencione que su solicitud se realiza en ejercicio de su derecho de acceso bajo la ley de privacidad específica que le interesa. El DPO debe responder a su solicitud por escrito. Esté preparado para proporcionar evidencia de su identidad, que el RPD debería exigirle para asegurarse de que la información personal no se entregue a la persona equivocada. El proceso anterior es específico de GDPR, CCPA, CPA y ya está documentado en nuestra página de Privacidad.
Del mismo modo, si desea cerrar su cuenta de Convert, abandonar el servicio y desea una copia de seguridad de todos sus datos de Convert, puede ejercer su derecho a la portabilidad de datos. Puede escribir un correo electrónico a la misma dirección de correo electrónico anterior, si la opción para descargar los datos no está disponible de inmediato, y solicitar al DPO una copia de seguridad de los datos utilizados en todo el servicio. El DPO debe actuar sobre su solicitud por escrito.
En su Proyecto GDPR, Convert desarrolló una guía para el personal y una plantilla que se usará para llevar a cabo las DPIA. Puede encontrar la plantilla con las preguntas de evaluación precompletadas aquí. Desde entonces, esta plantilla se ha adaptado a las nuevas leyes de privacidad de EE. UU.
¡Pero hay algunas diferencias clave!
GDPR protege los datos personales. Las leyes de EE. UU. protegen principalmente a aquellos consumidores que eligen que se protejan sus datos personales.
- El debate sobre la protección de los datos frente al consumidor se encuentra en el centro de todas estas iniciativas de privacidad. También es un punto clave que diferencia a GDPR de todas las demás leyes de privacidad. Con GDPR, los datos personales están protegidos a lo largo de las diversas fases, desde la recopilación, el procesamiento, el almacenamiento y la transferencia a terceros. Las leyes de EE. UU. garantizan que el consumidor esté protegido mientras está en línea y usa servicios, navega o prueba productos. Por eso, la Política de privacidad de una empresa no puede permanecer igual cuando entra en vigor una nueva ley. Es necesario agregar nuevas secciones para reflejar los nuevos términos y disposiciones legales. Consulte siempre con sus abogados para saber exactamente qué agregar para cumplir con cada ley.
- Las leyes también difieren en el alcance del régimen de opt-in /opt-out. GDPR opera bajo un régimen de aceptación, lo que significa que los países miembros de la Unión Europea no recopilan ningún dato personal del visitante hasta que dé su consentimiento explícito al marcar una casilla de verificación en el banner de consentimiento que aparece en el sitio que está navegando. Lo contrario está sucediendo en los sitios de editores con sede en EE. UU. Los datos se pueden recopilar hasta que un visitante decida optar por no participar en el procesamiento de datos. California solo opera bajo un régimen híbrido de optar por no participar/optar por participar. La CCPA permite que una organización recopile los datos de los consumidores de forma predeterminada, pero también requiere que los recopiladores de datos proporcionen avisos de privacidad a los consumidores antes de la recopilación de datos. La CPA, VCDPA están bajo un claro régimen de exclusión voluntaria.
En Convert, operamos bajo un régimen de suscripción voluntaria ya que valoramos la transparencia y las opciones de los visitantes y hemos adaptado nuestra experiencia de usuario para que coincida con sus requisitos. - Las diferencias también se pueden ver en las reglas de las transferencias internacionales de datos . GDPR es nuevamente muy estricto con estas transferencias y las permite solo cuando el país receptor tiene regulaciones de privacidad similares. De lo contrario, requiere que las organizaciones utilicen cláusulas contractuales estándar o el consentimiento de los usuarios. Por otro lado, CCPA y VCDPA permiten transferencias internacionales de datos en todo el mundo hasta que ocurra un incidente. Entonces, la organización es responsable y se aplican multas. La CPA es algo indulgente y requiere que las organizaciones informen a los usuarios/visitantes cuando se produzcan transferencias internacionales de datos, pero no las restringe.
En Convert, nos adherimos al RGPD y brindamos las herramientas de transferencia necesarias cuando se solicitan (las cláusulas contractuales estándar son parte del contrato que firman nuestros usuarios). - Finalmente, las leyes tienen diferentes períodos de respuesta a las violaciones de privacidad . El RGPD y la VCDPA otorgan a los controladores o procesadores 30 días para reaccionar ante violaciones de privacidad. Se permite, pero no se exige, que la CPPA ofrezca un período para subsanar las infracciones de la CPRA. El CPA debe ofrecer un período de respuesta de 60 días.
Dado que Convert no ha sido parte de ninguna violación de privacidad, no fue fácil probarlo, pero simulamos tales solicitudes internamente y descubrimos que podemos responder dentro de 7 a 10 días. Bastante impresionante dado el hecho de que muchas personas y herramientas pueden estar involucradas.
¿Está su empresa preparada para el CPA?
Muchas de estas leyes tienen verborrea similar, por lo que detectar las diferencias es bastante difícil. Sin embargo, tratamos de dejarlo más claro con esta comparación anterior. Para lograr el cumplimiento de estas leyes de privacidad, prepárese para pasar mucho tiempo revisándolas y consultando a expertos legales.
Afortunadamente, algunas medidas se aplican universalmente a todos ellos. Los hemos enumerado en uno de nuestros artículos anteriores, pero aquí están nuevamente para refrescar su memoria:
- Cree y mantenga un inventario de datos completo, que proporcione información sobre los tipos de datos involucrados y la naturaleza de las actividades de procesamiento.
- Asegúrese de que los datos confidenciales se separen y gestionen sin riesgos innecesarios.
- Implementar un marco para realizar evaluaciones de impacto de protección de datos (DPIA).
- Evalúe las políticas, prácticas y controles de ciberseguridad existentes para asegurarse de que sean consistentes con los estándares reconocidos por la industria.
- Permitir que los consumidores opten por no vender su información personal (cuando corresponda).
- Actualice las políticas de privacidad de cara al público para, entre otros cambios, comprometerse a no volver a identificar los datos personales no identificados y proporcionar detalles sobre sus actividades de procesamiento de datos.
- Desarrollar mecanismos para aceptar, rastrear, verificar y cumplir con las solicitudes de los consumidores para acceder, corregir, eliminar y excluirse de los datos personales en virtud de la CPA.
- Asegúrese de que sus empleados de servicio al cliente tengan un conocimiento preciso de las regulaciones para satisfacer las solicitudes de los consumidores de manera eficiente y predecible.
¿Cómo será el panorama de la privacidad en la próxima década?
La privacidad de los datos está emergiendo como un tema definitorio de esta década. Este será un mundo cada vez más sensible a la privacidad, en el que tanto las empresas como los individuos serán cada vez más conscientes de que ya no existe algo como "privado".
Las leyes de privacidad recientes nos enseñaron que estas iniciativas requieren grandes esfuerzos y tiempo para planificar cuidadosamente, detectar brechas en los mecanismos de privacidad e implementar nuevas políticas, procesos y esfuerzos de remediación. Por lo tanto, el panorama de la privacidad de los datos no cambiará rápidamente.
Aunque el futuro de la privacidad no está escrito en gran medida, varias tendencias ya le están dando forma de diversas maneras. Las organizaciones que naveguen mejor por estas tendencias durante los próximos diez años serán más competitivas que aquellas que sigan simplemente cumpliendo con las nuevas leyes.
Veamos cuáles son.
- La mayoría de los consumidores protegerán proactivamente sus datos personales. Veremos mejores herramientas de protección de la privacidad (de la misma manera que ahora tenemos herramientas que invaden la privacidad). Las organizaciones que no se adhieran a estas protecciones correrán el riesgo de perder a sus clientes.
- Las transferencias de datos transfronterizas serán más sencillas. No tendremos que construir reinos de datos locales a los que no puedan acceder los extranjeros.
- Viajes de privacidad de la experiencia del cliente : se desarrollarán nuevos proyectos que se alineen con las expectativas culturales y legales de las leyes de privacidad, así como con la postura de cada empresa sobre la ética de los datos y la tecnología.
- Cultura de privacidad de los empleados: Recursos humanos utilizará programas de privacidad de los empleados que estén alineados con los valores tecnológicos y de datos de la empresa para desarrollar una cultura de privacidad integral. Dicho programa podría incluir una junta de empleados que revise y comunique evaluaciones de impacto ético y de privacidad para nuevas tecnologías y usos de datos en el lugar de trabajo.
Mucho puede cambiar en 10 años, pero, de nuevo, poco puede cambiar también. Aquí en Convert, hemos hecho que el respeto a la privacidad de nuestros visitantes y usuarios sea parte de nuestra cultura. ¿Dónde estaremos en 2030? Para 2030, veremos empresas que respetan la privacidad de los usuarios junto con los reguladores trabajando juntos sin problemas sin comprometer las libertades individuales. ¡Esta visión es lo que más le importa a nuestro equipo en la empresa Convert y donde esperamos que usted también se una a nosotros!
