Prepárese para la CDPA: la costa este se encuentra con la costa oeste cuando Virginia firma la ley de privacidad
Publicado: 2021-04-22
El estado de Virginia votó recientemente para convertirse en el primer estado de la costa este en promulgar una ley que rija cómo las empresas protegen los datos personales de los consumidores. La nueva ley se produce cuando los gigantes tecnológicos enfrentan el rechazo de los legisladores y los consumidores por el manejo de la información personal.
El proyecto de ley de la Ley de Protección de Datos del Consumidor de Virginia (CDPA) se convirtió en ley el 2 de marzo de 2021 y entrará en vigencia en 2023.
Al igual que la Ley de Privacidad del Consumidor de California de 2018 (CCPA), la Ley de Derechos de Privacidad de California de 2020 (CPRA) e incluso el RGPD de Europa, la CDPA es el último desarrollo en lo que ha sido un año decisivo para la legislación de privacidad en los Estados Unidos.
Pero las empresas que han trabajado en el cumplimiento de las demás leyes no deben dormirse en los laureles. Todavía necesitan prepararse para la CDPA, que tiene disposiciones diferentes a las de la CCPA o la CPRA.
En este artículo, echamos un vistazo a estas distintas disposiciones de la Ley de Virginia y las comparamos con la CCPA (modificada por la CPRA) y el RGPD.
| Disposiciones clave | CDPA de Virginia | California CCPA + CPRA | Europa RGPD | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Habilidad para Procesar | |||||||||||||||||||||||
| Minimización de datos | Sí | No | Sí | ||||||||||||||||||||
| Propósito permitido | Sí | No | Sí | ||||||||||||||||||||
| Derechos individuales | |||||||||||||||||||||||
| Derecho a recibir notificación de actividades de procesamiento | Sí | Sí | Sí | ||||||||||||||||||||
| Derecho de acceso a los datos personales | Sí | Sí | Sí | ||||||||||||||||||||
| Derecho a la portabilidad de los datos (es decir, los datos deben proporcionarse en un formato fácilmente utilizable, de modo que puedan transferirse de una entidad/plataforma a otra) | Sí | Sí | Sí | ||||||||||||||||||||
| Derecho a corregir errores en los datos personales | Sí | No | Sí | ||||||||||||||||||||
| Derecho de supresión de datos personales | Sí | Sí | Sí | ||||||||||||||||||||
| Derecho a optar por no recibir publicidad comportamental | Sí | No | Sí | ||||||||||||||||||||
| Derecho a oponerse a la elaboración de perfiles y la toma de decisiones automatizadas | Sí | No | Sí | ||||||||||||||||||||
| Derecho a la no discriminación para el ejercicio de estos derechos | Sí | Sí | Sí | ||||||||||||||||||||
| Derecho a excluirse de las ventas de información personal | Sí | Sí | No | ||||||||||||||||||||
| Optar por aceptar o rechazar el procesamiento de información confidencial | Optar en | Optar por no | Optar en | ||||||||||||||||||||
| Derecho a apelar la denegación de solicitudes | Sí | No | No | ||||||||||||||||||||
| Rendición de cuentas/gobernanza | |||||||||||||||||||||||
| Evaluaciones de protección de datos | Sí | No | Sí | ||||||||||||||||||||
| Seguridad | |||||||||||||||||||||||
| Seguridad de datos adecuada para salvaguardar la información | Sí | Sí | Sí | ||||||||||||||||||||
| Notificación de incumplimiento | Sí | Sí | Sí | ||||||||||||||||||||
| Transferencias de datos fuera del EEE | |||||||||||||||||||||||
| Medidas adicionales para transferencias internacionales | No | No | Sí | ||||||||||||||||||||
| Transferencias a Terceros | |||||||||||||||||||||||
| Requisitos contractuales en los acuerdos de proveedores de servicios | Sí | Sí | Sí | ||||||||||||||||||||
| Marketing | |||||||||||||||||||||||
| Consentimiento para las cookies de Adtech | Sí | Sí | Sí | ||||||||||||||||||||
| Consentimiento obtenido antes de la comercialización directa | No | No | Sí | ||||||||||||||||||||
| Agencias de aplicación | |||||||||||||||||||||||
| Fiscal General | Fiscal General, CPPA | DPA | |||||||||||||||||||||
| Fecha operativa | |||||||||||||||||||||||
| 1 enero 2023 | 1 enero 2020 / 1 enero 2023 | 25 mayo 2018 | |||||||||||||||||||||
Las empresas que han trabajado para lograr el cumplimiento de la CCPA o el RGPD encontrarán que estas leyes tienen mucha verborrea y terminología similares; sin embargo, es un error suponer que la ley de Virginia tiene requisitos idénticos.
Si bien existen similitudes con la CCPA y el RGPD, la CDPA contiene matices que probablemente sean exclusivos de cada organización.
Si se siente abrumado al leer esto, consulte las instrucciones paso a paso que presentamos a continuación para ayudarlo a abordar el cumplimiento de la nueva ley de privacidad.
Primero, haga que los abogados, los profesionales de TI y los especialistas en privacidad dentro de su organización evalúen la aplicación de la ley a su empresa. Luego, identifique cualquier brecha y desarrolle un plan de cumplimiento que incluya soluciones para estos problemas.
Entremos en más detalles, ¿de acuerdo?
Para lograr el cumplimiento de la CDPA, debe:
- Cree y mantenga un inventario de datos completo, que proporcione información sobre los tipos de datos involucrados y la naturaleza de las actividades de procesamiento.
- Asegúrese de que los datos confidenciales se separen y gestionen sin riesgos innecesarios.
- Implementar un marco para realizar evaluaciones de impacto de protección de datos (DPIA).
- Evalúe las políticas, prácticas y controles de ciberseguridad existentes para asegurarse de que sean consistentes con los estándares reconocidos por la industria.
- Permitir que los consumidores opten por no participar en la venta de su información personal (cuando corresponda).
- Actualice las políticas de privacidad de cara al público para, entre otros cambios, comprometerse a no volver a identificar los datos personales no identificados y proporcionar detalles sobre sus actividades de procesamiento de datos.
- Desarrollar mecanismos para aceptar, rastrear, verificar y cumplir con las solicitudes de los consumidores para acceder, corregir, eliminar y excluirse de los datos personales en virtud de la CDPA.
- Asegúrese de que sus empleados de servicio al cliente tengan un conocimiento preciso de las regulaciones para satisfacer las solicitudes de los consumidores de manera eficiente y predecible.
Finalmente, si bien 2023 puede parecer un futuro lejano, no posponga la creación de su plan de cumplimiento.
Si otras leyes de privacidad recientes nos enseñaron algo, es que estas iniciativas requieren grandes esfuerzos y tiempo para planificar cuidadosamente, detectar brechas en sus mecanismos de privacidad e implementar nuevas políticas, procesos y esfuerzos de remediación.
No es demasiado pronto para comenzar los esfuerzos de cumplimiento de la CDPA a medida que más estados, como Nueva York y Washington, comienzan a promulgar leyes de protección de la privacidad del consumidor.
A medida que más legislaturas estatales se vuelven activas en la aprobación de proyectos de ley o leyes de protección de la privacidad del consumidor, una cosa queda clara: garantizar la privacidad del cliente ya no puede ser una ocurrencia tardía. Debe integrarse en su modelo de negocio.
