El primer estado de Nevada para las leyes de exclusión voluntaria: ¿Qué tan bien está preparado Convert?

Publicado: 2019-06-13
El primer estado de Nevada para las leyes de exclusión voluntaria: ¿Qué tan bien está preparado Convert?

El 29 de mayo de 2019, el gobernador de Nevada promulgó la ley SB 220.

Esta ley modifica la ley de seguridad y privacidad existente de Nevada para exigir que un operador de un sitio web o servicio en línea con fines comerciales permita a los consumidores excluirse de la venta de cualquier información de identificación personal cubierta que el operador haya recopilado o recopilará sobre el consumidor .

La ley entra en vigencia el 1 de octubre de 2019 , varios meses antes de la fecha de vigencia de la Ley de Privacidad del Consumidor de California (CCPA) del 1 de enero de 2020 y, por lo tanto, se convertirá en la primera de su tipo en implementarse en los EE. UU., siguiendo el GDPR en Los Estados unidos.

SB 220 es una enmienda sustancial a la ley de privacidad existente de Nevada y presenta un nuevo desafío para la industria en general. A primera vista, la ley tiene un alcance más limitado que la CCPA e incluye definiciones más limitadas de "consumidor" y "venta", además de establecer excepciones para las instituciones financieras cubiertas por la Ley Gramm-Leach-Bliley ("GLBA") y entidades cubiertas bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico ("HIPPA").

No obstante, las empresas que se enfocan en el cumplimiento de la CCPA ahora deben cambiar los recursos para cumplir con la SB 220.

Lo siguiente proporciona una comparación de alto nivel de la CCPA con la ley de privacidad en línea revisada de Nevada:

Ley de Privacidad de Nevada
Fuente de la imagen: https://www.bclplaw.com

Requisitos de la SB 220

La SB 220 tiene cuatro requisitos principales, pero varias definiciones y exclusiones clave rigen la aplicación de la ley:

  1. Un "operador" debe establecer una "dirección de solicitud designada" a través de la cual un consumidor puede enviar una "solicitud verificada" indicándole al operador que no realice ninguna venta de "información cubierta" recopilada sobre el consumidor.
  2. El consumidor puede enviar una solicitud verificada a través de la dirección de solicitud designada, en cualquier momento, indicando a un operador que no realice ninguna venta de la información cubierta que el operador haya recopilado sobre el consumidor.
  3. Un operador que recibe una solicitud verificada tiene prohibido realizar cualquier venta de cualquier información cubierta que el operador haya recopilado o recopilará sobre el consumidor.
  4. Un operador debe responder a la solicitud verificada de un consumidor dentro de los 60 días. El operador puede extender el período de respuesta no más de 30 días si (a) el operador determina que dicha extensión es razonablemente necesaria; y (b) un operador que extiende el período de respuesta notifica al consumidor de tal extensión.

Entonces, veamos qué está haciendo Convert para cumplir con la Ley de privacidad de Nevada y sus requisitos.

Los consumidores de Nevada tendrán derecho a optar por no participar en la venta de información personal

Como es el caso bajo la CCPA, los consumidores de Nevada podrán optar por no participar en la venta de "información cubierta", que incluye cualquiera de los siguientes elementos recopilados a través de un sitio web o servicio en línea:

  • Un nombre y apellido.
  • Una casa u otra dirección física que incluye el nombre de una calle y el nombre de una ciudad o pueblo.
  • Una dirección de correo electrónico (correo electrónico).
  • Un número de teléfono.
  • Un número de seguro social.
  • Un identificador que permite contactar a una persona específica ya sea físicamente o en línea.
  • Cualquier otra información sobre una persona recopilada de la persona a través del sitio web de Internet o el servicio en línea del operador y mantenida por el operador en combinación con un identificador en una forma que hace que la información sea personalmente identificable.

Muchas organizaciones tienen poca visibilidad sobre qué información venden y dónde existe.

En Convert nos hemos preparado para esto a través del principio de minimización de datos GDPR. Anonimizamos las identificaciones de los visitantes en nuestro seguimiento al agrupar a cientos de visitantes del sitio web en grupos de visitantes que solo cuentan la presencia del visitante.

Los visitantes individuales no se almacenan en Convert Experiences. No es posible volver a conectar recuentos de grupos a visitantes individuales de ninguna manera.

GDPR nos brindó la oportunidad de analizar detenidamente lo que estábamos almacenando en Convert y cuál era el caso de uso para mantenerlo en un entorno cada vez más centrado en la privacidad.

Las organizaciones deben establecer una dirección de solicitud designada

La nueva ley de Nevada establece que las organizaciones dentro del alcance de la ley " establecerán una dirección de solicitud designada a través de la cual un consumidor puede enviar una solicitud verificada".

En Convert, usamos la dirección [email protected] para recibir y verificar las solicitudes de exclusión, y esto ha estado vigente desde el RGPD. Estas solicitudes se canalizan a una cola central y nuestro oficial de protección de datos las responde de manera oportuna siguiendo los requisitos de GDPR y las demás leyes de privacidad que se aplican.

Las solicitudes verificadas deben responderse dentro de los 60 días

El RGPD otorga a las organizaciones 30 días para responder a las solicitudes de los consumidores, mientras que la CCPA es más indulgente con 45 días.

La ley de Nevada extiende este plazo a 60 días, al mismo tiempo que otorga a las organizaciones el derecho a una extensión de 30 días si es razonablemente necesario. Las tres leyes tienen diferentes regímenes de prórroga y exigen a los operadores informar a los consumidores en distintas ventanas de tiempo.

Convert está preparado para la respuesta de 30 días de GDPR y hasta ahora hemos cumplido con éxito todas nuestras solicitudes, lo que facilita responder a las solicitudes de Nevada dentro del período obligatorio de 60 días.

La solicitud debe ser verificada antes de responder

Como es el caso bajo GDPR y CCPA, las organizaciones deben verificar la identidad del consumidor antes de responder a una solicitud.

Convert también facilita esta verificación cuando un consumidor envía una solicitud de exclusión, al enviar una identificación a través de un archivo adjunto seguro que solo el consumidor conocería.

Convert se toma en serio todas las leyes de privacidad (UE y EE. UU.)

Aunque las legislaciones de privacidad se han estancado o han fallado en otros estados, la aprobación de la SB-220 en Nevada sirve como un recordatorio de que mantener el cumplimiento de las obligaciones legales y reglamentarias en un mundo digital seguirá siendo un desafío en el futuro cercano.

Estamos observando varios otros estados donde todavía se está considerando alguna forma de legislación inspirada en la CCPA (Oregón, Texas, Maine, Utah) y estarán preparados para operar en un entorno en el que todos sean funcionales.

Convert maneja bien todas nuestras operaciones de procesamiento de datos y los terceros a quienes se transfieren los datos.

Para obtener más información sobre cómo prepararse para la CCPA y posibles otras nuevas leyes de privacidad de EE. UU., consulte nuestra hoja de ruta del RGPD.

Lista de proveedores de privacidad
Lista de proveedores de privacidad