Cuando la mayoría de los estadounidenses piensan en Nueva Jersey, parece que "Jersey Shore" siempre les viene a la mente. Hasta ahora: Nueva Jersey es el decimotercer estado en aprobar una ley de privacidad de datos del consumidor.
La legislatura de Nueva Jersey aprobó el Proyecto de Ley Senatorial 332 el 8 de enero de 2024, y fue firmado por el gobernador de Nueva Jersey, Phil Murphy, el 16 de enero de 2024. La ley entrará en vigor un año después de su promulgación. 16 de enero de 2025.
¿Qué es la Ley de Privacidad de Datos de NJ SB 332?
La Ley SB 332 de Nueva Jersey es una ley integral de privacidad de datos promulgada por el estado de Nueva Jersey. Su objetivo es proteger la información personal de los residentes de Nueva Jersey y garantizar que las empresas adopten medidas sólidas de protección de datos para salvaguardar la información confidencial. Al establecer directrices y requisitos claros, la Ley SB 332 busca mejorar la transparencia, la rendición de cuentas y los derechos del consumidor.
Lo que las empresas necesitan saber
La Ley SB 332 de Nueva Jersey otorga gran importancia a la protección de la privacidad de los residentes de Nueva Jersey. Esta ley empodera a las personas al otorgarles derechos sobre su información personal y exige a las empresas transparencia en la recopilación, el procesamiento y el uso de datos. Con la implementación de medidas de privacidad mejoradas, los consumidores tendrán mayor control sobre sus datos personales.
La Ley SB 332 de Nueva Jersey introduce varias disposiciones esenciales que fortalecen la privacidad y seguridad de los datos en Nueva Jersey. A continuación, se presentan algunos aspectos críticos de la ley:
¿Quién debe cumplir?
La ley NJ SB332 se aplica a las empresas que recopilan, utilizan o comparten información personal de los residentes de Nueva Jersey. En concreto, una empresa está sujeta a la ley NJ SB332 si:
Realiza negocios en Nueva Jersey o produce productos o servicios para residentes de Nueva Jersey y, durante un año calendario, ya sea:
- Controla o procesa la información personal de al menos 100,000 consumidores de Nueva Jersey, excluyendo los datos personales procesados con el propósito de completar una transacción; o
- Controla o procesa los datos personales de al menos 25.000 consumidores de Nueva Jersey, y el responsable del tratamiento obtiene ingresos por la venta de información personal, o recibe un descuento en el precio de cualquier bien o servicio, por la venta de datos personales.
La ley excluye los datos de organizaciones sin fines de lucro, entidades gubernamentales y ciertas entidades reguladas.
Es vital que las organizaciones comprendan si están sujetas a la NJ SB332 y tomen las medidas necesarias para cumplir con la nueva legislación.
Preparación para el cumplimiento de la ley SB 332 de Nueva Jersey
El cumplimiento de la ley NJ SB332 es crucial para las empresas que operan en Nueva Jersey. La ley puede conllevar sanciones significativas y daños a la reputación si las organizaciones no cumplen con la legislación. A continuación, se presentan algunas consideraciones esenciales para lograr el cumplimiento:
Confidencialidad
Las organizaciones deben proporcionar un aviso de privacidad que describa:
- las categorías de datos personales tratados
- la finalidad del tratamiento
- las categorías de terceros a los que se divulgan datos personales
- las categorías de datos personales compartidos con terceros
- Cómo los consumidores pueden ejercer sus derechos y apelar una decisión sobre una solicitud de derechos de datos
- Cómo la organización notifica a los consumidores sobre cambios materiales en el aviso de privacidad
- Las organizaciones deben proporcionar una dirección de correo electrónico u otro sistema en línea (formulario web o portal) que el consumidor pueda usar para comunicarse con la empresa.
Evaluaciones de protección de datos
Las empresas deben realizar evaluaciones periódicas de protección de datos (DPA) para identificar y abordar las vulnerabilidades con prontitud. La ley exige explícitamente una DPA cuando se procesan datos que presentan un mayor riesgo de daño a los consumidores. Las evaluaciones deben presentarse al Fiscal General de Nueva Jersey si se les solicita.
Mecanismos universales de exclusión voluntaria (UOOM)
Mecanismos universales de exclusión voluntaria Ha habido un debate continuo entre diferentes legislaturas estatales, lo que ha generado varias disputas. Si bien Nueva Jersey apoya las UOOM no solo para la publicidad dirigida y la venta de datos personales, el alcance se amplía para incluir la exclusión voluntaria para la elaboración de perfiles de usuario, que es la primera entre las leyes estatales. La ley autoriza... División de Asuntos del Consumidor del Fiscal General de Nueva Jersey Aplicar las normas y reglamentos relativos a las especificaciones técnicas de la UOOM.
Además, bajo Ley SB332 de Nueva Jersey, una UOOM “no deberá hacer uso de una configuración predeterminada que permita al consumidor aceptar el procesamiento [con fines de publicidad dirigida] o la venta de datos personales, a menos que el controlador haya determinado que el consumidor ha seleccionado dicha configuración predeterminada y la selección represente claramente la elección afirmativa, libremente dada e inequívoca del consumidor de aceptar cualquier procesamiento de los datos personales de dicho consumidor”.
Multas y ejecución
Habrá un período de gracia durante los primeros 18 meses posteriores a la fecha de entrada en vigor, es decir, un año después de la promulgación del proyecto de ley. El Fiscal General de Nueva Jersey implementará las normas y regulaciones y proporcionará orientación adicional sobre solicitudes de derechos de datos, verificación de solicitudes, evaluaciones del procesamiento de datos y mecanismos de exclusión voluntaria.
Una violación de la ley NJ SB332 se considera una violación de los actos y prácticas engañosas desleales de Nueva Jersey (UDAP), y el Fiscal General podría solicitar multas de hasta $10,000 por la primera violación y hasta $20,000 por la segunda violación y subsiguientes.
Derechos del consumidor de Nueva Jersey
La S332 de Nueva Jersey brindaría a los consumidores muchos de los mismos derechos existentes en las regulaciones estatales ya establecidas, como en California, Colorado, Connecticut, Utah y Virginia, y en varios otros estados con leyes de privacidad que entrarán en vigencia en 2024 y 2025.
La NJ SB332 otorga a los residentes de Nueva Jersey derechos específicos sobre su información personal, incluidos:
- El derecho a saber qué información personal se está recopilando y procesando
- El derecho a acceder y obtener una copia de su información personal
- El derecho a solicitar la eliminación de información personal
- El derecho a optar por no participar en la venta de su información personal, la publicidad dirigida y la elaboración de perfiles.
- El derecho a que su información personal sea corregida, cambiada o actualizada
- Se requiere la opción de inclusión o exclusión voluntaria para niños de al menos 13 años y menores de 17.
- NJ S322 se alinea con el gobierno federal Ley de Protección de la Privacidad Infantil en Línea, que se aplica a los datos personales de un niño conocido menor de 13 años
Las empresas deben responder a las solicitudes de datos de los consumidores dentro de los 45 días; existe una posible extensión de 45 días si es razonablemente necesario.
Cómo BigID ayuda a las organizaciones a cumplir con la ley SB332 de Nueva Jersey
Las organizaciones que han adoptado un enfoque proactivo ante la CCPA y otras leyes estatales de privacidad estarán en mejor posición para lograr el cumplimiento, pero aún deberán tomar las medidas necesarias para cumplir con los aspectos únicos de la ley de privacidad del consumidor de Nueva Jersey. BigID permite a las organizaciones prepararse proactivamente para la ley NJ SB332 y lograr el cumplimiento con su plataforma patentada de automatización de la privacidad con reconocimiento de identidad. Con BigID, las empresas pueden:
- Descubrir datos: BigID proporciona descubrimiento y clasificación de datos en profundidad para mapear los flujos de datos y obtener visibilidad completa de toda la información personal y confidencial que está sujeta a las regulaciones NJ SB332.
- Aplicar políticas: Reducir el riesgo basado en políticas con controles y flujos de trabajo de remediación de datos para tomar medidas sobre los requisitos de NJ SB332.
- Automatizar la gestión de derechos de datos: BigID permite a las organizaciones gestionar de forma proactiva y gestionar automáticamente las solicitudes de privacidad, preferencias y consentimiento, incluido UOOM para que los consumidores puedan optar por no participar en las ventas de datos, la publicidad dirigida y la elaboración de perfiles de usuario.
- Minimizar datos: Aplicar principios de minimización de datos mediante la identificación y categorización de datos personales innecesarios o excesivos para gestionar el ciclo de vida de los datos desde la retención hasta la eliminación.
- Implantar controles de protección de datos: BigID proporciona controles automatizados de protección de datos a hacer cumplir los controles de acceso a los datos y otras medidas de seguridad, que son cruciales para salvaguardar los datos y cumplir con NJ SB332.
- Evaluar el riesgo: BigID ofrece evaluaciones automatizadas del impacto en la privacidad, informes de inventario de datos y flujos de trabajo de remediación identificar riesgos, informar al Fiscal General de Nueva Jersey y garantizar el cumplimiento de la ley NJ SB332.
Programe una demostración 1:1 para ver cómo BigID puede acelerar su cumplimiento con NJ SB332.
Autor
