La legislatura de Utah aprobó por unanimidad la Ley de Privacidad del Consumidor de Utah (SB 227) el 3 de marzo de 2022, un día antes de que se suspendiera su sesión número 64.
El proyecto de ley, presentado el 18 de febrero de 2022, pudo ser considerado en el pleno del Senado menos de una semana después. El 25 de febrero, el Senado votó unánimemente a favor de aprobarlo, trasladándolo a la Cámara de Representantes para su aprobación, donde también fue aprobado por unanimidad tras pequeñas enmiendas.
El Senado confirmó ayer las enmiendas de la Cámara, a pesar de una coalición de grupos de privacidad instando al gobernador del estado a devolver el proyecto de ley a la legislatura para una revisión más detallada.
La Cuarta Ley de Privacidad Estatal de EE. UU.
El proyecto de ley ahora se encuentra en manos del gobernador, quien tendrá veinte días para decidir si lo firma, no lo firma o lo veta. En su estado actual, la SB 227 se convertirá en la cuarta ley estatal de privacidad en Estados Unidos, después de California, Virginia y Colorado.
La SB 227 comparte varias similitudes con CDPA de Virginia (VCDPA) y Contador público certificado (CPA) de ColoradoPor ejemplo, el proyecto de ley impone obligaciones separadas a las entidades reguladas en función de si actúan como responsables o encargados del tratamiento de datos de los consumidores.
El proyecto de ley se aplicaría a cualquier controlador o procesador que haga negocios en Utah o proporcione productos y/o servicios de consumo dirigidos a los residentes de Utah; tenga un ingreso anual de $25,000,000 o más; y cumpla una o más de las siguientes condiciones:
Controla o procesa los datos personales de 100.000 o más consumidores; o
Obtiene más del 50% de sus ingresos brutos de la venta de datos personales y controla o procesa los datos personales de 25.000 o más consumidores.
Excepciones en virtud del proyecto de ley de Utah
El proyecto de ley no se aplicaría a entidades gubernamentales, datos de empleados, organizaciones sin fines de lucro, instituciones de educación superior, tribus o empresas cubiertas por HIPAA.
Muy parecido a la Se aprobaron leyes de privacidad En los otros tres estados, el proyecto de ley tampoco se aplicaría a la información que se rige por la Ley Federal de la Ley de la Capital Federal (FCRA), el GLBAo HIPAA.
Algunos otros puntos notables a considerar si el UCPA Las leyes que se convierten en ley incluyen que:
- Brindar a los consumidores el derecho a acceder, corregir o eliminar datos personales (con algunas excepciones), así como el derecho a optar por no participar en ciertas actividades de procesamiento, como la publicidad dirigida y la venta de datos personales;
- Aplicar el término “datos sensibles” a los datos personales de niños (es decir, menores de 13 años en Utah);
- Permitir que un padre o tutor legal de un niño ejerza los derechos de consumidor en su nombre; y
- Asignar al Fiscal General de Utah poderes de ejecución, en lugar de otorgar a los consumidores un derecho privado de acción como el próximo CPRA.
Aplicación de la UCPA por parte del Procurador General
Como lo informó por primera vez el IAPPUn detalle que distingue a la UCPA de las demás leyes estatales de privacidad es que implementa un proceso de dos pasos para las acciones de cumplimiento. Primero, el consumidor deberá presentar una reclamación ante la División de Protección al Consumidor del Departamento de Comercio de Utah. Esta división investigará la legitimidad de la reclamación y la aprobará o rechazará según sus conclusiones.
Si la División aprueba la reclamación del consumidor, la presentará a la Fiscalía General de Utah para determinar si se interpondrá una acción coercitiva contra la empresa. Sin embargo, el Fiscal General debe notificar previamente por escrito a la empresa y concederle 30 días para subsanar la infracción. Si la empresa no subsana la infracción, solo entonces podrá el Fiscal General interponer una acción coercitiva contra ella.
Si se convierte en ley, la UCPA entrará en vigor el 31 de diciembre de 2023. Con la ayuda de BigID, los clientes satisfacen los requisitos de cumplimiento establecidos en la UCPA — como por ejemplo, complacientes y automatización de las solicitudes de los interesados, Proporcionar medidas de seguridad y protección para datos sensibles de los consumidores, cumpliendo solicitudes de exclusión voluntaria para la venta de datos personales o actividades de procesamiento relacionados con la publicidad dirigida y brindar a las empresas las herramientas adecuadas para comprender por qué y cómo utilizan los datos personales que recopilan de los consumidores. Obtenga más información y Obtenga una demostración 1:1 de BigID.
Autor
