Utah: otro estado que aprobará una ley de privacidad de datos, la UCPA
Publicado: 2022-05-31
En marzo de 2022, el gobernador de Utah, Spencer J. Cox, promulgó el proyecto de ley del Senado (SB) 227, también conocido como la Ley de Privacidad del Consumidor de Utah (UCPA) .
La UCPA es una ley de privacidad intersectorial que otorga a los consumidores de Utah importantes derechos de privacidad sobre su información personal. Cualquier dato relacionado con un individuo identificado o identificable se conoce como datos personales . Se aplican requisitos de cumplimiento adicionales a las categorías de "datos confidenciales" definidas con mayor precisión. La ley entrará en vigor el 31 de diciembre de 2023.
La UCPA es similar pero no idéntica a los estatutos de privacidad del consumidor de California, Virginia, Nevada y Colorado. Está fuertemente inspirado en la Ley de Protección de Datos del Consumidor de Virginia (VCDPA), y algunos elementos similares a VCDPA también se pueden encontrar en la Ley de Privacidad de Colorado.
A primera vista, ciertas características de la UCPA parecen similares a la Ley de Privacidad del Consumidor de California (CCPA). En la práctica, sin embargo, es un enfoque de la privacidad del consumidor más suave y favorable para las empresas que sus predecesores .
¿En qué se diferencia la UCPA de otras leyes estatales de privacidad?
He aquí una comparación de alto nivel de las disposiciones de la UCPA con las de
- La Ley de Privacidad de Colorado (CPA)
- La Ley de Privacidad del Estado de Nevada (SB200)
- VCDPA
- CCPA (modificada por la Ley de Derechos de Privacidad de California (CPRA))
- El Reglamento General de Protección de Datos (RGPD)
| Disposiciones clave | UCP de Utah | CPA de Colorado | nevada sb220 | CDPA de Virginia | California CCPA + CPRA | Europa RGPD | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Habilidad para Procesar | |||||||||||||||||||||||||||||||||||||||||
| Minimización de datos | Sí | Sí | – | Sí | No | Sí | |||||||||||||||||||||||||||||||||||
| Propósito permitido | Sí | Sí | – | Sí | No | Sí | |||||||||||||||||||||||||||||||||||
| Derechos individuales | |||||||||||||||||||||||||||||||||||||||||
| Derecho a recibir notificación de actividades de procesamiento | Sí | Sí | Sí | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Derecho de acceso a los datos personales | Sí | Sí | – | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Derecho a la portabilidad de los datos. Los datos deben estar disponibles en un formato de fácil uso para la transferencia de una entidad/plataforma a otra. | Sí | Sí | . | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Derecho a corregir errores en los datos personales | No | Sí | – | Sí | No | Sí | |||||||||||||||||||||||||||||||||||
| Derecho de supresión de datos personales | Sí | Sí | – | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Derecho a optar por no recibir publicidad comportamental | Sí | No | – | Sí | No | Sí | |||||||||||||||||||||||||||||||||||
| Derecho a oponerse a la elaboración de perfiles y la toma de decisiones automatizadas | Sí | No | – | Sí | No | Sí | |||||||||||||||||||||||||||||||||||
| Derecho a la no discriminación para el ejercicio de estos derechos | Sí | Sí | – | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Derecho a excluirse de las ventas de información personal | Sí | Sí | Sí | Sí | Sí | No | |||||||||||||||||||||||||||||||||||
| Optar por aceptar o rechazar el procesamiento de información confidencial | Optar por no | Optar en | – | Optar en | Optar por no | Optar en | |||||||||||||||||||||||||||||||||||
| Derecho a apelar la denegación de solicitudes | No | No | – | Sí | No | No | |||||||||||||||||||||||||||||||||||
| Rendición de cuentas/gobernanza | |||||||||||||||||||||||||||||||||||||||||
| Evaluaciones de protección de datos | No | Sí | – | Sí | No | Sí | |||||||||||||||||||||||||||||||||||
| Seguridad | |||||||||||||||||||||||||||||||||||||||||
| Seguridad de datos adecuada para proteger la información | No | Sí | – | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Notificación de incumplimiento | Sí | Sí | – | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Transferencias de datos fuera del Espacio Económico Europeo (EEE) | |||||||||||||||||||||||||||||||||||||||||
| Medidas adicionales para transferencias internacionales | Sí | Sí | – | No | No | Sí | |||||||||||||||||||||||||||||||||||
| Transferencias a Terceros | |||||||||||||||||||||||||||||||||||||||||
| Requisitos contractuales en los acuerdos de proveedores de servicios | No | Sí | – | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||
| Consentimiento para las cookies de Adtech | No | No | – | Sí | Sí | Sí | |||||||||||||||||||||||||||||||||||
| Consentimiento obtenido antes de la comercialización directa | No | Sí | – | No | No | Sí | |||||||||||||||||||||||||||||||||||
| Agencias de aplicación | |||||||||||||||||||||||||||||||||||||||||
| Departamento de Comercio de Utah | Fiscal General | – | Fiscal General | Fiscal General, CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| Fecha operativa | |||||||||||||||||||||||||||||||||||||||||
| 31 diciembre 2023 | 1 julio 2023 | 1 de octubre de 2019 | 1 enero 2023 | 1 enero 2020/ 1 enero 2023 | 25 mayo 2018 | ||||||||||||||||||||||||||||||||||||
Como se desprende de la tabla anterior, las empresas que cumplen con CCPA, CPRA, VCDPA y CPA probablemente no tendrán problemas para cumplir con los criterios de UCPA.
La UCPA utiliza la nomenclatura de "controlador" y "procesador" del RGPD y no ofrece a los consumidores un derecho privado de acción por supuestas violaciones. Como todas las demás regulaciones gubernamentales, pone a los consumidores en control de su información personal .
Sin embargo, también hace ciertas distinciones vitales.
Por ejemplo, UCPA no otorga a los consumidores el derecho a que se corrijan los errores en sus datos personales , ni exige que los controladores realicen evaluaciones de impacto de protección de datos (DPIA) de operaciones de procesamiento específicas.
UCPA obliga a las empresas cubiertas a proporcionar a los consumidores avisos y la oportunidad de optar por no participar antes de procesar sus datos confidenciales.
Esto contrasta con la VCDPA y la CPA, que requieren permiso de suscripción para recopilar y procesar datos confidenciales. Además, en lugar de ir directamente al Fiscal General (AG), las quejas de los consumidores se envían a través del Departamento de Comercio de Utah, que puede presentar inquietudes al AG.
Disposiciones clave de la UCPA
Estas son algunas disposiciones clave de la UCPA.
Definición amplia de datos personales y datos confidenciales
De acuerdo con la UCPA, los datos personales son cualquier información que se relacione con una persona identificada o identificable o que pueda vincularse razonablemente a ella. Clasifica tipos específicos de datos como "datos confidenciales", que están sujetos a estándares y limitaciones adicionales que no se aplican a otros tipos de datos personales.
Menos derechos de los interesados
Los consumidores tienen cuatro derechos básicos bajo la UCPA:
- Derecho de acceso: El derecho a saber si un controlador está tratando o no los datos personales del consumidor y tener acceso a esos datos.
- Derecho de supresión: Derecho del consumidor a que se supriman los datos personales facilitados al responsable del tratamiento.
- Derecho a la portabilidad: Derecho a obtener una copia de los datos personales del consumidor previamente proporcionados al responsable del tratamiento en un formato portátil y de fácil acceso, que permita al consumidor transmitir los datos a otro responsable del tratamiento sin restricciones.
- Derecho a optar por no participar: el derecho a rechazar el procesamiento de datos personales para "publicidad dirigida" y "venta".
A pesar de todos estos derechos importantes, la UCPA, a diferencia de otras leyes estatales, no ofrece a los consumidores la posibilidad de corregir la información personal inexacta.
Avisos de privacidad accesibles y claros
UCPA también requiere que los controladores proporcionen a los consumidores un aviso que debe contener al menos la siguiente información:
- Los tipos de datos personales que procesa el controlador
- Las finalidades para las que se tratan las distintas categorías de datos
- Cómo los clientes pueden ejercer sus derechos
- Los tipos de datos personales que el controlador, en su caso, comparte con terceros
- Terceros con los que el controlador intercambie datos personales , si corresponde
Acuerdos de procesamiento de datos más ligeros (DPA)
El UCPA incluye Acuerdos de procesamiento de datos más ligeros y requiere que un controlador se vincule con un procesador. Este procesador administra y procesa datos personales para el controlador.
Los términos que celebren el responsable y el encargado del tratamiento deberán especificar:
- La naturaleza y el objeto del contrato
- Duración del procesamiento
- El tipo de interesado
- Los derechos y obligaciones de cada parte
Los procesadores también deben obligar a los subcontratistas a mantener la confidencialidad y encargarlos solo a través de un contrato documentado . Este contrato considera que el subcontratista es un procesador si se encarga de los datos en nombre de un procesador.
A diferencia de otras leyes de privacidad, la UCPA no requiere términos de procesamiento de datos para auditar a los procesadores ni permite que los controladores opten por no subcontratar un procesador.
Requisitos de seguridad familiares
La UCPA tiene una sección sobre seguridad. Especifica que los controladores emplean prácticas apropiadas de seguridad de datos físicos, técnicos y administrativos para proteger los datos personales y eliminar los riesgos previsibles de daño a los consumidores en función del tamaño, el alcance, el volumen y la naturaleza del procesamiento.
Lista de verificación de cumplimiento de UCPA de Convert
Las organizaciones que operan en Utah deben considerar la UCPA de la misma manera que otras leyes estatales. Sin embargo, puede ser un desafío marcar cada casilla cuando se trata de cumplimiento.
Para ayudar a las organizaciones a navegar por las complejidades de la UCPA, hemos compilado esta práctica lista de verificación de cumplimiento.
Esto es lo que debe tener en cuenta:
- Asegúrese de que su negocio esté cubierto por la UCPA . Las organizaciones deben evaluar si cumplen con el umbral jurisdiccional de la UCPA, incluido el umbral financiero y de volumen de datos.
- Reconsidere su política de privacidad. Revise su política de privacidad para reflejar el procesamiento de datos personales, comunicando derechos adicionales del consumidor e identificando los medios para que los consumidores ejerzan esos derechos.
- Utilice prácticas razonables de seguridad de datos para proteger sus datos. Examine sus políticas, prácticas y controles de ciberseguridad para asegurarse de que cumplan con los estándares de la industria.
- Permitir que los visitantes opten por que no se procesen sus datos personales (si corresponde). Proporcionar una forma para que los residentes de Utah ejerzan su derecho a excluirse si una empresa vende o utiliza su información personal para publicidad dirigida.
- Implementar un mecanismo de recopilación de datos confidenciales. Las empresas no deben recopilar datos confidenciales sin dar a los consumidores una advertencia y la oportunidad de optar por no participar. Para cumplir con esta obligación, las empresas deben implementar sistemas de exclusión adecuados.
- Recibir y responder a las consultas de los consumidores con prontitud. Desarrollar procedimientos para aceptar, rastrear, reconocer y cumplir con las solicitudes de los consumidores para ejercer sus derechos de acceso y borrado de UCPA.
Convert Respeta todas las leyes de privacidad (UE + EE. UU.)
El cumplimiento de las leyes de Utah debe manejarse de la misma manera que otras leyes estatales, con cambios menores en el lenguaje para aclarar que se aplican solo a los residentes de Utah. La UCPA puede requerir una segmentación geográfica diferente de los mensajes de exclusión voluntaria, que debe indicarse explícitamente.
Convert vigila de cerca la legislación estatal sobre privacidad y ciberseguridad. Para obtener más información sobre "cómo prepararse para la UCPA" y otras nuevas leyes de privacidad de EE. UU., consulte nuestra hoja de ruta del RGPD .
