En el último día de su sesión legislativa de 2021, el “capital mundial del melón”, también conocido como el estado de Colorado, obtuvo el sello de aprobación para implementar la tercera ley integral de privacidad del consumidor en los Estados Unidos.
Firmada como ley por el gobernador Jared Polis el 7 de julio, la Ley de Privacidad de Colorado (CPA) adquiere particular importancia a la luz de los recientes fracasos de leyes propuestas similares en Washington, Florida y Nueva York, y a medida que el tiempo sigue corriendo en esfuerzos similares en otras legislaturas estatales.
¿Qué es la Ley de Privacidad de Colorado (CPA)?
La CPA está basada en el modelo fallido Ley de Privacidad de Washington y Ley de Protección de Datos del Consumidor de Virginia (CDPA), con algunas diferencias clave.
La ley se aplica a los "controladores de datos" que realizan negocios en Colorado o brindan productos o servicios dirigidos intencionalmente a los residentes de Colorado, y que:
- controlar o procesar los datos personales de 100,000 o más residentes de Colorado anualmente; o
- obtener ingresos o recibir un descuento en el precio de bienes o servicios de la “venta” de datos personales, y procesar o controlar los datos personales de 25,000 o más residentes de Colorado.
Alcance y exenciones de la CPA
La Ley de Protección al Consumidor (CPA) define a un "consumidor" como una persona residente de Colorado que actúa en un contexto individual o familiar. Dado que no incluye a las personas que actúan en un contexto comercial o laboral, la ley incluye una exclusión para los contextos laborales y de empresa a empresa.
A diferencia de la exclusión limitada del modelo de California bajo la Ley de Privacidad del Consumidor de California (CCPA)La CPA de Colorado contiene varias exclusiones sustanciales, incluida una exclusión total para las instituciones financieras que están sujetas a la ley federal. Ley Gramm-Leach-Bliley (GLBA). Cuando se trata de datos de salud cubiertos por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)), sin embargo, la CPA no incluye la exclusión total para sanidad organizaciones — sólo ciertos tipos de salud y información del paciente.
Definiciones de datos según la CPA
Datos personales — Según la CPA, datos personales significa: “información que está vinculada o razonablemente vinculada a un individuo identificado o identificable”.
Datos sensibles — CPA define datos sensibles como:
- datos personales que revelen el origen racial o étnico, las creencias religiosas, el diagnóstico de salud mental o física, la vida sexual o la orientación sexual o el estado de ciudadanía
- datos genéticos o biométricos que pueden procesarse con el fin de identificar de forma única a una persona
- datos personales de un niño conocido
A diferencia de la CDPA de Virginia y la futura Ley de Derechos de Privacidad de California (CPRA) de California, esta definición de datos sensibles no incluye la geolocalización precisa, lo que representa una diferencia sustancial para los responsables del tratamiento en la forma en que etiquetan sus datos según el estado de residencia. Cabe destacar que los responsables del tratamiento solo pueden procesar datos sensibles con el consentimiento del consumidor o del padre, madre o tutor legal del menor.
Requisitos de la Ley de Privacidad de Colorado
Derechos de datos
Los consumidores de Colorado pueden ejercer su derecho a derechos de datos mediante la presentación de solicitudes formales, y los responsables del tratamiento deben actuar sobre la solicitud en un plazo de 45 días. Derechos del consumidor con respecto a los datos personales incluyen el derecho a:
- optar por no participar en determinados tratamientos de datos personales
- acceder a datos personales
- corregir datos personales inexactos
- eliminar datos personales; y
- portabilidad de datos
Los responsables del tratamiento tienen requisitos de transparencia adicionales en los que deben revelar de forma clara y significativa tipos específicos de prácticas, así como la forma en que los consumidores pueden ejercer sus derechos.
La CPA no exige específicamente una página de “no vender mi información” como la ley de California, pero se espera que el Fiscal General de Colorado anuncie reglas que detallen las especificaciones técnicas para uno o más “mecanismos de exclusión universal”.
Requisitos para los responsables del tratamiento de datos
Evaluaciones de protección de datos — La CPA propuesta obliga a los responsables del tratamiento a realizar evaluaciones de protección de datos que involucren datos personales con respecto a cada una de las siguientes actividades de procesamiento:
- el tratamiento de datos personales con fines de publicidad dirigida
- la venta de datos personales
- el tratamiento de datos personales con fines de elaboración de perfiles cuando dicha elaboración presente un riesgo razonablemente previsible de causar un perjuicio sustancial a los consumidores
- el tratamiento de datos sensibles
- cualquier actividad de procesamiento que involucre datos personales que presente un mayor riesgo de daño al consumidor
Especificación de propósito — El responsable del tratamiento debe especificar el propósito expreso para el cual se recopilan y procesan los datos personales, un requisito que está en línea con la UE Reglamento general de protección de datos (RGPD) y los Principios de Prácticas Justas de Información.
Minimización de datos — La recopilación de datos personales por parte de un responsable del tratamiento debe ser adecuada, pertinente y limitada a lo que sea razonablemente necesario en relación con el propósito específico y expreso para el cual se procesan dichos datos.
Deber de evitar el uso secundario — Un responsable del tratamiento no puede procesar datos personales para fines que no sean razonablemente necesarios o compatibles con los fines específicos para los que se procesan los datos personales sin obtener primero el consentimiento.
Deber de cuidado El deber de diligencia se traduce en requisitos de seguridad. Tanto los responsables como los encargados del tratamiento deben implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad proporcional al riesgo. Para muchas empresas, este tipo de requisito de seguridad de datos ya existe. Información de identificación personal (PII) Según la ley de seguridad de datos de Colorado. Sin embargo, la definición de "datos personales" según la CPA es significativamente más amplia que la de PII según la ley de seguridad de datos de Colorado.
Requisitos adicionales para los encargados del tratamiento de datos
Al igual que con la CDPA de Virginia y el RGPD de la UE, los encargados del tratamiento deben cumplir las obligaciones estipuladas en la CPA y ayudar a los responsables del tratamiento a cumplirlas. Esto también requiere un contrato escrito que especifique:
- ¿Qué datos personales serán tratados?
- cómo se procesarán y conservarán los datos
- derechos de auditoría/cumplimiento
Cumplimiento y fecha de entrada en vigor de la CPA
Al igual que la CDPA de Virginia, la CPA de Colorado se puede hacer cumplir mediante acciones civiles interpuestas por el fiscal general del estado. Si bien los consumidores no tienen derecho a demandar, el fiscal general y los fiscales de distrito tendrán facultades exclusivas de ejecución, lo que puede resultar en una multa de hasta $20,000 por cada infracción, y cada consumidor involucrado constituye una infracción independiente. La sanción máxima es de $500,000 por una serie de infracciones relacionadas.
Al igual que la ley de California, el Fiscal General de Colorado tiene la autoridad para promulgar normas para implementar la CPA. Además, el Fiscal General está obligado explícitamente a adoptar normas relativas a las especificaciones técnicas de los mecanismos universales de exclusión voluntaria a más tardar el 1 de julio de 2023. Si así lo decide, la Fiscalía General también puede crear sus propias normas y directrices para ayudar a las empresas a cumplir con la CPA, normas que deben publicarse antes de enero de 2025.
Para las empresas que cumplen por primera vez con una normativa estatal de privacidad, la CPA exigirá cambios significativos. Las normas del Fiscal General de Colorado proporcionarán más orientación, pero las empresas deben empezar a asegurarse de comprender plenamente sus políticas de recopilación, uso y documentación de datos desde ahora, para que puedan prepararse para cumplir con sus obligaciones de cumplimiento en el futuro.
Si bien las empresas ya están sujetas a CPRA, CDPAy GDPR tendrán una ventaja en la preparación para la nueva ley, y será clave elaborar una estrategia proactiva para el cumplimiento de las disposiciones únicas de la CPA y su integración en la matriz de regulaciones de privacidad existentes.
Consigue un Demostración 1:1 para ver cómo BigID ayuda a las organizaciones a abordar los próximos requisitos de cumplimiento de la CPA y a crear un programa de privacidad proactivo para las empresas actuales y emergentes. normativa.
Autor
