Lista de verificación de cumplimiento de la CDPA – Protección de los datos del consumidor

Virginia puede haber sido el décimo estado de los EE. UU., pero es el segundo estado después de California en aprobar legislación sobre privacidad de datos en ley.

Haga clic aquí para descargar la lista de verificación – o continúe para obtener detalles sobre cómo las empresas pueden prepararse para el Ley de Privacidad de Datos del Consumidor de Virginia (CDPA).

Descripción general de la CDPA

Virginia Ley de Privacidad de Datos del Consumidor (CDPA) se promulgó el 1 de enero de 2023. La nueva legislación pone los derechos de los datos en manos de los consumidores de Virginia e impone nuevas obligaciones a los controladores y procesadores de datos, lo que se aplica a cualquier persona que realice negocios en la Mancomunidad de Virginia o produzca productos o servicios para los residentes de Virginia.

¿A quién protege la Ley de Privacidad de Datos del Consumidor?

La ley protege a cualquier persona que sea residente o miembro del hogar de Virginia y que pueda ser razonablemente identificado.

La legislación fue diseñada para proteger a los consumidores de Virginia y motivar (y hacer cumplir) a todas las organizaciones que procesan información de los residentes de Virginia a ser responsables de la protección de la privacidad de los datos y la salvaguarda adecuada de los datos de los consumidores.

Ámbito territorial de la CDPA

Toda empresa que recopile datos personales y realice negocios en la Mancomunidad de Virginia, o que produzca productos o servicios dirigidos a residentes de Virginia, debe cumplir con la CDPA. La CDPA establece límites a la cantidad de datos recopilados, procesados y monetizados con estos términos específicos:

• Cualquier empresa que controle o procese los datos personales de 100,000 o más consumidores de Virginia dentro de un año
• Cualquier empresa que controle o procese los datos personales de al menos 25.000 consumidores y obtenga más de 50% de ingresos brutos por la venta de datos personales.

Sanciones y cumplimiento de la CDPA

• La CDPA de Virginia no otorga un derecho de acción privado, lo que significa que los ciudadanos de Virginia no pueden emprender acciones legales por violaciones de la CDPA.
• El fiscal general de Virginia gestiona exclusivamente la aplicación de la CDPA.
• Si un responsable del tratamiento incumple, puede recibir una multa de hasta $7,500 por infracción. El responsable del tratamiento debe resolver la situación y notificar por escrito el incumplimiento y la resolución.

Derechos de los consumidores según la CDPA

• derecho de acceso: Los consumidores pueden enviar una solicitud de acceso del interesado (DSAR) obtener acceso a su información personal, lo que también incluye el derecho a confirmar si una organización está procesando datos personales del consumidor
• derecho de corrección: Las empresas deben ofrecer a los consumidores la posibilidad de actualizar y corregir información inexacta que una empresa pueda tener sobre ellos.
• derecho de supresión: Los consumidores tienen derecho a solicitar que se eliminen sus datos (o se pongan en cuarentena razonablemente)
• derecho a la portabilidad de datos: Los consumidores deben tener sus datos transferidos de forma segura entre sistemas.
• derecho a optar por no participar: Los consumidores pueden optar por no participar en el procesamiento de datos para publicidad dirigida, venta de datos personales o elaboración de perfiles para promover decisiones que produzcan efectos legales o similarmente significativos en relación con el consumidor.

Las organizaciones deben tomar medidas sobre las solicitudes de los consumidores dentro de los 45 días posteriores a su recepción y establecer un proceso de apelación cuando una solicitud del consumidor No está completado.

Qué significa la CDPA para las organizaciones

La CDPA, similar a CPRA, tiene requisitos específicos para minimización de datos, políticas de retencióny evaluaciones de impacto sobre la protección de datos (EIPD) Para mitigar el riesgo a la privacidad:

• Minimización de datos: la CDPA requiere que las organizaciones implementen principios de minimización de datos para limitar el procesamiento de datos más allá de un propósito necesario.
• Políticas de retención de datos: las empresas deben aplicar políticas de retención para garantizar que se conserven los datos que sean razonablemente necesarios.
• Evaluaciones de riesgos de privacidad: para que las empresas evalúen adecuadamente los riesgos, la CDPA requiere que las organizaciones realicen evaluaciones de impacto de protección de datos (DPIA) cuando:
  • Tratamiento de datos para marketing dirigido
  • Venta de datos personales
  • Tratamiento de datos para la elaboración de perfiles
  • Tratamiento de datos sensibles
  • Cualquier actividad de procesamiento que presente un riesgo para los consumidores

Responsabilidades de las organizaciones en materia de datos personales según la CDPA

Según la CDPA, los datos personales se refieren a la información vinculada o razonablemente vinculada a la identificación de una persona física en Virginia. Sin embargo, esto excluye los datos de acceso público y anonimizados, y la ley establece normas específicas sobre cómo gestionar estos datos.
Las organizaciones solo pueden procesar datos confidenciales con el consentimiento de los consumidores o el “consentimiento de los padres” cuando se trata de datos de niños después de la Ley de Protección de la Privacidad Infantil en Internet (COPPA).

La CDPA define los datos confidenciales como:

• Raza o etnia, creencias religiosas, ciudadanía o estatus migratorio
• Datos biométricos o genéticos
• Datos de los niños
• Datos de geolocalización

Lista de verificación de la CDPA

Descargue la lista de verificación de cumplimiento de la CDPA Priorizar las acciones correctas para cumplir con la CDPA, incluyendo cómo:

• Mapee e inventaria automáticamente los datos de los residentes de Virginia
• Cumplir con las solicitudes de derechos de datos de los consumidores
• Actualizar las notificaciones de divulgación y la política de privacidad
• Definir el enfoque ante infracciones y los flujos de trabajo para la respuesta

Cómo BigID ayuda con la CDPA

BigID ayuda a las organizaciones a cumplir con las normativas de privacidad como la CDPA. Utilice BigID para cumplir con la CDPA mediante evaluaciones de impacto de la protección de datos, un portal de autoservicio, el cumplimiento automatizado de DSAR y la generación de informes regulatorios para simplificar el cumplimiento de la privacidad. Con BigID, las organizaciones pueden:

• Descubra y clasifique todos los CDPA
• Mapa e inventario de datos CDPA
• Optimice el mapeo del flujo de datos para monitorear el riesgo de privacidad
• Automatizar el cumplimiento de los derechos de datos de extremo a extremo
• Ejecutar políticas de retención de datos a escala
• Realizar evaluaciones de riesgos de privacidad para salvaguardar los datos
• Gestionar y supervisar el intercambio de datos de terceros

Vea cómo BigID ayuda a las organizaciones a gestionar las expectativas de cumplimiento de la CDPA, desde Cumplimiento de DSAR a evaluaciones de riesgos de privacidad – Obtenga una demostración

Autor

Verrion Wright

Estrategia y desarrollo de contenidos

Verrion Wright es un ambicioso experto en marketing con más de 20 años de experiencia en marketing de productos, desarrollo de contenidos y estrategia digital. Centrado en la información basada en datos y el marketing integrado, ha ocupado puestos de responsabilidad en diversos sectores, como los servicios informáticos, la privacidad de datos, el marketing y la publicidad (planificación de medios). En BigID, Verrion es el Director de Estrategia y Desarrollo de Contenidos, que ayuda a elevar el contenido a través de todos los pilares, regiones y compradores, creando consistentemente contenido convincente a través de varios medios - incluyendo vídeo, artículos, listas de control, libros blancos y guías.