En Ley de Privacidad de Datos en Línea de Maryland (MODPA) Está previsto que entre en vigor el 1 de octubre de 2025y marca un paso significativo hacia la mejora de la privacidad de datos para los residentes de Maryland. Esta regulación integral busca brindar a los consumidores un mayor control sobre sus datos. datos personales A la vez que impone requisitos estrictos a las empresas que manejan esta información. A continuación, se detalla lo que implica la MODPA y su importancia tanto para los consumidores como para las empresas.
¿Por qué es importante MODPA?
La MODPA representa un avance significativo en la regulación de la privacidad de datos, alineando a Maryland con otras jurisdicciones que priorizan la protección de datos del consumidor. Las empresas que operan en Maryland deben prepararse para cumplir con estas nuevas normas, asegurándose de respetar y salvaguardar los datos personales de sus consumidores. La introducción de la MODPA es crucial por varias razones:
- Protección mejorada del consumidor: Proporciona a los residentes de Maryland un sólido derechos de acceso, control y protección de sus datos personales, fomentando la confianza en las transacciones digitales.
- Transparencia y rendición de cuentas: Las empresas son responsables de sus prácticas en materia de datos, lo que garantiza una mayor transparencia y reduce la probabilidad de uso indebido de los mismos.
- Seguridad de los datos: El reglamento destaca la importancia de la seguridad de los datos y exige a las empresas implementar medidas adecuadas para proteger los datos de los consumidores frente a violaciones.
- Adaptación a los desafíos modernos: Al abordar cuestiones como la toma de decisiones automatizada y la publicidad dirigida, MODPA se adapta a las complejidades del procesamiento de datos moderno.
Alcance y aplicación
La MODPA se aplica a las empresas que operan en Maryland o que dirigen sus productos y servicios a los residentes de Maryland. Específicamente, abarca a las entidades que:
- Controló o procesó los datos personales de al menos 35.000 consumidores durante el año calendario anterior (excluyendo los datos utilizados únicamente para transacciones de pago).
- Controló o procesó los datos personales de al menos 10.000 consumidores y obtuvo más de 20% de sus ingresos brutos por la venta de datos personales.
En particular, la ley no se aplica a los empleados ni a las empresas B2B, sino que se centra en las interacciones con los consumidores.
Derechos del consumidor de Maryland
La MODPA se alinea con las leyes de privacidad del consumidor de la mayoría de los demás estados, definiendo al consumidor como una persona que reside en Maryland y actúa únicamente a título personal, excluyendo a quienes actúan en contextos laborales o comerciales. Bajo la MODPA, los consumidores tienen varios derechos para garantizar la transparencia y el control sobre sus datos personales, entre ellos:
- Acceso y Confirmación: Los consumidores pueden confirmar si sus datos están siendo procesados y acceder a sus datos personales en poder de los responsables del tratamiento.
- Corrección: Los consumidores pueden corregir inexactitudes en sus datos personales.
- Supresión: Los consumidores pueden solicitar la eliminación de sus datos, a menos que la retención sea requerida por ley.
- Portabilidad de datos: Si los datos se procesan automáticamente, los consumidores pueden obtener una copia de sus datos en un formato portátil para transferirlos a otro responsable del tratamiento.
- Divulgación a terceros: Los consumidores pueden obtener una lista de terceros a quienes se han revelado sus datos.
- Derechos de exclusión voluntaria: Los consumidores pueden optar por no participar en el procesamiento de datos para publicidad dirigida, la venta de datos personales o la elaboración de perfiles que les afecten legalmente o significativamente.
Los responsables del tratamiento deben responder a las solicitudes de los consumidores en un plazo de 45 días, prorrogable por otros 45 días si es necesario. Si se deniega una solicitud, el responsable debe informar al consumidor de los motivos y proporcionarle instrucciones para presentar un recurso.
Responsabilidades del responsable y del encargado del tratamiento
MODPA establece pautas estrictas sobre cómo los controladores (entidades que determinan los propósitos y medios del procesamiento de datos personales) y los procesadores (entidades que procesan datos en nombre de los controladores) manejan los datos de los consumidores:
- Acciones prohibidas: Los responsables del tratamiento no pueden recopilar, procesar ni compartir datos sensibles a menos que sea necesario para prestar el servicio solicitado. También tienen prohibido vender datos sensibles, procesarlos de forma discriminatoria o dirigir publicidad a menores de 18 años sin su consentimiento.
- No discriminación: Los controladores no deben discriminar a los consumidores por ejercer sus derechos bajo MODPA.
- Consentimiento del consumidor: Los responsables del tratamiento deben obtener el consentimiento del consumidor para cualquier tratamiento de datos que vaya más allá de lo necesario para los fines divulgados. Los consumidores pueden revocar su consentimiento, y los responsables deben cesar el tratamiento de los datos en un plazo de 30 días a partir de la revocación.
- Proceso de apelaciones: Los controladores deben establecer un proceso de apelaciones para los consumidores cuyas solicitudes sean rechazadas, con una respuesta requerida dentro de los 60 días.
Protección de datos y seguridad
Los encargados del tratamiento deben cumplir las instrucciones del responsable del tratamiento y contribuir al cumplimiento de las obligaciones relacionadas con los derechos de los consumidores, la seguridad de los datos y la notificación de infracciones. También deben proporcionar la información necesaria a los responsables del tratamiento para que realicen y documenten las Evaluaciones de Protección de Datos (EPD) en relación con las actividades que suponen un mayor riesgo de perjuicio para los consumidores.
Según la MODPA, los responsables del tratamiento deben realizar evaluaciones de protección de datos para cualquier actividad de tratamiento que suponga un mayor riesgo de daño. Esto incluye una evaluación para cada algoritmo utilizado. Estas actividades abarcan:
- Tratamiento de datos personales para publicidad dirigida
- Venta de datos personales
- Tratamiento de datos sensibles
- Elaborar perfiles de datos personales cuando suponga un riesgo previsible de trato injusto, abusivo o engañoso para los consumidores o resulte en un perjuicio sustancial para estos últimos.
Estas evaluaciones deben evaluar y comparar los beneficios de las actividades de procesamiento para todas las partes involucradas frente a los riesgos potenciales para los derechos del consumidor. MODPA permite el uso de evaluaciones de impacto Se realizan para que otras leyes estatales de privacidad cumplan con sus requisitos de evaluación. Estos requisitos de evaluación de protección de datos se aplicarán a las actividades de tratamiento que comiencen a partir del 1 de octubre de 2025.
Requisitos de minimización de datos
La MODPA exige que la recopilación de datos personales se limite a lo razonablemente necesario para proporcionar o mantener el producto o servicio solicitado. Este requisito es aún más estricto en el caso de los datos sensibles. La Ley también estipula que los responsables del tratamiento deben obtener el consentimiento antes de procesar datos personales para fines distintos a los divulgados originalmente y que se consideren necesarios o compatibles.
Sin embargo, MODPA permite a los controladores y procesadores participar en actividades de procesamiento específicas, como prevención de fraude y operaciones internas, siempre que estas actividades sean razonablemente necesarias y proporcionales a los fines previstos.
Disposiciones especiales
MODPA incluye disposiciones específicas como:
- Datos de salud: Se aplican requisitos especiales al procesamiento de datos de salud de los consumidores.
- Aviso de terceros: Los terceros deben notificar a los consumidores antes de usar o compartir su información en formas que difieran de los términos de recopilación iniciales.
- Evaluaciones de algoritmos: Se requieren DPA para cualquier actividad algorítmica que presente mayores riesgos para los consumidores.
El enfoque de BigID hacia MODPA
BigID es la plataforma líder en la industria para la privacidad, seguridad y cumplimiento de datos. Gestión de datos de IA que permite a las organizaciones prepararse de forma proactiva para MODPA y lograr el cumplimiento de su automatización de privacidad patentada con reconocimiento de identidad.
Con BigID, las empresas pueden:
- Identificar todos los datos: Descubrir y clasificar datos para crear un inventario, mapear los flujos de datos y obtener visibilidad sobre toda la información personal y confidencial sujeta a los requisitos de MODPA.
- Automatizar la gestión de derechos de datos: Gestione automáticamente las solicitudes de privacidad, las preferencias y el consentimiento, incluida la exclusión voluntaria de la venta de datos, la publicidad dirigida y la elaboración de perfiles de usuario.
- Aplicar políticas: Remediar el riesgo basado en políticas con controles y flujos de trabajo para tomar medidas según los requisitos de MODPA.
- Minimizar datos: Aplique prácticas de minimización de datos identificando, categorizando y eliminando datos personales innecesarios o excesivos para gestionar eficientemente el ciclo de vida de los datos.
- Implantar controles de protección de datos: Automatice los controles de protección de datos para hacer cumplir el acceso a los datos y otras medidas de seguridad, que son cruciales para salvaguardar los datos y cumplir con MODPA.
- Evaluar el riesgo: Automatice evaluaciones de impacto sobre la privacidadLos sistemas de gestión de la conformidad, los informes de inventario de datos y los flujos de trabajo de corrección identifican y corrigen los riesgos para mantener la conformidad.
Programe una demostración 1:1 para ver cómo BigID puede acelerar su cumplimiento con MODPA.
Autor
