La larga espera para ver si algún estado se unía a California en la aprobación de una ley integral de privacidad llega por fin a su fin, ya que el Senado de Virginia aprobó el 3 de febrero la Ley de Protección de Datos de los Consumidores de Virginia (CDPA). Una versión idéntica del proyecto de ley ya había sido aprobada por la Cámara de Delegados de Virginia el 29 de enero, lo que significa que la conciliación de las dos versiones del proyecto antes de la fecha límite del 11 de febrero será probablemente una mera formalidad. El proyecto de ley se enviará entonces al gobernador de Virginia para que lo firme. Si se convierte en ley, la CDPA de Virginia entrará en vigor el 1 de enero de 2023, el mismo día que la Ley de Derechos de Privacidad de California (CPRA).
La CDPA toma prestados principios de la CPRA, la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR), pero también difiere de los tres en aspectos clave. A continuación resumimos las principales disposiciones de la CDPA. Seguiremos proporcionando actualizaciones a medida que el proyecto de ley avance en la legislatura de Virginia.
1. Aplicabilidad. La CDPA toma prestado de la CCPA el uso de requisitos de umbral para determinar la aplicabilidad. La ley se aplica a “las personas que lleven a cabo negocios en [Virginia] o que produzcan productos o servicios dirigidos a los residentes de [Virginia] y que 1) durante un año natural, controlen o procesen datos personales de al menos 100.000 residentes de Virginia o 2) controlen o procesen datos personales de al menos 25.000 residentes de Virginia y obtengan más del 50 por ciento de los ingresos brutos de la venta de datos personales.”
2. Exenciones. A pesar de ser etiquetada como una ley de privacidad “integral”, la CDPA tiene una serie de exenciones (al igual que la CCPA y la CPRA). Algunas de estas exenciones son similares a las de la CCPA y la CPRA, pero en algunos casos son más amplias que las de las otras dos leyes. Por ejemplo, en lugar de eximir únicamente la información sujeta a la Ley Gramm-Leach-Bliley (GLBA) o la información sanitaria protegida en virtud de la Ley de Portabilidad y Responsabilidad de la Información Sanitaria (HIPAA), la CDPA no se aplica a las “instituciones financieras . . sujetas a [la GLBA]” o a cualquier “entidad cubierta o asociado comercial regido por [la HIPAA]”. La ley también exime la información sujeta a la mayoría de las demás leyes federales, como la información regulada por la Ley de Educación y Privacidad de la Familia, la Ley de Informes de Crédito Justos, la Ley de Crédito Agrícola, la Ley de Protección de la Privacidad de los Niños en Línea (COPPA) y la Ley de Protección de la Privacidad de los Conductores.
Administrador para consentimiento de cookies | Pruébalo gratis durante 2 semanas
Evalúa gratis nuestros planes de pago durante 2 semanas o crea una cuenta gratuita …
3. Distinción entre responsable y encargado del tratamiento. Al igual que el GDPR (y a diferencia de la CCPA, que distingue entre “empresas” y “proveedores de servicios”), la CDPA utiliza una dicotomía controlador/procesador para distinguir entre las entidades que son responsables de determinar los fines y los medios del procesamiento de datos personales y las entidades que procesan la información personal en su nombre. Al igual que el GDPR, la CDPA crea obligaciones específicas tanto para los controladores como para los procesadores (y ambos pueden ser considerados responsables en virtud de la ley).
4. Amplia definición de datos personales. Al igual que las otras tres leyes de privacidad analizadas, la CDPA tiene una amplia definición de “datos personales”. Define el término como “cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable”. La definición de datos personales excluye explícitamente la información disponible públicamente y los datos desidentificados (y la ley tiene normas específicas sobre cómo deben tratar las empresas los datos desidentificados).
5. Inclusión de la categoría de datos sensibles. La CDPA tiene una categoría separada denominada “datos sensibles” que se define como 1) datos personales que revelen el origen racial o étnico, las creencias religiosas, el diagnóstico de salud mental o física, la orientación sexual o la situación de ciudadanía o inmigración; 2) datos genéticos o biométricos (utilizados con el fin de identificar a una persona física); 3) datos personales recogidos de un niño; o 4) datos de geolocalización precisos. Los responsables del tratamiento sólo pueden tratar los datos sensibles con el consentimiento del consumidor (o con el consentimiento de los padres de acuerdo con la COPPA, en el caso de los datos de los niños).
¿Eres una agencia, diseñador web u otro distribuidor?
Obtén una comisión del 30%, échale un vistazo a nuestro modelo para distribuidores o contáctanos para números superiores a 500 clientes
6. Derechos individuales. Al igual que las tres leyes comentadas anteriormente, la CDPA crea derechos individuales para los residentes de Virginia que están protegidos por la ley. Entre ellos se encuentran: 1) el derecho de acceso; 2) el derecho de rectificación; 3) el derecho de supresión; 4) el derecho a la portabilidad de los datos; y 5) el derecho a excluirse del tratamiento de los datos personales con fines de publicidad dirigida, venta y elaboración de perfiles para promover decisiones que produzcan efectos legales o de importancia similar sobre el consumidor.
7. Evaluaciones de protección de datos. Al igual que el GDPR y la CPRA, la CDPA exige a las entidades que realicen evaluaciones de protección de datos cuando traten datos en determinados contextos. En concreto, la CDPA exige una evaluación de la protección de datos cuando un responsable del tratamiento 1) trate datos personales con fines de publicidad dirigida; 2) venda datos personales; 3) trate datos personales con fines de elaboración de perfiles (en determinados contextos); 4) trate datos sensibles; y 5) lleve a cabo cualquier actividad de tratamiento que presente un riesgo elevado de perjuicio para los consumidores.
8. Aplicación. Al igual que la CCPA, la CDPA es aplicable mediante acciones civiles interpuestas por el fiscal general y también incluye una disposición de subsanación de 30 días. Las sanciones previstas en la CDPA, tanto para los controladores como para los procesadores, pueden alcanzar los 7.500 dólares por infracción. A diferencia de la CCPA, la CDPA no tiene ningún derecho de acción privada, ni siquiera para los incidentes de seguridad.