Desde la introducción de leyes históricas como la Reglamento general de protección de datos (RGPD) en 2016 y Ley de Privacidad del Consumidor de California (CCPA) en 2018—varios estados de EE. UU. Han aprobado sus propias versiones con la esperanza de proteger mejor la privacidad de los datos de sus respectivos ciudadanos. Uno de los últimos estados en unirse a esta iniciativa es Delaware, con la aprobación de la Ley de Privacidad de Datos Personales de Delaware (DPDPA) el 11 de septiembre de 2023.
En esta guía completa, profundizamos en las complejidades de la DPDPA, comparándola con sus contrapartes: la GDPR y el CCPAExploraremos a quién se aplica la DPDPA, sus exenciones y umbrales, los derechos que otorga a las personas y más.
¿Qué es la Ley de Privacidad de Datos Personales de Delaware?
La DPDPA convierte a Delaware en el decimotercer estado en promulgar una ley integral de privacidad de datos del consumidor, uniéndose California, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennesse, Montana, Florida, Texasy OregónEn esencia, la Ley de Privacidad de Datos Personales de Delaware (DPDPA) es una legislación histórica diseñada para mejorar la protección de los datos personales y los derechos de privacidad de las personas en el estado de Delaware.
Basada en el modelo del RGPD y la CCPA, la DPDPA impone requisitos estrictos a las organizaciones que manejan datos personales, exigiendo transparencia, responsabilidad y medidas proactivas para salvaguardar la información confidencial. La DPDPA entrará en vigor el 1 de enero de 2025.
¿Cómo se compara la DPDPA con el RGPD y la CCPA?
Como la gran mayoría de leyes de privacidad de datosLa ley de privacidad de datos de Delaware sigue el Reglamento General de Protección de Datos (GDPR) de la UE en lo que respecta a la definición de consentimiento válido: "un acto afirmativo claro que significa el consentimiento libre, específico, informado e inequívoco de un consumidor para permitir el procesamiento de datos personales relacionados con el consumidor".
A diferencia de la CCPA (California), la DPDPA no establece un umbral específico que pueda aplicarse únicamente en función de los ingresos anuales. Asimismo, a diferencia de la CCPA, la ley de Delaware excluye de la definición de "consumidor" a las personas que actúan en un contexto comercial o laboral, lo que deja a California como el único estado cuya ley general de privacidad abarca los datos personales en el contexto de recursos humanos, empleo y B2B.
¿A quién se aplica la Ley de Privacidad de Delaware?
La DPDPA se aplicará a las entidades que realizan negocios en el estado de Delaware que controlan o procesan los datos personales de no menos de 35,000 consumidores o controlan o procesan los datos personales de no menos de 10,000 consumidores y obtienen más del 20 por ciento de sus ingresos brutos de la venta de datos personales.
La ley de privacidad de Delaware requiere que el Departamento de Justicia de Delaware realice actividades de divulgación pública para educar a los consumidores y a la comunidad empresarial sobre la Ley comenzando al menos 6 meses antes de la fecha de vigencia de la DPPA.
Exenciones y umbrales de la DPDPA
Si bien la DPPA impone obligaciones estrictas a los responsables y encargados del tratamiento de datos, pueden aplicarse ciertas exenciones y umbrales en circunstancias específicas. Las entidades exentas y sus servicios incluyen:
- Organismos gubernamentales, incluidos los organismos reguladores, administrativos, legislativos o judiciales
- Organizaciones de salud pública Instituciones financieras (también entidades y filiales sujetas a la GLBA)
- Servicios de prensa, cable u otros servicios de información (y actividades no comerciales de entidades de medios de comunicación)
- Víctimas o testigos de actividades delictivas
Las regulaciones exentas (y los datos procesados en relación con ellas) incluyen:
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Ley Gramm-Leach-Bliley (GLBA)
- Ley de Informes de Crédito Justos (FCRA)
- Ley de Protección de la Privacidad del Conductor
- Ley de Derechos Educativos y Privacidad de la Familia (FERPA)
- Ley de Crédito Agrícola
- Ley de Desregulación de Aerolíneas
Derechos individuales según la Ley de Privacidad de Delaware
La Ley de Privacidad de Datos Personales de Delaware otorga a los residentes de Delaware, denominados "consumidores", derechos específicos de acceso y control sobre sus datos personales. Los consumidores tienen derecho a presentar solicitudes autenticadas a un responsable del tratamiento, que incluyen:
- Verificar si el responsable del tratamiento está tratando sus datos y accediendo a ellos
- Rectificación de cualquier dato personal inexacto
- Eliminación de datos personales
- Recibir una copia de sus datos personales (portabilidad de datos)
- Recibir una lista de categorías de terceros con los que el responsable ha compartido sus datos personales
- Exclusión del tratamiento de sus datos personales para publicidad dirigida, venta o elaboración de perfiles únicamente para decisiones automatizadas con efectos jurídicos significativos
Los responsables del tratamiento están obligados a responder a las solicitudes de los consumidores para ejercer estos derechos en un plazo de 45 días, con la opción de ampliar este plazo por 45 días adicionales si es necesario debido a la complejidad o el volumen de las solicitudes.
Requisitos de procesamiento de datos y consentimiento según la DPDPA
Al igual que otras leyes de privacidad de datos en EE. UU., la Ley de Privacidad de Datos Personales de Delaware exige a los responsables del tratamiento establecer contratos con los encargados del tratamiento para regular el procesamiento de datos. Estos contratos, según la Ley de Privacidad de Datos Personales de Delaware, deben detallar explícitamente las instrucciones para el procesamiento de datos personales, la finalidad y la naturaleza del mismo, las categorías de datos objeto de procesamiento, la duración del procesamiento y los respectivos derechos y responsabilidades de las partes involucradas.
Además, estos contratos deben incluir disposiciones de confidencialidad y estipular que los procesadores solo pueden contratar subcontratistas después de obtener la aprobación del controlador y celebrar un acuerdo escrito que garantice que el subcontratista cumple con las obligaciones del procesador con respecto a los datos personales.
Ley de Privacidad y Protección en Línea de Delaware
El 1 de enero de 2016 entró en vigor la Ley de Privacidad y Protección en Línea de Delaware (DOPPA), una ley que brindaba una sólida protección de la privacidad en línea a sus residentes. La nueva ley se centró en tres áreas de cumplimiento: (1) publicidad dirigida a menores; (2) publicación visible de una política de privacidad que cumpla con los requisitos; y (3) mejora de la protección de la privacidad de los usuarios de libros digitales (e-books). La ley otorgó a la Unidad de Protección al Consumidor del Departamento de Justicia del estado la autoridad para investigar y enjuiciar las infracciones de la ley.
Según la DOPPA, los operadores de sitios web y aplicaciones que dirigían sus servicios a niños tenían que asegurarse de no publicitar ni comercializar ciertos contenidos enumerados que la ley consideraba inapropiados para la visión infantil, como alcohol, tabaco, armas de fuego, pornografía y una serie de otras categorías delineadas por la ley.
¿Cómo se definen los datos personales según la legislación?
Los datos personales, según se definen en la DPDPA, se refieren a “cualquier información que esté vinculada o que pueda vincularse razonablemente a un individuo identificado o identificable, y no incluye datos anónimos o información disponible públicamente”.
Consecuencias del incumplimiento de la DPDPA
Al igual que muchas otras leyes estatales de privacidad de datos de EE. UU., la Ley de Privacidad de Datos Personales de Delaware no contempla el derecho de acción privada. En cambio, la autoridad de aplicación recae exclusivamente en el Departamento de Justicia de Delaware. Hasta el 31 de diciembre de 2025, el Departamento de Justicia debe emitir una notificación de infracción y otorgar a los responsables del tratamiento un plazo de 60 días para subsanar la infracción, si lo considera viable. A partir del 1 de enero de 2026, el Departamento de Justicia podrá, a su discreción, ofrecer la oportunidad de subsanar una presunta infracción.
En virtud de la Ley de Privacidad de Datos Personales de Delaware, el Departamento de Justicia de Delaware está facultado para investigar y procesar penalmente las infracciones de conformidad con el estatuto de protección al consumidor de Delaware. Esta facultad permite emitir órdenes de cese y desistimiento, interponer recursos administrativos, iniciar acciones judiciales y establecer las normas y regulaciones necesarias. En caso de un procedimiento judicial, un tribunal puede imponer sanciones civiles de hasta US$10,000 por cada infracción intencional cometida.
Mejores prácticas para mitigar el riesgo
Implementar medidas proactivas para mitigar los riesgos bajo la Ley de Privacidad de Datos Personales de Delaware (DPDPA) es esencial para garantizar el cumplimiento y proteger los datos confidenciales. A continuación, se presentan algunas prácticas recomendadas:
- Realizar un inventario de datos completo: Comience por realizar un inventario exhaustivo de todos los datos personales que su organización recopila, procesa y almacena. Comprenda dónde residen estos datos, cómo se utilizan y quién tiene acceso a ellos.
- Actualizar políticas y avisos de privacidad: Asegúrese de que las políticas y avisos de privacidad de su organización estén actualizados para reflejar los requisitos de la DPDPA. Comunique claramente a las personas cómo se recopilan, procesan y protegen sus datos personales.
- Obtener un consentimiento válido: Implementar procedimientos para obtener el consentimiento válido de las personas antes de procesar sus datos personales. El consentimiento debe ser específico, informado y otorgado libremente, de conformidad con los requisitos de la DPDPA.
- Establecer políticas de retención de datos: Desarrollar políticas claras de retención de datos que definan el tiempo durante el cual se conservarán los datos personales y los criterios para su eliminación. Garantizar que los datos no se conserven más tiempo del necesario para cumplir su finalidad.
El enfoque de BigID para lograr el cumplimiento
Si bien la DPDPA es similar a varias otras leyes de privacidad estatales, las organizaciones aún deben tomar las medidas necesarias para cumplir con los aspectos específicos de la ley de privacidad de Delaware. BigID permite a las organizaciones prepararse de forma proactiva para la DPDPA para lograr el cumplimiento de su plataforma líder en la industria para privacidad de los datos, seguridady gobernanzaCon BigID puedes:
- Descubra sus datos: BigID descubrimiento y clasificación de datos Proporciona visibilidad completa sobre toda la información personal y sensible sujeta a la DPDPA.
- Minimizar datos: Implementar la minimización de datos mediante la identificación y categorización de datos personales ROT innecesarios para gestionar el ciclo de vida de los datos desde la retención hasta la eliminación.
- Automatizar la gestión de derechos de datos: BigID permite a las organizaciones identificar automáticamente gestionar solicitudes de privacidad, preferencias y consentimiento, incluido UOOM para que los consumidores puedan optar por no participar en las ventas de datos, la publicidad dirigida y la elaboración de perfiles.
- Implementar DSPM: BigID proporciona Gestión de la postura de seguridad de datos de próxima generaciónpara proteger todos sus datos confidenciales en todo el panorama de su empresa, ya sea En la nube o en las instalaciones para que pueda proteger mejor los datos y cumplir con la DPDPA.
- Evaluar el riesgo: BigID ofrece evaluaciones automatizadas del impacto en la privacidad, informes de inventario de datos y flujos de trabajo de remediación identificar riesgos e informar al Departamento de Justicia de Delaware.
Para ver cómo BigID puede ayudarle a lograr el cumplimiento de la DPDPA: Programe una reunión individual con nuestros expertos en privacidad de datos hoy mismo.
Autor
