Ir al contenido
Ver todas las entradas

DPDPA de Delaware: Priorizando la privacidad de los residentes

Desde la introducción de leyes históricas como la Reglamento general de protección de datos (RGPD) en 2016 y Ley de Privacidad del Consumidor de California (CCPA) en 2018—varios estados de EE. UU. Han aprobado sus propias versiones con la esperanza de proteger mejor la privacidad de los datos de sus respectivos ciudadanos. Uno de los últimos estados en unirse a esta iniciativa es Delaware, con la aprobación de la Ley de Privacidad de Datos Personales de Delaware (DPDPA) el 11 de septiembre de 2023.

En esta guía completa, profundizamos en las complejidades de la DPDPA, comparándola con sus contrapartes: la GDPR y el CCPAExploraremos a quién se aplica la DPDPA, sus exenciones y umbrales, los derechos que otorga a las personas y más.

Vea BigID en acción

¿Qué es la Ley de Privacidad de Datos Personales de Delaware?

La DPDPA convierte a Delaware en el decimotercer estado en promulgar una ley integral de privacidad de datos del consumidor, uniéndose California, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennesse, Montana, Florida, Texasy OregónEn esencia, la Ley de Privacidad de Datos Personales de Delaware (DPDPA) es una legislación histórica diseñada para mejorar la protección de los datos personales y los derechos de privacidad de las personas en el estado de Delaware.

Basada en el modelo del RGPD y la CCPA, la DPDPA impone requisitos estrictos a las organizaciones que manejan datos personales, exigiendo transparencia, responsabilidad y medidas proactivas para salvaguardar la información confidencial. La DPDPA entrará en vigor el 1 de enero de 2025.

¿Cómo se compara la DPDPA con el RGPD y la CCPA?

Como la gran mayoría de leyes de privacidad de datosLa ley de privacidad de datos de Delaware sigue el Reglamento General de Protección de Datos (GDPR) de la UE en lo que respecta a la definición de consentimiento válido: "un acto afirmativo claro que significa el consentimiento libre, específico, informado e inequívoco de un consumidor para permitir el procesamiento de datos personales relacionados con el consumidor".

A diferencia de la CCPA (California), la DPDPA no establece un umbral específico que pueda aplicarse únicamente en función de los ingresos anuales. Asimismo, a diferencia de la CCPA, la ley de Delaware excluye de la definición de "consumidor" a las personas que actúan en un contexto comercial o laboral, lo que deja a California como el único estado cuya ley general de privacidad abarca los datos personales en el contexto de recursos humanos, empleo y B2B.

Descargar informe.

¿A quién se aplica la Ley de Privacidad de Delaware?

La DPDPA se aplicará a las entidades que realizan negocios en el estado de Delaware que controlan o procesan los datos personales de no menos de 35,000 consumidores o controlan o procesan los datos personales de no menos de 10,000 consumidores y obtienen más del 20 por ciento de sus ingresos brutos de la venta de datos personales.

La ley de privacidad de Delaware requiere que el Departamento de Justicia de Delaware realice actividades de divulgación pública para educar a los consumidores y a la comunidad empresarial sobre la Ley comenzando al menos 6 meses antes de la fecha de vigencia de la DPPA.

Exenciones y umbrales de la DPDPA

Si bien la DPPA impone obligaciones estrictas a los responsables y encargados del tratamiento de datos, pueden aplicarse ciertas exenciones y umbrales en circunstancias específicas. Las entidades exentas y sus servicios incluyen:

  • Organismos gubernamentales, incluidos los organismos reguladores, administrativos, legislativos o judiciales
  • Organizaciones de salud pública Instituciones financieras (también entidades y filiales sujetas a la GLBA)
  • Servicios de prensa, cable u otros servicios de información (y actividades no comerciales de entidades de medios de comunicación)
  • Víctimas o testigos de actividades delictivas

Las regulaciones exentas (y los datos procesados en relación con ellas) incluyen:

Mejore su programa de privacidad de datos

Derechos individuales según la Ley de Privacidad de Delaware

La Ley de Privacidad de Datos Personales de Delaware otorga a los residentes de Delaware, denominados "consumidores", derechos específicos de acceso y control sobre sus datos personales. Los consumidores tienen derecho a presentar solicitudes autenticadas a un responsable del tratamiento, que incluyen:

  • Verificar si el responsable del tratamiento está tratando sus datos y accediendo a ellos
  • Rectificación de cualquier dato personal inexacto
  • Eliminación de datos personales
  • Recibir una copia de sus datos personales (portabilidad de datos)
  • Recibir una lista de categorías de terceros con los que el responsable ha compartido sus datos personales
  • Exclusión del tratamiento de sus datos personales para publicidad dirigida, venta o elaboración de perfiles únicamente para decisiones automatizadas con efectos jurídicos significativos

Los responsables del tratamiento están obligados a responder a las solicitudes de los consumidores para ejercer estos derechos en un plazo de 45 días, con la opción de ampliar este plazo por 45 días adicionales si es necesario debido a la complejidad o el volumen de las solicitudes.

Al igual que otras leyes de privacidad de datos en EE. UU., la Ley de Privacidad de Datos Personales de Delaware exige a los responsables del tratamiento establecer contratos con los encargados del tratamiento para regular el procesamiento de datos. Estos contratos, según la Ley de Privacidad de Datos Personales de Delaware, deben detallar explícitamente las instrucciones para el procesamiento de datos personales, la finalidad y la naturaleza del mismo, las categorías de datos objeto de procesamiento, la duración del procesamiento y los respectivos derechos y responsabilidades de las partes involucradas.

Además, estos contratos deben incluir disposiciones de confidencialidad y estipular que los procesadores solo pueden contratar subcontratistas después de obtener la aprobación del controlador y celebrar un acuerdo escrito que garantice que el subcontratista cumple con las obligaciones del procesador con respecto a los datos personales.

Descargar resumen de la solución.

Ley de Privacidad y Protección en Línea de Delaware

El 1 de enero de 2016 entró en vigor la Ley de Privacidad y Protección en Línea de Delaware (DOPPA), una ley que brindaba una sólida protección de la privacidad en línea a sus residentes. La nueva ley se centró en tres áreas de cumplimiento: (1) publicidad dirigida a menores; (2) publicación visible de una política de privacidad que cumpla con los requisitos; y (3) mejora de la protección de la privacidad de los usuarios de libros digitales (e-books). La ley otorgó a la Unidad de Protección al Consumidor del Departamento de Justicia del estado la autoridad para investigar y enjuiciar las infracciones de la ley.

Según la DOPPA, los operadores de sitios web y aplicaciones que dirigían sus servicios a niños tenían que asegurarse de no publicitar ni comercializar ciertos contenidos enumerados que la ley consideraba inapropiados para la visión infantil, como alcohol, tabaco, armas de fuego, pornografía y una serie de otras categorías delineadas por la ley.

¿Cómo se definen los datos personales según la legislación?

Los datos personales, según se definen en la DPDPA, se refieren a “cualquier información que esté vinculada o que pueda vincularse razonablemente a un individuo identificado o identificable, y no incluye datos anónimos o información disponible públicamente”.

Consecuencias del incumplimiento de la DPDPA

Al igual que muchas otras leyes estatales de privacidad de datos de EE. UU., la Ley de Privacidad de Datos Personales de Delaware no contempla el derecho de acción privada. En cambio, la autoridad de aplicación recae exclusivamente en el Departamento de Justicia de Delaware. Hasta el 31 de diciembre de 2025, el Departamento de Justicia debe emitir una notificación de infracción y otorgar a los responsables del tratamiento un plazo de 60 días para subsanar la infracción, si lo considera viable. A partir del 1 de enero de 2026, el Departamento de Justicia podrá, a su discreción, ofrecer la oportunidad de subsanar una presunta infracción.

En virtud de la Ley de Privacidad de Datos Personales de Delaware, el Departamento de Justicia de Delaware está facultado para investigar y procesar penalmente las infracciones de conformidad con el estatuto de protección al consumidor de Delaware. Esta facultad permite emitir órdenes de cese y desistimiento, interponer recursos administrativos, iniciar acciones judiciales y establecer las normas y regulaciones necesarias. En caso de un procedimiento judicial, un tribunal puede imponer sanciones civiles de hasta US$10,000 por cada infracción intencional cometida.

Mejores prácticas para mitigar el riesgo

Implementar medidas proactivas para mitigar los riesgos bajo la Ley de Privacidad de Datos Personales de Delaware (DPDPA) es esencial para garantizar el cumplimiento y proteger los datos confidenciales. A continuación, se presentan algunas prácticas recomendadas:

  • Realizar un inventario de datos completo: Comience por realizar un inventario exhaustivo de todos los datos personales que su organización recopila, procesa y almacena. Comprenda dónde residen estos datos, cómo se utilizan y quién tiene acceso a ellos.
  • Actualizar políticas y avisos de privacidad: Asegúrese de que las políticas y avisos de privacidad de su organización estén actualizados para reflejar los requisitos de la DPDPA. Comunique claramente a las personas cómo se recopilan, procesan y protegen sus datos personales.
  • Obtener un consentimiento válido: Implementar procedimientos para obtener el consentimiento válido de las personas antes de procesar sus datos personales. El consentimiento debe ser específico, informado y otorgado libremente, de conformidad con los requisitos de la DPDPA.
  • Establecer políticas de retención de datos: Desarrollar políticas claras de retención de datos que definan el tiempo durante el cual se conservarán los datos personales y los criterios para su eliminación. Garantizar que los datos no se conserven más tiempo del necesario para cumplir su finalidad.

El enfoque de BigID para lograr el cumplimiento

Si bien la DPDPA es similar a varias otras leyes de privacidad estatales, las organizaciones aún deben tomar las medidas necesarias para cumplir con los aspectos específicos de la ley de privacidad de Delaware. BigID permite a las organizaciones prepararse de forma proactiva para la DPDPA para lograr el cumplimiento de su plataforma líder en la industria para privacidad de los datos, seguridady gobernanzaCon BigID puedes:

Para ver cómo BigID puede ayudarle a lograr el cumplimiento de la DPDPA: Programe una reunión individual con nuestros expertos en privacidad de datos hoy mismo.

Contenido

Guía sobre el estado de la privacidad: Comparación del panorama de la privacidad de datos en los estados de EE. UU.

Descargar guía