Un apodo común para Nuevo Hampshire es la Suiza de América. Sin embargo, Nuevo Hampshire dista mucho de ser neutral en materia de privacidad de datos, ya que se convirtió en el decimocuarto estado en aprobar una legislación sobre privacidad. Ley de Privacidad de New Hampshire (NHPA) SB 255La nueva legislación se alinea estrechamente con Virginia, Connecticut, y el recientemente fallecido Nueva Jersey SB 332 Ley de privacidad.
La legislatura de New Hampshire aprobó el Proyecto de Ley Senatorial 255 el 18 de enero de 2024, y será firmado por el gobernador de New Hampshire, Chris Sununu. Una vez firmado, el proyecto de ley entrará en vigor el 1 de enero de 2025.
¿Qué es la Ley de Privacidad de Datos de NH SB 255?
La NH SB 255 es una ley integral de privacidad de datos promulgada por New Hampshire. Su objetivo es proteger la información personal de los residentes de New Hampshire y garantizar que las empresas implementen medidas de protección de datos para salvaguardar la información confidencial. La NHPA busca... mejorar la transparencia, la rendición de cuentas y los derechos de los consumidores en todo New Hampshire estableciendo pautas y requisitos claros.
Lo que las empresas necesitan saber
La NHPA otorga gran importancia a la protección de la privacidad y los derechos sobre los datos de los residentes de New Hampshire. La legislación otorga a las personas derechos sobre los datos personales y requiere que las empresas sean transparentes en la recopilación, el procesamiento y la gestión de datos.
La NHPA fortalece la privacidad y seguridad de los datos en New Hampshire. A continuación, se presentan algunos aspectos críticos de la NHPA:
¿Quién debe cumplir?
La NHPA se aplica a las empresas que recopilan, utilizan o comparten información personal de los residentes de New Hampshire. En concreto, una empresa está sujeta a la NHPA si:
Realiza negocios en New Hampshire o produce productos o servicios para residentes de New Hampshire y, durante un año calendario, ya sea:
- Controla o procesa los datos personales de al menos 35.000 consumidores únicos, excluyendo los datos personales controlados o procesados para completar una transacción financiera
- Controla o procesa los datos personales de al menos 10.000 consumidores únicos y obtiene más de 25% de sus ingresos de la venta de datos personales
Exenciones de la NHPA para entidades de datos específicos
- Gobierno
- Organizaciones sin fines de lucro
- Instituciones de educación superior
- Organizaciones bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Instituciones financieras sujeto a la Ley Gramm-Leach-Bliley
Es fundamental que las empresas comprendan si están sujetas a la NHPA y tomen las medidas necesarias para cumplir con la nueva legislación.
Preparación para el cumplimiento de la NHPA
El cumplimiento de la NHPA es vital para las empresas que operan en New Hampshire. A continuación, se presentan algunos requisitos esenciales para lograr el cumplimiento:
Definición de datos personales sensibles
La NHPA incluye una definición de datos sensibles, similar a las leyes existentes, que es información que potencialmente podría revelar:
- Raza o etnia, creencias religiosas, condición o diagnóstico de salud mental o física, vida sexual, orientación sexual, ciudadanía o estado migratorio
- El procesamiento de datos genéticos o biométricos para identificar de forma única a un individuo
- Datos personales recopilados de un niño conocido (menor de 13 años)
- Datos de geolocalización precisos (en un radio de 530 metros)
Las empresas deben obtener primero el consentimiento del consumidor (o del padre en nombre de un niño) antes de procesar datos confidenciales.
Confidencialidad
Las organizaciones deben proporcionar a los consumidores un aviso de privacidad que incluya:
- Las categorías de datos personales tratados
- La finalidad del tratamiento de datos personales
- Las categorías de terceros a los que se divulgan datos personales
- Las categorías de datos personales compartidos con terceros
- Una descripción de cómo los consumidores pueden ejercer sus derechos de privacidad y apelar una decisión sobre una solicitud de derechos de datos
- Dirección de correo electrónico u otro sistema en línea (formulario web o portal) que los consumidores pueden usar para comunicarse con la empresa
Derechos del consumidor
La NHPA brinda a los consumidores muchos de los mismos derechos que las regulaciones estatales existentes, alineándose explícitamente con las leyes de privacidad de Virginia y Nueva Jersey.
La NHPA otorga derechos de datos específicos a los residentes de NH, incluidos:
- El derecho a confirmar qué datos personales se están recopilando y procesando
- El derecho a acceder y obtener una copia de su información personal en un formato portátil y fácilmente utilizable/transferible
- El derecho a eliminar los datos personales proporcionados u obtenidos sobre el consumidor
- El derecho a optar por no participar en la venta de información personal, la publicidad dirigida y la elaboración de perfiles
- El derecho a corregir información personal inexacta
- Los consumidores también tienen la derecho a no ser discriminado para ejercer sus derechos
- Se requiere el consentimiento del consumidor para niños de al menos trece años pero menores de dieciséis cuando se procesan datos para publicidad dirigida o la venta de datos personales.
- La NHPA exige el cumplimiento de las Ley de Protección de la Privacidad Infantil en Internet (COPPA), que se aplica a los datos personales de un niño conocido menor de 13 años
Plazos de solicitud, apelaciones y agentes autorizados
Cronograma de solicitud de derechos de datos
Una organización debe cumplir con una solicitud de datos para que el consumidor ejerza sus derechos con prontitud:
- Una empresa debe responder al consumidor rápidamente pero a más tardar 45 días después Recibiendo la solicitud.
- La empresa podrá ampliar el plazo de respuesta mediante 45 días adicionales Cuando sea razonablemente necesario. Aun así, debe informar al consumidor de cualquier prórroga dentro del plazo inicial de respuesta de 45 días y el motivo de la misma.
- Supongamos que una empresa se niega a atender la solicitud de un consumidor. En ese caso, la empresa debe informar al consumidor. a más tardar 45 días después recibir la solicitud, con la justificación de la declinación y Instrucciones sobre cómo apelar la decisión.
Proceso de apelaciones
- Una organización debe establecer un proceso para que un consumidor pueda apelar la denegación de una solicitud dentro de un plazo razonable tras recibir la decisión. De acuerdo con la legislación, el proceso de apelación debe ser fácilmente accesible y similar al proceso de solicitud de inicio de acción.
- Dentro de los 60 días siguientes a la recepción de una apelaciónUna empresa debe informar al consumidor por escrito sobre cualquier acción tomada o no tomada en respuesta a la apelación, incluida una explicación escrita de los motivos de las decisiones.
- Si se deniega la apelación, una organización también debe proporcionar al consumidor un mecanismo en línea, si está disponible, u otro método a través del cual el consumidor pueda comunicarse con el fiscal general para presentar una queja.
Agente autorizado
- Un consumidor puede designar un agente autorizado para ejercer sus derechos de optar por no procesar sus datos en nombre del consumidor.
- Al procesar datos personales conocidos de un niño, el padre o tutor legal podrá ejercer dichos derechos de consumidor en nombre del niño.
- Un consumidor también puede designar a otra persona para que actúe como agente autorizado del consumidor y actúe en nombre del consumidor para optar por no procesar datos personales.
- Un responsable del tratamiento deberá cumplir con una solicitud de exclusión recibida de un agente autorizado si el responsable del tratamiento puede verificar, con un esfuerzo comercialmente razonable, la identidad del consumidor y la autoridad del agente autorizado para actuar en nombre de dicho consumidor.
Obligaciones comerciales
La NHPA impone obligaciones empresariales que se asemejan a las de otros estados. Las responsabilidades incluyen los siguientes requisitos:
- Limitar la recopilación de datos personales a lo que sea adecuado, relevante y razonablemente necesario.
- Establecer, implementar y mantener prácticas de seguridad de datos.
- Proporcionar una solución eficaz Mecanismo Universal de Exclusión Voluntaria (UOOM) para que los consumidores rechacen su consentimiento.
- Prohibir el tratamiento de datos personales que violen las leyes que prohíben la discriminación ilegal contra los consumidores y abstenerse de discriminar a los consumidores que ejercen sus derechos.
- Prohibir el tratamiento de datos personales de los consumidores para publicidad dirigida o venta sin consentimiento, especialmente cuando el consumidor tenga entre 13 y 16 años de edad.
Requisito de evaluación de protección de datos
La NHPA exige la documentación de una evaluación de protección de datos para identificar los posibles riesgos para los consumidores si la actividad de procesamiento de datos presenta un mayor riesgo de daño. El «riesgo elevado» incluye:
- Publicidad dirigida
- Elaboración de perfiles
- Venta de datos personales
- Tratamiento de datos sensibles
Las evaluaciones deben presentarse al Fiscal General de New Hampshire cuando se lo solicite.
Cumplimiento de la NHPA
El fiscal general de New Hampshire tiene la facultad exclusiva de ejecución. Hasta finales de 2025, el fiscal general debe proporcionar a las organizaciones un plazo de 60 días para notificar y subsanar una infracción, si esta es posible. El 1 de enero de 2026, el fiscal general podrá notificar y subsanar una infracción. En virtud del artículo 358-A:4, el incumplimiento de la NHPA no superará los 10 000 T/T por infracción.
Cómo BigID ayuda a las organizaciones a cumplir con la ley SB255 de New Hampshire
Si bien la NHPA es similar a otras leyes estatales de privacidad, las organizaciones deben tomar las medidas necesarias para cumplir con los aspectos únicos de la ley de privacidad del consumidor de New Hampshire. BigID permite a las organizaciones prepararse proactivamente para la NHPA y lograr el cumplimiento con su plataforma patentada de automatización de la privacidad con reconocimiento de identidad. Con BigID, las empresas pueden:
- Descubra los datos de NH: Descubrimiento y clasificación de datos de BigID Proporciona visibilidad completa de toda la información personal y sensible sujeta a la NHPA.
- Aplicar las políticas de la NHPA: Reduzca el riesgo basado en políticas con controles y flujos de trabajo de remediación de datos para garantizar el cumplimiento de los requisitos de la NHPA.
- Automatizar la gestión de derechos de datos: BigID permite a las organizaciones Gestionar automáticamente las solicitudes de privacidad, preferencias y consentimientos., incluido UOOM para que los consumidores puedan optar por no participar en las ventas de datos, la publicidad dirigida y la elaboración de perfiles.
- Minimizar datos: Ejecute la minimización de datos identificando y categorizando datos personales innecesarios o excesivos para gestionar el ciclo de vida de los datos desde la retención hasta la eliminación.
- Implantar controles de protección de datos: BigID proporciona controles automatizados de protección de datos a hacer cumplir los controles de acceso a los datos y otras medidas de seguridad, que son cruciales para salvaguardar los datos y cumplir con la NHPA.
- Evaluar el riesgo: BigID ofrece evaluaciones automatizadas del impacto en la privacidad, informes de inventario de datos y flujos de trabajo de remediación para identificar riesgos e informar al Fiscal General de NH.
Programe una demostración 1:1 para ver cómo BigID puede ayudarle a lograr el cumplimiento de la NHPA.
Autor
