Virginia La privacidad es lo primero | ¿Qué es CDPA?

La Mancomunidad de Virginia ha aprobado su propia ley de privacidad para los consumidores de Virginia: la Ley de Protección de Datos del Consumidor (CDPA) – inspirado en el Ley de Privacidad del Consumidor de California (CCPA) y la propuesta Ley de Privacidad de WashingtonLas legislaturas de la Cámara de Representantes y el Senado de Virginia aprobaron la CDPA en un período de tres semanas, y ahora el gobernador la enviará para convertirla en ley.

Al igual que la Ley de Privacidad de Washington propuesta y la CCPA anterior, la CDPA introduce un nuevo conjunto de derechos para los consumidores de Virginia y establece nuevas obligaciones para los controladores y procesadores de datos.

¿Qué es CDPA?

Basada en gran medida en la Ley de Privacidad de Washington, la CDPA se aplica a las personas que realizan negocios en la Mancomunidad de Virginia o producen productos o servicios dirigidos a los residentes de Virginia, y:

1. 1. controlar o procesar los datos personales de 100,000 o más consumidores de Virginia durante un año calendario
   2. controlar o procesar los datos personales de al menos 25.000 consumidores y obtener más de 50% de ingresos brutos de la venta de datos personales.

Exenciones de la CDPA

La CDPA incluye una serie de exenciones relevantes, como las siguientes:

• instituciones financieras sujetas al Título V de GLBA
• Entidades cubiertas y socios comerciales regidos por las normas de privacidad, seguridad y notificación de infracciones de HIPAA/HITECH
• organizaciones sin fines de lucro
• instituciones de educación superior

La CCPA, por otro lado, sólo exime los datos regulados por GLBA y HIPAA.

Además, la CDPA propuesta exime 14 categorías de información de su cobertura, incluidas, entre otras, la información de salud protegida por HIPAA y los datos personales regulados por la FCRA. Ley FERPA, la Ley de Protección de la Privacidad del Conductor y las Leyes de Crédito Agrícola. Los datos recopilados en el contexto laboral también quedan fuera del ámbito de aplicación de la CDPA.

Nuevo Definiciones de datos

Datos personales

Según la CDPA, esto significa: «cualquier información vinculada o razonablemente vinculada a una persona física identificada o identificable». Esto excluye los datos públicos y anonimizados, y la ley establece normas específicas sobre el manejo de estos datos.
Lo que las empresas deben hacer: descubrir e inventariar todos los datos personales y confidenciales pertenecientes a una identidad (directos e inferidos) para obtener una imagen completa de qué datos de consumidores están recopilando.

Categoría de datos sensibles

La CDPA define los datos confidenciales como:

1. datos que revelen origen racial o étnico, creencias religiosas, diagnóstico de salud mental o física, ciudadanía o estado migratorio
2. datos genéticos o biométricos
3. datos recopilados de un niño, o
4. datos de geolocalización precisos

Los responsables del tratamiento solo pueden procesar datos sensibles con el consentimiento del consumidor (o el “consentimiento de los padres” para los datos de los niños, de conformidad con la Ley de Protección de la Privacidad Infantil en Internet (COPPA).

Lo que las empresas deben hacer: Automáticamente encontrar, identificar y clasificar Todos sus datos confidenciales, dondequiera que se encuentren (locales, en la nube o en entornos híbridos), en todas las fuentes de datos, a escala de petabytes. Valide si se captura la geolocalización.

Requisitos según la CDPA

Derechos de datos

Virginia derechos de los consumidores con respecto a los datos personales incluir:

• derecho de acceso, que incluye el derecho a confirmar si una organización está procesando datos personales del consumidor, así como el derecho a acceder a esa información
• derecho a corrección
• derecho de supresión
• derecho a la portabilidad de datos
• derecho a no ser sometido a tratamiento con fines de publicidad dirigida, venta de datos personales o elaboración de perfiles para la aplicación de decisiones que produzcan efectos jurídicos o de similar importancia para el consumidor.

Se deben tomar medidas respecto a las solicitudes de los consumidores dentro de los 45 días siguientes a su recepción de la solicitud y las organizaciones deben establecer un proceso de apelación interno para los casos en que un controlador se niega a tomar medidas respecto de una solicitud del consumidor.

Lo que las empresas deben hacer: Permita que su organización satisfacer las solicitudes de los consumidores por:

• Reaccionar de manera rápida y eficaz a los requisitos regulatorios, permitir flujos de trabajo de corrección, satisfacer todas las solicitudes de datos de consumidores a escala e informar sobre la actividad.
• determinar qué datos deben eliminarse y dónde se encuentran, y garantizar la validación continua de la eliminación mediante consultas automatizadas
• Seguimiento y documentación de la gestión de preferencias, el consentimiento y todo el intercambio de datos con terceros.

Requisitos para los responsables del tratamiento de datos

Evaluaciones de protección de datos

La ley propuesta obliga a los responsables del tratamiento a realizar evaluaciones de protección de datos que involucren datos personales con respecto a cada una de las siguientes actividades de procesamiento:

1. el tratamiento de datos personales con fines de publicidad dirigida
2. la venta de datos personales
3. el tratamiento de datos personales con fines de elaboración de perfiles cuando dicha elaboración presente un riesgo razonablemente previsible de causar un perjuicio sustancial a los consumidores
4. el tratamiento de datos sensibles
5. cualquier actividad de procesamiento que involucre datos personales que presente un mayor riesgo de daño al consumidor

Lo que las empresas deben hacer: Datos de inventario; documentar flujos de datos, RoPA y actividades de intercambio; y automatizar el proceso de evaluación para un programa de gestión de la privacidad más sólido.

Minimización de datos

La recopilación de datos personales por parte del responsable debe ser adecuada, pertinente y limitada a lo que sea razonablemente necesario en relación con el propósito específico y expreso para el cual se procesan dichos datos, tal como se le revela al consumidor.

Lo que las empresas deben hacer: Definir y hacer cumplir retención de datos reglas con flujos de trabajo automatizados — y ustedcubrir datos duplicados, derivados y similares para una gobernanza que respete la privacidad y una elaboración de informes eficaz.

Evitar el uso secundario

A menos que un responsable obtenga el consentimiento del consumidor, no se le permite a los responsables procesar datos personales para fines que no sean razonablemente necesarios o compatibles con los fines específicos y expresos para los que se procesan los datos personales, según lo revelado al consumidor.

Lo que las empresas deben hacer: Realizar un seguimiento y documentar las obligaciones de gestión de preferencias y gobernanza del consentimiento con respecto a los datos confidenciales.

Seguridad de los datos

Los controladores deben establecer, implementar y mantener prácticas razonables de seguridad de datos administrativos, técnicos y físicos para proteger la confidencialidad, integridad y accesibilidad de los datos personales.

Lo que las empresas deben hacer: Descubra y correlacione información personal, como una dirección de correo electrónico, con sus contraseñas para protegerla mejor de posibles filtraciones. Identifique a los usuarios potencialmente afectados por filtraciones de datos conocidas para una respuesta proactiva a incidentes.

Requisitos adicionales para los encargados del tratamiento de datos

Según la CDPA, las actividades de tratamiento de datos deben regirse por un contrato escrito entre el responsable y el encargado del tratamiento que contenga las instrucciones de tratamiento. El contrato debe especificar:

• la naturaleza y la finalidad del tratamiento
• el tipo de datos personales objeto de tratamiento
• la duración del procesamiento
• obligaciones y derechos de ambas partes

Lo que las empresas deben hacer: Además de garantizar términos de protección de datos adecuados dentro de los acuerdos, los controladores deben supervisar y rastrear su flujo de intercambio de datos de terceross.

Por orden del responsable, el encargado del tratamiento está obligado a eliminar o devolver todos los datos personales al responsable al finalizar sus servicios. El encargado del tratamiento está obligado a poner a disposición del responsable toda la información necesaria para demostrar su cumplimiento de las obligaciones legales, así como para permitir auditorías e inspecciones.

Lo que las empresas deben hacer: Los procesadores deben tener la capacidad de remediar cualquier dato personal que reciban del responsable del tratamiento — y habilitar escaneos de validación para garantizar que se eliminen los datos.

Además, los procesadores deben garantizar que las personas que procesan datos personales estén sujetas a obligaciones de confidencialidad y contratar subcontratistas de conformidad con un acuerdo escrito que requiera que los subcontratistas cumplan con las obligaciones impuestas a los procesadores.

Los procesadores también deben ayudar a los controladores a cumplir con sus obligaciones bajo la ley y proporcionarles la información necesaria para realizar y documentar sus evaluaciones de protección de datos.

Lo que las empresas deben hacer: Los procesadores deben crear su propio inventario de datos y documentar los flujos de negocios para poder responder rápidamente a cualquier solicitud de derechos de datos que los controladores con los que trabajan puedan recibir de los consumidores.

Cumplimiento y fecha de entrada en vigor de la CDPA

La CDPA se puede hacer cumplir mediante acciones civiles interpuestas por el fiscal general del estado de Virginia. Si bien los consumidores no tienen derecho a demandar a título privado, el fiscal general está autorizado a interponer acciones civiles en su nombre, sujeto a un preaviso de 30 días, y puede reclamar una indemnización de hasta $7,500 por cada infracción de la ley que afecte al consumidor.

La ley entrará en vigor el 1 de enero de 2023, el mismo día en que también entrará en vigor la Ley de Derechos de Privacidad de California (CPRA), la nueva versión de la CCPA.

La ley de Virginia forma parte de una creciente tendencia bipartidista de legislaturas estatales que buscan promulgar una legislación integral sobre privacidad. Además, existe un creciente consenso en que el modelo de Virginia inspirará a otros estados debido a su rápida adopción. Y, por supuesto, cuantas más leyes estatales veamos, mayor será la motivación para que el Congreso colabore en la aprobación de la legislación federal sobre privacidad.  Obtenga una demostración 1:1 para ver cómo BigID ayuda a las organizaciones a abordar los próximos requisitos para el cumplimiento de la CDPA y a construir un programa de privacidad proactivo y sostenible para abordar las regulaciones actuales y emergentes.