La Ley Americana de Derechos de Privacidad (APRA): Todo lo que debe saber

Se necesitó la magia de un eclipse en Estados Unidos para que las legislaturas estadounidenses finalmente avanzaran en el desarrollo de la regulación federal de la privacidad de datos. La Ley Estadounidense de Derechos de Privacidad (APRA, por sus siglas en inglés) es sorprendente, pero no impactante, dado que ha estado en desarrollo durante varios años. La APRA comenzó a tener un camino más directo hacia la realidad a medida que... órdenes ejecutivas Sería difícil implementar la transferencia de datos y la entrega y desarrollo de IA sin una ley nacional.

¿Qué es la Ley de Derechos de Privacidad de Estados Unidos (APRA)?

La Ley Estadounidense de Derechos de Privacidad de 2024 se encuentra actualmente en fase de debate y proporciona un marco nacional de privacidad y seguridad de datos que define los derechos de los consumidores y los requisitos de gestión de datos. Bajo la APRA, las empresas tendrían que limitar el tipo de datos de los consumidores que recopilan, conservan y utilizan, permitiendo únicamente los datos necesarios para la operación de sus servicios.

¿Por qué es importante el APRA?

La nueva legislación completa el rompecabezas de la protección de la privacidad de los datos y se adapta a las nuevas complejidades de la ciberseguridad y los avances tecnológicos, como Inteligencia Artificial (IA)Aborda los constantes desafíos de la privacidad de datos y propone un enfoque más unificado para otorgar a los consumidores derechos específicos sobre sus datos personales. La ARPA otorga a los estadounidenses mayor control sobre su privacidad en línea, como... el derecho a optar por no participar de anuncios dirigidos y emprender acciones legales por violando sus derechos de privacidad.

Lo que necesita saber sobre APRA

El proyecto de ley del APRA es una versión evolucionada del Ley de Privacidad y Protección de Datos de Estados Unidos (ADPPA)Ambas leyes otorgaron derechos de privacidad a los consumidores, exigieron la minimización de datos, medidas de seguridad avanzadas y establecieron la elaboración de normas por parte de la Comisión Federal de Comercio (FTC)Sin embargo, aunque ambos son similares, hay varios cambios significativos que requieren atención:

Exclusiones

La APRA excluye a las pequeñas empresas, sólo si:

• Los ingresos anuales son menos de 40 millones de dólares.
• El procesamiento de datos corresponde a más de 200.000 personas, con excepciones.
• No se obtienen ingresos por la transferencia de datos a terceros.

Responsabilidad ejecutiva

La ARPA requiere un oficial de seguridad o privacidad de datos designado, pero no necesita ser un puesto independiente ni una nueva contratación.

Transparencia de datos

• Las políticas de privacidad deben incluir información específica, incluidas las categorías de datos recopilados, procesados o retenidos; el propósito del procesamiento de datos, la duración de los datos retenidos, las prácticas de seguridad de datos, la lista de terceros y los nombres de cualquier corredor de transferencia de datos.
• La política de privacidad también debe detallar cómo los consumidores pueden ejercer sus derechos.
• Los cambios materiales a la política de privacidad requieren notificación previa y formas de optar por no participar.

Minimización de datos

Se hace especial hincapié en minimización de datos que restringe los datos recogidos y utilizados a los fines considerados necesarios y limitados, con un tratamiento y consentimiento especial para información biométrica y genética.

Seguridad y protección de datos

La APRA exige que las organizaciones establezcan estándares de seguridad de datos adecuados al tamaño de la empresa, la naturaleza y el alcance de la gestión de datos, el volumen y la sensibilidad de los datos, y las tecnologías utilizadas para protegerlos. Las organizaciones también deben evaluar las vulnerabilidades y mitigar los riesgos para los datos de los consumidores.

Derecho privado de acción

La APRA ha introducido un derecho de acción privado. Este derecho permitirá a los consumidores interponer demandas y obtener compensación contra las empresas que cumplan con los derechos de privacidad de datos, como las solicitudes de eliminación de datos o el uso de datos personales sin consentimiento.

Evaluaciones de impacto sobre la privacidad

La APRA exige evaluaciones del impacto en la privacidad de los algoritmos cubiertos que representan un “riesgo consecuente”, especialmente cuando se refieren a:

• Niños y menores
• Vivienda, educación, empleo, atención sanitaria, seguros o crédito
• Alojamientos públicos basados en características protegidas;
• Raza, color, religión y sexo
• Registro y afiliación a partidos políticos.

Proveedores de servicios y terceros

• La APRA exige que las organizaciones realicen la debida diligencia al seleccionar un proveedor de servicios y compartir datos con terceros.
• Los proveedores de servicios deben adherirse a las instrucciones de una entidad cubierta y cumplir con las obligaciones bajo la APRA.

Derechos del consumidor de APRA

Según la APRA, los consumidores tienen derecho a:

• Acceder a sus datos recopilados, procesados o conservados después de enviar una solicitud verificada
• Conocer el nombre de cualquier tercero o proveedor de servicios al que se transfirieron los datos y el propósito de la transferencia
• Corregir datos inexactos o incompletos sobre una persona
• Eliminar los datos de una persona
• Exportar datos pertenecientes a un individuo
• No sufrir represalias por ejercer sus derechos como consumidor
• Exclusión de transferencias de datos y publicidad dirigida
• Exclusión voluntaria de algoritmos para decisiones importantes relacionadas con el empleo, la atención médica, la educación, la vivienda, el crédito o los seguros

Las organizaciones deben cumplir con los derechos individuales de privacidad de datos dentro de los plazos establecidos. Pueden denegar una solicitud si esta requiere acceso a datos de otra persona; interfiere con un proceso legal; o infringe otras leyes.

¿Cómo afecta la ARPA a la legislación estatal nueva y emergente?

Aunque la ARPA se aplicará a nivel nacional, es posible que las leyes de cada estado ya no sean aplicables, pero seguirán siendo relevantes en cuestiones específicas, como protección al consumidor, derechos civiles, salud y datos financieros.

La legislación es similar a las leyes estatales existentes como CCPA/CPRA, que incluyen disposiciones similares en torno a la protección de datos genéticos y biométricos.

Cómo BigID ayuda a las organizaciones a adelantarse a la APRA

Independientemente del resultado del nuevo APRA, BigID está preparado para ayudar a las organizaciones a cumplir con las regulaciones de privacidad en constante evolución y adaptarse al panorama de privacidad de datos en constante cambio mediante la implementación de un programa de privacidad integral.

Aproveche la gestión de privacidad de datos automatizada por IA y consciente de la identidad de BigID para el riesgo y el cumplimiento para ir más allá de las políticas y los procesos para:

• Descubra sus datos: Descubra y catalogue sus datos confidenciales, ya sean estructurados, semiestructurados o no estructurados, tanto en entornos locales como en la nube.
• Mapee sus datos: Automáticamente Asignar PII y PI a identidades, entidades y residencias para visualizar datos en todos los sistemas.
• Hacer cumplir las políticas de privacidad: Garantizar la alineación y el cumplimiento de las políticas de datos de acuerdo con los mandatos de privacidad para cumplir con los requisitos de cumplimiento normativo.
• Automatizar la gestión de derechos de datos: Automatice las solicitudes de cumplimiento de derechos de datos personales individuales, desde acceso y actualizaciones hasta apelaciones y eliminación.
• Seguimiento de violaciones y ética de la IA: Evaluar y supervisar la tecnología de IA y su uso en toda la organización para proteger los datos personales y remediar los riesgos.
• Monitorear las transferencias transfronterizas de datos: Aplicar la residencia a fuentes de datos y a datos personales individuales con políticas para activar alertas sobre violaciones a las transferencias transfronterizas de datos.
• Evaluar los riesgos de privacidad: Iniciar, gestionar, documentar y completar diversas evaluaciones, incluidas PIA, DPIA, proveedor, AI, TIA, LIA y más para el cumplimiento y la reducción de riesgos.
• Acelerar el análisis y la respuesta ante infracciones: Determinar con precisión el alcance de una violación de datos y notificar a las personas y entidades adecuadas según los requisitos reglamentarios.
• Optimice la gestión del ciclo de vida de los datos: Aplique un enfoque basado en políticas para automatizar la gestión del ciclo de vida de los datos en la recopilación, retención y eliminación.

Obtenga una demostración 1:1 para ver cómo BigID permite a las empresas automatizar y poner en funcionamiento sus programas de privacidad para cumplir con la APRA.

Autor

Verrion Wright

Estrategia y desarrollo de contenidos

Verrion Wright es un ambicioso experto en marketing con más de 20 años de experiencia en marketing de productos, desarrollo de contenidos y estrategia digital. Centrado en la información basada en datos y el marketing integrado, ha ocupado puestos de responsabilidad en diversos sectores, como los servicios informáticos, la privacidad de datos, el marketing y la publicidad (planificación de medios). En BigID, Verrion es el Director de Estrategia y Desarrollo de Contenidos, que ayuda a elevar el contenido a través de todos los pilares, regiones y compradores, creando consistentemente contenido convincente a través de varios medios - incluyendo vídeo, artículos, listas de control, libros blancos y guías.