Ley de privacidad de datos de Connecticut: cómo nos aseguramos de que Convert siga cumpliendo con los requisitos
Publicado: 2022-07-13
Con la introducción de Connecticut SB 6, comúnmente conocida como la Ley de privacidad de datos de Connecticut o "CTDPA" , Connecticut se ha unido a las filas de estados de EE. UU. como California, Virginia, Colorado, Nevada y Utah que han aprobado leyes de privacidad integrales para proteger a las personas. informacion personal.
A pesar de las regulaciones de privacidad y seguridad de datos que existen en los Estados Unidos desde hace décadas, esas regulaciones anteriormente solo se aplicaban a empresas, áreas y tipos de datos específicos.
Estas nuevas regulaciones estatales, en lugar de restringir estrictamente ciertas formas de procesamiento de datos, refuerzan una tendencia creciente de proteger los derechos de privacidad de las personas de manera más amplia.
Cada vez más estados de EE. UU. están promulgando leyes que rigen el manejo de la información en línea. Consulte nuestras evaluaciones de las leyes de privacidad en
- Utah,
- California,
- Virginia,
- Nevada,
- Colorado
La diferencia entre Connecticut SB 6 y otras leyes de privacidad
A continuación se muestra un desglose de las disposiciones de Connecticut SB 6 en comparación con las de
- La Ley de Privacidad del Consumidor de Utah (UCPA)
- La Ley de Privacidad de Colorado (CPA)
- La Ley de Privacidad del Estado de Nevada (SB200)
- El VCDPA de Virginia
- CCPA (modificada por la Ley de Derechos de Privacidad de California (CPRA))
- El Reglamento General Europeo de Protección de Datos (GDPR)
| Disposiciones clave | Conneticut SB6 | Utah UCPA | CPA de Colorado | nevada sb220 | CDPA de Virginia | California CCPA + CPRA | Europa RGPD | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Habilidad para Procesar | |||||||||||||||||||||||||||||||||||||||||||||||
| Minimización de datos | Sí | Sí | Sí | – | Sí | No | Sí | ||||||||||||||||||||||||||||||||||||||||
| Propósito permitido | Sí | Sí | Sí | – | Sí | No | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derechos individuales | |||||||||||||||||||||||||||||||||||||||||||||||
| Derecho a recibir notificación de actividades de procesamiento | Sí | Sí | Sí | Sí | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derecho de acceso a los datos personales | Sí | Sí | Sí | – | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derecho a la portabilidad de los datos. Los datos deben estar disponibles en un formato de fácil uso para la transferencia de una entidad/plataforma a otra. | Sí | Sí | Sí | . | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derecho a corregir errores en los datos personales | Sí | No | Sí | – | Sí | No | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derecho de supresión de datos personales | Sí | Sí | Sí | – | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derecho a optar por no recibir publicidad comportamental | Sí | Sí | No | – | Sí | No | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derecho a oponerse a la elaboración de perfiles y la toma de decisiones automatizadas | Sí | Sí | No | – | Sí | No | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derecho a la no discriminación para el ejercicio de estos derechos | Sí | Sí | Sí | – | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Derecho a excluirse de las ventas de información personal | Sí | Sí | Sí | Sí | Sí | Sí | No | ||||||||||||||||||||||||||||||||||||||||
| Optar por aceptar o rechazar el procesamiento de información confidencial | Optar por no | Optar por no | Optar en | – | Optar en | Optar por no | Optar en | ||||||||||||||||||||||||||||||||||||||||
| Derecho a apelar la denegación de solicitudes | Sí | No | No | – | Sí | No | No | ||||||||||||||||||||||||||||||||||||||||
| Rendición de cuentas/gobernanza | |||||||||||||||||||||||||||||||||||||||||||||||
| Evaluaciones de protección de datos | Sí | No | Sí | – | Sí | No | Sí | ||||||||||||||||||||||||||||||||||||||||
| Seguridad | |||||||||||||||||||||||||||||||||||||||||||||||
| Seguridad de datos adecuada para proteger la información | Sí | No | Sí | – | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Notificación de incumplimiento | Sí | Sí | Sí | – | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Transferencias de datos fuera del Espacio Económico Europeo (EEE) | |||||||||||||||||||||||||||||||||||||||||||||||
| Medidas adicionales para transferencias internacionales | Sí | Sí | Sí | – | No | No | Sí | ||||||||||||||||||||||||||||||||||||||||
| Transferencias a Terceros | |||||||||||||||||||||||||||||||||||||||||||||||
| Requisitos contractuales en los acuerdos de proveedores de servicios | Sí | No | Sí | – | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||||||||
| Consentimiento para las cookies de Adtech | Sí | No | No | – | Sí | Sí | Sí | ||||||||||||||||||||||||||||||||||||||||
| Consentimiento obtenido antes de la comercialización directa | Sí | No | Sí | – | No | No | Sí | ||||||||||||||||||||||||||||||||||||||||
| Agencias de aplicación | |||||||||||||||||||||||||||||||||||||||||||||||
| Fiscal General | Departamento de Comercio de Utah | Fiscal General | – | Fiscal General | Fiscal General, CPPA | DPA | |||||||||||||||||||||||||||||||||||||||||
| Fecha operativa | |||||||||||||||||||||||||||||||||||||||||||||||
| 1 julio 2023 | 31 diciembre 2023 | 1 julio 2023 | 1 de octubre de 2019 | 1 enero 2023 | 1 enero 2020/ 1 enero 2023 | 25 mayo 2018 | |||||||||||||||||||||||||||||||||||||||||
Parece estar surgiendo un patrón en la forma en que las legislaturas estatales abordan las leyes generales de protección de la privacidad, como se ilustra en la tabla anterior.
Connecticut SB 6 adopta secciones sustanciales de los estatutos de Colorado y Virginia prácticamente textualmente, incluyendo cómo definir los datos personales, cómo tratar la información personal confidencial y cuándo realizar evaluaciones de impacto de la protección de datos.
¿Cuáles son las disposiciones clave de la SB 6 de Connecticut?
Las siguientes son algunas de las disposiciones más importantes de Connecticut SB 6:
1. Mismos derechos de privacidad que otras leyes estatales
La Ley de Privacidad de Datos de Connecticut establece un conjunto de derechos de privacidad individuales que son similares a los que se encuentran en la UCPA de Utah, la CPA de Colorado, la VCDPA de Virginia y la CCPA/CPRA de California.
Estos derechos incluyen ver, corregir, copiar y eliminar información personal.
Los consumidores también pueden excluirse del procesamiento de sus datos personales para publicidad, venta de datos y creación de perfiles.
La SB 6, al igual que otras leyes estatales de privacidad, incluye un sistema de aceptación para el tipo de procesamiento de datos que involucra a niños de 13 a 16 años.
2. Solicitudes de privacidad sin aprobación técnica
Cuando se trata de la forma en que se presentan y manejan las solicitudes de derechos de privacidad, la nueva ley de Connecticut se parece más a la CPA de Colorado que a la ley de Virginia.
Connecticut se une a California y Colorado para exigir a las empresas que ofrezcan a los clientes la opción de optar por no recibir publicidad o ventas dirigidas a través de algún tipo de mecanismo técnico. Sin embargo, a diferencia de California y Colorado, Connecticut SB 6 no requiere la aprobación de los requisitos del mecanismo técnico por parte del regulador estatal.
3. Definición amplia de venta de datos personales
Según Connecticut SB 6, "venta de datos personales" significa intercambiar datos personales por dinero u otra consideración valiosa con un tercero.
Al adoptar la “contraprestación valiosa” junto con la contraprestación monetaria, la SB 6 brinda una definición más completa de venta, similar a las definiciones de la CCPA de California y la CPA de Colorado.
Hay varias excepciones a la definición de venta de datos personales, incluida la divulgación de datos personales a pedido de un consumidor, las divulgaciones dentro de una empresa y la divulgación o transferencia de datos personales a un tercero que se produce en el contexto de una adquisición, quiebra, o algún otro tipo de transacción.
4. Cumplimiento únicamente por parte del Fiscal General
Connecticut SB 6 sigue el patrón de solo permitir que el Fiscal General enjuicie los delitos.
El Fiscal General de Connecticut, como el de Colorado, debe ofrecer un aviso de 60 días y la oportunidad de rectificar las infracciones.
Las violaciones de la SB 6 se consideran prácticas comerciales engañosas según el estatuto de prácticas y actos desleales y engañosos del estado y pueden resultar en multas civiles de hasta $5,000 además de daños reales y punitivos, así como honorarios y costos de abogados.
5. Seguridad mejorada para información confidencial
La SB 6 de Connecticut, al igual que otras leyes de privacidad, brinda garantías mejoradas para tipos específicos de información.
Estos "datos confidenciales" incluyen información sobre la raza, el origen étnico, las creencias religiosas, el diagnóstico o la condición de salud mental o física, la vida sexual, la orientación sexual, el estado de ciudadanía o el estado migratorio de una persona; datos genéticos y biométricos que pueden ser utilizados para la identificación; información recopilada de niños; e información de geolocalización.
El procesamiento de datos confidenciales requiere el consentimiento del consumidor e, inevitablemente, aumenta el potencial de daño al consumidor, por lo que se requiere una Evaluación de impacto de privacidad de datos (DPIA).
6. Divulgaciones de la política de privacidad
Connecticut SB 6 requiere que las organizaciones actualicen sus Políticas de privacidad para incluir las siguientes divulgaciones:
- Los tipos de datos personales que maneja la empresa;
- Por qué la empresa procesa datos personales;
- Una o más formas seguras y confiables para que los consumidores ejerzan sus derechos de privacidad, incluida la capacidad de apelar una decisión con respecto a una solicitud de derechos de privacidad;
- Las categorías de datos personales intercambiados con terceros, si los hubiere;
- Los tipos de terceros con los que se intercambian datos personales, si los hubiere;
- Una dirección de correo electrónico activa donde un cliente puede contactar a la empresa;
- Si una empresa vende o procesa datos personales para publicidad dirigida, la Política de privacidad debe indicarlo, así como también cómo los clientes pueden optar por no participar.
Plan de cumplimiento de privacidad de Convert
A medida que se introducen más leyes de privacidad, podemos esperar que el panorama cambie aún más, con una legislación aún más novedosa con respecto a la privacidad de datos, así como más rondas de comentarios y revisiones.
Todos estos factores pueden tener un impacto en el cumplimiento de su software y en la redacción de su Política de privacidad.
Entonces, ¿cómo convierte Convert realiza un seguimiento de todos estos datos y se asegura de que no pasemos nada por alto?
1. Creación de alertas de palabras clave relevantes para la privacidad
Comenzamos configurando Alertas de Google para los términos apropiados. Nuestro sistema nos alertará cada vez que se apruebe una nueva legislación, se presente un nuevo proyecto de ley o se decida un caso que contenga cualquiera de nuestros términos de búsqueda. La siguiente captura de pantalla ilustra algunas de esas alertas.
Es posible que no todos los resultados de la búsqueda sean relevantes, por lo que debemos revisar las alertas para asegurarnos de que solo estamos evaluando datos relevantes.
Todo buen investigador sabe que no debe depender de una sola fuente para toda su información. Es por eso que Convert es miembro de varios foros de privacidad. También revisamos semanalmente los materiales proporcionados por la Asociación Internacional de Profesionales de la Privacidad.
La IAPP, por ejemplo, publica un cuadro de comparación de leyes de privacidad (ver más abajo) que contiene información útil sobre todos los proyectos de ley de privacidad que se han introducido.
2. Comprobación de los sitios web de las autoridades de protección de datos (DPA)
Si bien es crucial realizar un seguimiento de los nuevos proyectos de ley, leyes y estatutos, es igualmente importante seguir a las autoridades de protección de datos y sus interpretaciones. Entidades como estas pueden proporcionarle información crucial sobre lo que se hará cumplir y cómo.
En un artículo reciente, describimos cómo la Autoridad de Protección de Datos de Austria hizo ilegal el uso de Google Analytics.
3. Leer artículos de privacidad
Leemos artículos de opinión e historias sobre privacidad y tecnología, así como perspectivas de la industria sobre privacidad e información sobre lo que el público en general piensa sobre las protecciones de privacidad actuales.
Saber cómo se siente la industria y el público en general acerca de la privacidad y la tecnología nos ayuda a evaluar los patrones en la aplicación y la acción legislativa, así como hacia dónde se dirige nuestro sector en el futuro.
4. Actualización de Políticas e Información Relevante
Es importante tener en cuenta que Convert se ocupa de todo lo anterior, no solo de las Políticas de privacidad, sino también de los Términos y condiciones, los Acuerdos de licencia de usuario final, las Exenciones de responsabilidad, los Contratos y los scripts de seguimiento A/B reales.
Después de recopilar toda la información, determinamos si se deben o no hacer revisiones a las políticas y luego las actualizamos.
5. Informar a los visitantes del sitio web
A medida que más consumidores verifican si un sitio web tiene una Política de privacidad y qué prácticas de privacidad se establecen en dichas políticas, el siguiente paso es notificar a los visitantes de nuestro sitio web y a los usuarios de Convert sobre los cambios que estamos realizando. Todas las leyes nuevas requieren que las Políticas de privacidad indiquen su fecha de entrada en vigencia o la última fecha revisada. Si su Política de privacidad incluye esta divulgación, los usuarios del sitio web pueden determinar fácilmente si la política ha sido modificada simplemente mirando su fecha.
Plan Convert para Connecticut SB 6
Si ya tiene una cuenta Convert, ¡no hay nada de lo que deba preocuparse! Realizaremos un seguimiento de esta nueva ley, así como de cualquier revisión o regulación, por usted. Si la ley se aplica a usted, sus políticas se revisarán para incluir las divulgaciones anteriores antes de que la ley entre en vigencia.
Supervisamos de cerca la legislación estatal sobre privacidad y ciberseguridad en Convert. Para obtener más información sobre "cómo prepararse para la SB 6" y otras nuevas leyes de privacidad de EE. UU., visite nuestra hoja de ruta de GDPR .
