Virginia toma un rumbo diferente al de California con …



Las empresas en línea que se dirigen a los consumidores de Virginia y tienen datos personales de 100,000 consumidores en el estado deben cumplir con el nuevo estatuto.

Rara vez Virginia y California caen en el mismo campo legislativo, pero si su gobernador firma la Ley de Protección de Datos del Consumidor de Virginia (como se espera ampliamente), ambos estados tendrán una ley de privacidad de datos amplia. Y en ausencia de una ley federal de privacidad de datos, los estados individuales continúan llenando los vacíos centrados en los consumidores, las empresas y la recopilación de datos.

Quién está cubierto por VCDPA
Empresas que «realizan negocios en el Commonwealth o producen productos o servicios dirigidos a los residentes del Commonwealth y que (i) durante un año calendario, controlan o procesan datos personales de al menos 100,000 consumidores o (ii) controlan o procesan datos personales de al menos 25.000 consumidores y obtienen más del 50% de los ingresos brutos de la venta de datos personales «.

Recuerde que realizar negocios en la period del comercio electrónico puede significar simplemente operar un sitio world-wide-web dirigido a los residentes de Virginia. Por lo tanto, si usted es una empresa con un sitio world-wide-web dirigido a consumidores de Virginia y tiene los datos personales de al menos 100,000 de esos consumidores, es probable que esté bajo el brazo del estatuto y deba tomar medidas para cumplir. Esta es una desviación notable de la CCPA de California, que se centra en empresas con un umbral de ingresos de $ 25 millones poseer datos personales de más de 50,0000 consumidores u obtener más de la mitad de sus ingresos anuales vendiendo los datos personales de los consumidores. En cambio, la legislación de Virginia se centra únicamente en los consumidores de Virginia atendidos o los datos vendidos.

Una serie de empresas están exentas de VCDPA, incluidas las que se rigen por las regulaciones financieras de HIPAA o Graham-Leach-Bliley, organizaciones sin fines de lucro, instituciones de educación top-quality y entidades gubernamentales en Virginia.

¿Qué son los datos personales bajo VCDPA?
La ley outline los datos personales como «cualquier información que esté vinculada o razonablemente vinculada a una persona física identificable o identificable». No incluye datos no identificados ni datos disponibles públicamente. Y, sobre todo, tampoco incluye a una «persona física que actúe en un contexto comercial o laboral». En otras palabras, los datos personales se aplican casi estrictamente a los datos del consumidor. La ley exime los datos generados por contactos comerciales o información sobre empleados.

VCDPA crea un segundo umbral para «datos confidenciales», que outline como datos que incluyen el origen racial o étnico, creencias religiosas, diagnóstico de salud física o mental, orientación sexual, ciudadanía o estado migratorio.

Las comunicaciones y los contactos de empresa a empresa también se establecen específicamente, dependiendo en cambio de la recopilación de datos impulsada por el consumidor. Por lo tanto, si usted es una empresa que opera mediante equipos de ventas que se comunican directamente con otras empresas, es posible que no se incluya en la definición de «datos personales» como la define la VCDPA. Del mismo modo, las fotografías, videos y grabaciones de audio están exentos de la definición de datos biométricos.

La VCDPA otorga derechos a los consumidores para confirmar los datos personales que está procesando una empresa, obtener una copia de esos datos o solicitar a la empresa que elimine esos datos personales. Y, en specific, la ley permite que un consumidor pueda optar por no recibir el procesamiento de los datos personales para publicidad, venta o elaboración de perfiles específicos del consumidor.

La cuenta regresiva de cumplimiento está en marcha
La ley entra en vigor el 1 de enero de 2023, una fecha límite de cumplimiento que también se alinea con la Ley de Derechos del Consumidor de California recientemente aprobada.

Sin duda, esto continuará impulsando la conversación hacia una ley federal de privacidad de datos. En este momento, un mosaico de estados está creando leyes que están impulsando la conversación sobre la privacidad de los datos del consumidor. Si el gobernador firma el VCDPA como se esperaba, Virginia habrá vencido a Maryland, Minnesota, Nueva York y Washington en una conversación nacional.

Los profesionales de la seguridad deben ser especialmente conscientes
La VCDPA requiere que las empresas «establezcan, implementen y mantengan prácticas de seguridad administrativas, técnicas y físicas razonables para proteger la confidencialidad, integridad y accesibilidad de los datos personales». La ley va un paso más allá y agrega estos dientes: «Tales prácticas de seguridad de datos deberán ser apropiadas para el volumen y la naturaleza de los datos personales en cuestión». En otras palabras, si una empresa almacena o procesa grandes volúmenes de información del consumidor, se mantendrá en un estándar más alto.

La VCDPA requiere que las empresas «limiten la recopilación de datos personales a lo que sea adecuado, relevante y razonablemente necesario». En otras palabras, las empresas deben tener en cuenta cómo recopilan información y el tiempo durante el cual almacenan estos datos. Como saben muchos profesionales de la seguridad, esta es, en muchos sentidos, una misión basic para limitar la zona de consecuencias de un posible incidente de datos en el futuro. Cuantos menos datos confidenciales almacene una empresa, menor será el riesgo que corre la organización si se develop un incidente.

La VCDPA continuará impulsando la conversación nacional sobre los derechos de privacidad de los datos y la seguridad de los datos del consumidor. La privacidad y la seguridad van de la mano bajo estas leyes de privacidad de datos que muestran que muchas empresas no solo deben defenderse de las fuerzas externas que intentan acceder a los datos, sino también de la recopilación interna inadecuada de información del consumidor.

En lugar de esperar hasta enero de 2023, todas las empresas, especialmente aquellas con presencia nacional, están bien atendidas para comenzar a analizar sus huellas de datos ahora y tomar medidas para cumplir con las nuevas protecciones de privacidad mejoradas de Virginia y California para los consumidores.

Beth Burgin Waller es una abogada que sabe cómo navegar entre la sala de servidores y la sala de juntas. Como presidenta de la práctica de ciberseguridad y privacidad de datos en Woods Rogers, asesora a los clientes sobre ciberseguridad y problemas de privacidad de datos. En esta capacidad, ella … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic