octubre 24, 2021

Cómo afectará la nueva Ley de Privacidad de Colorado a su negocio

Mejore la tecnología y la estrategia de datos empresariales en Transform 2021.


La Ley de Privacidad de Colorado (CPA) fue aprobada ayer en el Senado estatal, lo que marca otro paso adelante para la protección de datos del consumidor en los Estados Unidos. Se espera que la nueva regulación se convierta en ley dentro de los 30 días y entre en vigencia en julio de 2023.

Colorado es el tercer estado en promulgar una ley de derechos de privacidad intersectorial, siguiendo la Ley de Protección de Datos del Consumidor de Virginia (CDPA) y la Ley de Privacidad del Consumidor de California (CCPA). En general, EE. UU. Aún carece de una ley federal de privacidad del consumidor y, en cambio, se está moviendo hacia un panorama regulatorio fragmentado, que ya está creando desafíos para las empresas. Entre la naturaleza rápidamente cambiante de los estándares regulatorios, incluida la evolución de lo que se considera información de identificación personal (PIII) y la variación entre las leyes actuales, puede ser difícil mantenerse al día. Para satisfacer esta necesidad, las empresas de ciberseguridad buscan cada vez más llenar los vacíos con herramientas que ayuden a automatizar el cumplimiento.

Aunque la CPA se basó en la reciente ley de Virginia, así como en la fallida Ley de Privacidad de Washington, contiene algunas diferencias, particularmente con respecto a las exenciones y derechos otorgados a los residentes de Colorado. La CPA es también la primera ley que puede ser aplicada tanto por el fiscal de distrito como por la oficina del fiscal general, lo cual es «una razón para tomarse las obligaciones de cumplimiento realmente en serio», Greg Szewczyk, socio de privacidad de datos y la firma de ciberseguridad con sede en Denver en Bufete de abogados Ballard Spahr, le dijo a VentureBeat.

Aquí hay un desglose del CPA, lo que se necesita para el cumplimiento y lo que significa para las empresas.

¿En qué se diferencia esta ley de la CCPA?

Una diferencia importante es el umbral de aplicabilidad, dijo Szewczyk, y señaló que «es más un tipo de aplicabilidad directa orientada geográficamente». Si bien la CCPA tiene un umbral de ingresos anual global que se aplica esencialmente a todas las empresas de cierto tamaño, la ley de Colorado, como la ley de Virginia, no lo tiene. Más bien, el CPA se aplica a las empresas que recopilan datos personales de 100.000 residentes de Colorado o recopilan datos de 25.000 residentes de Colorado y también obtienen una parte de los ingresos de las ventas.

Brandon Reilly, socio de Manatt, Phelps & Phillips LLP, también señaló algunas ligeras variaciones en los derechos de datos. El proceso de respuesta a una solicitud de privacidad, cuánto tiempo debe responder la empresa y las excepciones individuales que las empresas pueden utilizar para resistirse al cumplimiento de una solicitud de privacidad, por ejemplo, difieren entre Colorado, California y Virginia.

Otra diferencia notable entre CPA y CCPA es que es probable que la capacidad de los consumidores de renunciar a una «venta» de datos sea mucho más amplia en California.

«Esto se debe a que la ley de Colorado se limita a las ‘ventas’ solo por valor monetario, mientras que California no incluye esa limitación», dijo Reilly. «Como resultado, hemos visto mucha discusión sobre si varios tipos de intercambio de datos activan las disposiciones de exención de la CCPA, particularmente para la industria adtech».

¿Cuáles son los negocios exentos? ¿Y hay alguna exención relacionada con los datos en sí?

Existen algunas exenciones matizadas para empresas cuyos datos ya están regulados por la ley federal, como proveedores de atención médica, educación superior e instituciones financieras. También hay exclusiones relacionadas con la Fair Credit Reporting Act. Pero Reilly explicó que, al igual que con la CCPA, estas exenciones no siempre se aplican a nivel de entidad. «Pueden aplicarse a algunos o casi todos los datos personales de la entidad, pero no a todos», dijo.

Incluso para las empresas que no pertenecen a estas industrias reguladas, existen algunas exenciones dignas de mención, sobre todo exenciones para empleados y de empresa a empresa. Este aspecto de la ley marca una gran diferencia con el Reglamento general de protección de datos (GDPU) de la UE.

«Puede haber empresas, especialmente algunas que tengo en el campo de la tecnología, donde no venden directamente a los consumidores, no recopilan mucha información personal, pero interactúan con muchas empresas», dijo Szewczyk. «El hecho de que esto esté excluido de la definición de consumidor y cobertura bajo la Ley de Colorado les ahorrará mucha acidez».

Si una empresa ya ha tomado medidas para cumplir con la CCPA, ¿qué más se necesita para cumplir con los requisitos de Colorado?

Las empresas que ya cumplen con la CCPA están en buena forma. El siguiente paso para las empresas en esta posición, dijo Reilly, sería considerar qué derechos adicionales considerar, con un enfoque específico en los consumidores de la empresa con sede en Colorado.

Como se mencionó anteriormente, existen algunas variaciones en los derechos de datos específicos del consumidor, que las empresas que cumplen con la CCPA también deben considerar. Por ejemplo, además de la publicidad dirigida, la ley de Colorado permite a los consumidores optar por no procesar su información para crear perfiles de consumidores, lo cual no es parte de la CCPA actual. Szewczyk ha declarado de muchas maneras que la CPA «va más allá de la CCPA y proporciona mayores protecciones» que están más en línea con la CPRA, la ley que reemplazará el mandato actual de California en 2023.

¿Qué deben hacer las empresas entre ahora y julio de 2023 para garantizar el cumplimiento?

Tanto Reilly como Szewczyk enfatizaron que las empresas deben priorizar la obtención de una comprensión verdaderamente profunda de sus datos: qué datos están recibiendo, cómo los procesan, los riesgos de privacidad para los consumidores y el público en general, y cómo los riesgos se comparan con los beneficios.

Esto es esencial para garantizar el cumplimiento, pero también existe el hecho de que realizar una evaluación de protección de datos es uno de los nuevos requisitos según la ley de Colorado. Szewczyk señala que si bien este es un requisito de la ley de Virginia (que también entrará en vigencia en 2023) y que la CCPA tiene algo similar, «es un área que esperamos que la agencia realmente desarrolle».

«Para las empresas, a menos que lo hagan bajo el GDPR o algún otro estatuto regulado específico para una industria específica, será un nuevo concepto», dijo.

Una vez que una empresa tiene una imagen completa de sus datos y prácticas, debe evaluar el grado de exposición bajo la ley de Colorado, así como otras leyes que se promulgarán en 2023. A partir de ahí, puede determinar qué proyectos específicos pueden necesitar. presupuestado y comenzado con el fin de cumplir con el cumplimiento.

¿Cuál es el impacto de alto nivel que tendrá en las empresas?

Incluso sin una ley federal, estas regulaciones fragmentadas comenzarán a obligar a las empresas a adoptar nuevos principios de datos, como la privacidad por diseño. Mantener grandes cantidades de datos del consumidor aumentará la responsabilidad, por lo que el diseño de productos y servicios centrados en la privacidad se volverá cada vez más popular (sin mencionar una buena medida para la confianza del cliente).

«Creo que todas estas leyes, hasta cierto punto, comienzan a guiar el concepto de minimización de datos, que es solo para recopilar lo que realmente necesita para el propósito que está recopilando», dijo Szewczyk. «Y esta es realmente una corriente subyacente sobre cómo proteger a los consumidores porque no se puede perder o abusar de lo que no se tiene».

VentureBeat

La misión de VentureBeat es ser una plaza urbana digital para que los responsables de la toma de decisiones técnicas obtengan información sobre la tecnología y las transacciones transformadoras. Nuestro sitio proporciona información esencial sobre tecnologías y estrategias de datos para guiarlo en el liderazgo de sus organizaciones. Te invitamos a convertirte en miembro de nuestra comunidad, para acceder a:

  • información actualizada sobre temas de su interés
  • nuestros boletines
  • contenido privado líder en el pensamiento y acceso con descuento a nuestros valiosos eventos, como Transformar 2021: Para saber mas
  • funciones de red y más

Hágase miembro

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *