El estado de Cornhusker ha promulgado oficialmente la ley de privacidad de datos. La Ley de Privacidad de Datos de Nebraska (NDPA, por sus siglas en inglés) se aprobó recientemente, sumándose a un número creciente de... legislación estatal sobre privacidad de datos Mientras Estados Unidos espera una ley federal.
Nebraska pasó Proyecto de ley legislativo 1074 el 17 de abril de 2024, promulgada por Jim Pillen. La NDPA entrará en vigor el 1 de enero de 2025.
¿Por qué es importante la NDPA?
La NDPA representa un avance significativo en la regulación de la privacidad de datos, alineando a Nebraska con otros estados que priorizan la protección de los datos de los consumidores. Las empresas de Nebraska deben prepararse para cumplir con estos nuevos requisitos, garantizando el respeto y la protección de los datos personales de sus consumidores. La introducción de la NDPA es importante por varias razones:
- Fortalecimiento de la protección del consumidor: Proporciona a los residentes de Nebraska un sólido derechos a controlar, acceder y proteger sus datos personales.
- Rendición de cuentas y transparencia: Las empresas son responsables de sus prácticas de datos, lo que garantiza la transparencia y reduce el uso indebido de datos.
- Seguridad de los datos: El reglamento prioriza la seguridad de los datos, exigiendo a las empresas que implementen medidas proactivas y reactivas para proteger los datos de los consumidores. infracciones.
- Adaptación a los desafíos modernos: La NDPA se adapta a las complejidades del procesamiento de datos moderno al abordar cuestiones como la publicidad dirigida y la toma de decisiones automatizada.
Alcance y aplicación
La NDPA se aplica a las empresas que:
- Realizar negocios en Nebraska o producir un producto o servicio consumido por residentes de Nebraska
- Procesa o participa en la venta de datos personales
- No es una pequeña empresa según lo determinado por la ley federal Ley de Pequeñas Empresas
En particular, la ley no se aplica a los empleados ni a las empresas B2B, sino que se centra en las interacciones con los consumidores.
Derechos del consumidor de Nebraska
La NDPA es muy similar a otras leyes estatales de privacidad del consumidor, ya que define al consumidor como una persona que reside en Nebraska y actúa únicamente a título personal, excluyendo a quienes actúan en contextos laborales o comerciales. La NDPA otorga a los consumidores varios derechos para garantizar el control y la transparencia en relación con sus datos personales, entre ellos:
- Confirmar y acceder: Los consumidores pueden confirmar si una organización está procesando sus datos y también pueden tener fácil acceso a sus datos personales.
- Corrección: Los consumidores pueden corregir información inexacta en sus datos personales.
- Supresión: Los consumidores pueden solicitar que se eliminen sus datos a menos que se conserven para fines legales.
- Portabilidad de datos: Si los datos se procesan automáticamente, los consumidores pueden obtener una copia de sus datos en un formato técnicamente viable, fácilmente utilizable y portátil.
- Divulgación a terceros: Los consumidores pueden obtener una lista de terceros a quienes se han revelado sus datos.
- Derechos de exclusión voluntaria: Los consumidores pueden optar por no participar en el procesamiento de datos para publicidad dirigida, la venta de datos personales o la elaboración de perfiles.
Los responsables del tratamiento deben responder a las solicitudes de los consumidores en un plazo de 45 días, prorrogable por otros 45 días si es necesario. Si se deniega una solicitud, el responsable debe informar al consumidor de los motivos y proporcionarle instrucciones para presentar un recurso.
Agentes autorizados
Autorización: Un consumidor puede designar a otra persona para que actúe como su representante legal. agente autorizado y actuar en nombre del consumidor para optar por no participar en el procesamiento de sus datos personales.
Padres y tutores legales: A El padre o tutor legal puede ejercer los derechos del consumidor en nombre de un niño conocido en relación con el tratamiento de datos personales pertenecientes a dicho niño.
Responsabilidades del responsable y del encargado del tratamiento
La NDPA establece algunas pautas estrictas sobre cómo los controladores (entidades que determinan los propósitos y medios del procesamiento de datos personales) y los procesadores (entidades que procesan datos en nombre de los controladores) deben gestionar los datos de los consumidores:
- Acciones prohibidas: Los responsables del tratamiento no deben recopilar, procesar ni compartir datos personales y sensibles a menos que sea necesario. También tienen prohibido vender datos sensibles, procesarlos de forma discriminatoria o dirigir publicidad a menores de 18 años sin su consentimiento, y deben procesar dichos datos a través de la autoridad federal. COPPA.
- No discriminación: Los controladores no pueden discriminar a los consumidores por ejercer sus derechos de privacidad de datos bajo la NDPA.
- Consentimiento del consumidor: Los responsables del tratamiento deben obtener el consentimiento del consumidor para cualquier tratamiento de datos que vaya más allá de lo necesario para los fines divulgados. Los consumidores pueden revocar su consentimiento, y los responsables deben cesar el tratamiento de los datos en un plazo de 30 días.
- Proceso de apelaciones: Los controladores deben establecer un proceso de apelaciones para los consumidores si se rechaza una solicitud particular y responder por escrito sobre cualquier acción o inacción dentro de los 60 días.
Protección de datos y seguridad
Los procesadores deben adherirse a las instrucciones del controlador y cumplir con las obligaciones relacionadas con la seguridad de los datos, los derechos del consumidor y las respuestas a las infracciones.
Según la NDPA, los responsables del tratamiento deben realizar Evaluaciones de Protección de Datos (EPD) para cualquier actividad de tratamiento que suponga un mayor riesgo. Los encargados del tratamiento también deben proporcionar la información necesaria para que los responsables realicen y documenten las EPD en situaciones que supongan un mayor riesgo de daño para los consumidores. Estas actividades incluyen:
- Tratamiento de datos personales para publicidad dirigida
- Venta de datos personales
- Tratamiento de datos sensibles
- Elaborar perfiles de datos personales cuando suponga un riesgo previsible de trato injusto, abusivo o engañoso para los consumidores o resulte en un perjuicio sustancial para estos últimos.
Estas evaluaciones deben evaluar y comparar los beneficios de las actividades de procesamiento para todas las partes involucradas frente a los riesgos potenciales para los derechos de los consumidores.
Requisitos de minimización de datos
La NDPA exige que los datos personales se recopilen únicamente en la proporción razonable y necesaria para el producto o servicio solicitado. La legislación también exige que los responsables del tratamiento obtengan el consentimiento antes de procesar datos personales para fines distintos a los inicialmente divulgados y considerados necesarios o compatibles.
Cumplimiento y multas de la NDPA
El Procurador General (PG) tiene la autoridad exclusiva para hacer cumplir la nueva legislación sobre privacidad. El Procurador General puede interponer una demanda y reclamar una indemnización por daños y perjuicios de hasta $7,500 por cada infracción continuada. La organización debe recibir una notificación por escrito de las posibles infracciones y tendrá un plazo de 30 días para subsanarlas. Además, no existe un derecho de acción privado.
El enfoque de BigID para el cumplimiento de la NDPA
BigID utiliza su tecnología patentada automatización de la privacidad con reconocimiento de identidad, la plataforma líder en la industria para la privacidad de datos, la seguridad, el cumplimiento y la gestión de datos de IA, para prepararse de forma proactiva para la NDPA y lograr el cumplimiento.
Con BigID, las empresas pueden:
- Identificar todos los datos: Descubrir y clasificar datos para crear un inventario, mapear los flujos de datos y obtener visibilidad sobre toda la información personal y confidencial sujeta a los requisitos de la NDPA.
- Aplicar políticas: Remediar el riesgo basado en políticas con controles y flujos de trabajo para tomar medidas según los requisitos de la NDPA.
- Evaluar el riesgo: Automatice las evaluaciones de impacto sobre la privacidad, los informes de inventario de datos y los flujos de trabajo de remediación para identificar y remediar los riesgos para mantener el cumplimiento.
- Minimizar datos: Aplique prácticas de minimización de datos identificando, categorizando y eliminando datos personales innecesarios o excesivos para gestionar eficientemente el ciclo de vida de los datos.
- Automatizar la gestión de derechos de datos: Gestione automáticamente las solicitudes de privacidad, las preferencias y el consentimiento, incluida la exclusión voluntaria de la venta de datos, la publicidad dirigida y la elaboración de perfiles de usuario.
- Implantar controles de protección de datos: Automatice los controles de protección de datos para hacer cumplir el acceso a los datos y otras medidas de seguridad, que son cruciales para salvaguardar los datos y cumplir con la NDPA.
Programe una demostración 1:1 para ver cómo BigID puede acelerar el cumplimiento de la NDPA.
Autor
