Después de que Virginia aprueba una nueva ley de privacidad, los estados compiten para ponerse al día con CCPA y GDPR


Usando la ley propuesta del estado de Washington como guía, Nueva York, Texas y muchos otros estados están avanzando poco a poco hacia una ley de privacidad de datos.

CCPA - Ley de privacidad del consumidor de California. vector de fondo. Protección al consumidor para residentes de California, Estados Unidos. Seguridad de datos de EE. UU.

Imagen: Dmytro Yarmolin / Getty Visuals / iStockphoto

Virginia hizo olas el mes pasado después de que aprobó oficialmente la Ley de Protección de Datos del Consumidor el 2 de marzo, convirtiéndose efectivamente en el segundo estado después de California en aprobar una sólida ley de privacidad de datos.

La ley, basada parcialmente en la Ley de Privacidad de Washington propuesta que se está abriendo camino en la legislatura de ese estado, difiere de las leyes aprobadas en California en algunas formas cruciales. La disposición más notable de la ley de Virginia es la falta de un derecho de acción privado, lo que significa que la gente promedio no puede demandar a las empresas por ganar dinero con sus datos.

Pero la ley de Virginia permite a los consumidores acceder, eliminar y detener la venta de su información particular, y las empresas necesitarán el permiso del consumidor antes de recopilar, usar o divulgar información particularmente practical, como información relacionada con el origen racial o étnico, datos genéticos y datos de geolocalización. . Las empresas también tienen ahora el deber de proteger los datos de los usuarios de los ataques.

«Este es un momento histórico para los derechos de privacidad», dijo Maureen Mahoney, analista senior de políticas de Buyer Studies.

«Virginia es ahora el segundo estado en aprobar un proyecto de ley de privacidad integral. Si bien nos complace que los habitantes de Virginia tengan nuevos derechos de privacidad, los legisladores deberían continuar trabajando en la próxima sesión para fortalecerlo. Este proyecto de ley tiene algunas disposiciones de privacidad importantes, pero los consumidores necesitan opciones más prácticas para controlar sus datos «.

VER: Informe especial: convertir macrodatos en conocimientos empresariales (PDF gratuito) (TechRepublic Premium)

La ley de Virginia entra en vigor el 1 de enero de 2023 y se aplica a cualquier empresa que haga negocios en el estado, brinde servicios a los residentes del estado o controle o procese los datos personales de al menos 100,000 residentes de Virginia. También se aplica a las empresas que controlan o procesan los datos personales de al menos 25.000 residentes de Virginia y generan más del 50% de los ingresos brutos de la venta de datos personales.

En una entrevista por correo electrónico, Mahoney dijo que los consumidores necesitan herramientas para que la opción de exclusión sea más practical.

«La CCPA requiere que las empresas respeten las señales de privacidad del navegador como una opción de exclusión common de la venta. Y la CCPA tiene una disposición de agente autorizado que permite a los consumidores designar a terceros para enviar solicitudes de acceso, eliminación y exclusión voluntaria en su nombre», Mahoney dicho. «Ambas herramientas son clave para garantizar que los consumidores no estén obligados a enviar solicitudes a cientos, si no miles, de empresas diferentes para proteger completamente su privacidad, e instamos a los legisladores de Virginia a que adopten estas disposiciones».

El derecho de acción privado es uno de los principales problemas que ha frenado las leyes de privacidad de datos en docenas de estados, según Dan Clarke, presidente de la empresa de privacidad IntraEdge. La compañía de Clarke ha trabajado con Intel para crear una plataforma llamada Truyo que ayuda a las grandes empresas a automatizar el cumplimiento de las leyes de privacidad existentes como CCPR y GDPR.

Clarke también ha sido contratado por varios estados para consultar sobre leyes de privacidad de datos y testificó ante el Congreso sobre la necesidad de una ley federal de privacidad de datos. Explicó que si bien el CCPR y su seguimiento, el CPRA, fueron los primeros, la ley que más se está copiando es en realidad la Ley de Privacidad de Washington, aunque aún no ha sido aprobada.

«La gente tiene derecho a saber qué datos tiene una empresa sobre usted y cómo los united states of america. Esos son los fundamentos de cualquiera de estas leyes generales de privacidad. La que veo que parece estar ganando popularidad en otros estados es la Ley de Privacidad de Washington. , que fue escrito desde cero «, dijo Clarke. «Es un poco híbrido de la ley de California y el GDPR. Utiliza la mayoría de las definiciones y el marco de aplicación de la ley de California, pero united states of america la mayoría de las reglas operativas del GDPR».

La CCPA, dijo, es una gran ley porque trajo cierta cantidad de derechos de privacidad a los ciudadanos, pero fue redactada apresuradamente y ha tenido que actualizarse a través de otras medidas como la CPRA.

Por el contrario, la Ley de Washington, que pasó 48-1 en el Senado estatal en marzo y ahora se abre paso en la Cámara de Representantes, está mucho más limpio y es más fácil de seguir, según Clarke. La ley de Washington ofrece a los ciudadanos el derecho a ver, cambiar o eliminar por completo cualquier información personalized o datos recopilados por una empresa. También obliga a las empresas a publicar avisos de privacidad.

«La Ley de Privacidad de Washington, aunque todavía no ha sido aprobada, es más possible que sea replicada por otros estados. De hecho, la Ley de Privacidad de Virginia es efectivamente la ley de Privacidad de Washington, pero fue aprobada irónicamente», dijo Clarke.

Múltiples estados como Nueva York, Texas, Minnesota, Oklahoma y más están reflexionando sobre leyes que se parecen mucho a las de Washington, y Clarke dijo que incluso ha estado involucrado en el proyecto de ley de Texas. Clarke señaló que la ley de Washington ha tenido problemas para ser aprobada en los últimos dos años porque los oponentes en ambos lados del pasillo político no pensaron que fue lo suficientemente lejos o fue demasiado lejos.

Clarke explicó que cree que Washington, Nueva York y Texas probablemente seguirán a Virginia este año para lograr que se apruebe algún tipo de ley de privacidad, lo que obligará a muchos otros estados a considerar cambios. Utah y Dakota del Norte se encuentran entre otros 23 estados que se encuentran en alguna etapa en el proceso de aprobar una ley.

«El HB 1330 de Dakota del Norte está atrayendo mucha atención: proporcionaría un marco de privacidad más sólido que la CCPA al requerir permiso antes de vender los datos de los consumidores, y permite a los consumidores responsabilizar a las empresas por violar sus derechos», dijo Mahoney.

Cuando se le preguntó sobre la posibilidad de una legislación federal de privacidad similar al GDPR, Clarke dijo que su experiencia en Capitol Hill le hizo cuestionar si los demócratas y los republicanos podrían alguna vez encontrar un terreno común en temas cruciales como el derecho privado de acción y los mecanismos de aplicación.

«Mi experiencia fue que los demócratas y los republicanos estaban muy separados en lo que querían. No era &#39¿quieres una ley de privacidad?&#39 Había un paso por debajo de eso. ¿Existe un derecho de acción privado y quién lo hace cumplir? ¿Es la FTC? ¿Es una nueva agencia? ¿Es preventiva? » Dijo Clake. Algunos republicanos, agregó, no querían un derecho de acción privado, mientras que muchos demócratas querían mecanismos de aplicación más fuertes.

«No tengo muchas esperanzas de que consigamos una ley federal de privacidad», declaró Clarke, y agregó que hay alguna esperanza de que el presidente Joe Biden busque obtener algún tipo de regulación de privacidad en su línea de objetivos. cuatro años. Lo más probable es que haya un mosaico de leyes en diferentes estados con las que las empresas y los consumidores tendrán que lidiar.

La esperanza, explicó Clarke, es que el mosaico de leyes frustrará a las empresas y obligará al gobierno federal a intervenir y estandarizar las cosas. «Cuando testifiqué en Texas con el comité, una de las primeras cosas que dije fue comenzar con algo. Incluso si no es la ley más fuerte del país, no tiene nada en este momento. Comience con cierta cantidad de cumplimiento y siempre puede fortalecerlo más tarde «, dijo Clarke.

Independientemente de lo que suceda a nivel estatal, Clarke dijo que las empresas medianas y grandes deben prepararse para un futuro en el que tendrán que cumplir con las solicitudes de los consumidores de sus datos, lo que suena mucho más fácil de lo que es.

La buena noticia es que el cumplimiento de la CPRA, que se requerirá en un año y medio, pondrá a la mayoría de las empresas en buena forma para manejar cualquier otra ley de privacidad que se apruebe en otros estados. La mayoría de las empresas pueden simplemente contratar a un abogado y escribir palabrería que se puede publicar en el sitio world-wide-web de la organización.

«Existen algunos desafíos operativos importantes para cumplir con las leyes de privacidad. Debe saber dónde están todos sus datos y para qué los united states of america. Eso puede parecer simple, pero para la mayoría de las empresas, han estado recopilando datos durante años y años, a menudo al azar. A menudo, diferentes departamentos recopilan diferentes tipos con diferentes propósitos «, dijo Clarke.

«De hecho, tienes que ir a buscar y preguntar &#39¿Qué datos tengo sobre todos? ¿En qué sistemas están? ¿Y cómo los estoy usando? ¿Y por qué los estoy usando?&#39 Ese es realmente el primer paso necesario. Lo segundo es que los consumidores tendrán derecho a ver sus datos. Usted tiene derecho a eliminar sus datos o solicitar que se eliminen. Tiene derecho a corregir sus datos en el caso de Washington. Privateness Act y en Virginia. Esto constituye una obligación operativa continua para la empresa y, a menudo, son mucho más desafiantes «.

Clarke señaló que Consumer Studies publicado recientemente un informe destacando el concepto de terceros o agentes que las personas pueden contratar para realizar este tipo de solicitudes de datos. Puede ser engorroso para una persona promedio ponerse en contacto con cientos de empresas para eliminar sus datos, por lo que, según la CCPA y la CPRA, puede contratar a un tercero para que lo haga por usted.

Sin embargo, Client Experiences descubrió que cuando intentaron ejercer estos derechos con 21 compañías diferentes como Airbnb, Amazon, AT&T, Comcast, Equifax, Intuit, Oracle y Starbucks, muy pocas tenían procesos para manejar las solicitudes.

Otros expertos en privacidad de datos dijeron que si bien la ley de Virginia es un paso en la dirección correcta, no va lo suficientemente lejos. La activista legislativa de la Digital Frontier Basis, Hayley Tsukayama, dijo que la ley de Virginia «no pone su dinero donde está su boca cuando se trata de hacer cumplir los pocos derechos que promueve».

«También, diría yo, es mucho más favorable a los negocios que al consumidor. La CCPA estableció un punto de referencia para las facturas de privacidad del consumidor generales. Es un poco difícil juzgar su efectividad todavía (las ondas regulatorias se mueven lentamente) pero, en general, tiene un estructura que nos gusta más que el estilo que hemos visto salir de Washington, que imita el lenguaje GDPR, pero no ofrece nada parecido a sus protecciones en ninguna de las iteraciones que he visto «, dijo Tsukayama, instando a más estados a luchar más difícil para un derecho de acción privado.

«La parte remarkable de la lista sería la aplicación significativa, idealmente en forma de un amplio derecho de acción privado, el derecho de cualquier persona a demandar por violaciones de privacidad. En California, existe un derecho de acción privado limitado para casos de violación de datos, que se amplió ligeramente en virtud de la Proposición 24. Nos gustaría ver un derecho de acción privado para cada violación de las leyes de privacidad. También nos sentimos muy firmemente en el lenguaje de no discriminación, que deja en claro que las personas que ejercen sus derechos de privacidad no estarán sujetas a precios más altos o peor servicio por tratar de protegerse «.

Tsukayama elogió el proyecto de ley de Dakota del Norte por tener un marco de participación, lo que obligaría a las empresas a preguntar antes de recopilar, usar o vender sus datos.

Josh Odom, director de tecnología de Pathwire, dijo que el consentimiento fue uno de los mayores cambios en la industria que se produjo con la aprobación del RGPD. «Como especialistas en marketing and advertising por correo electrónico, debemos cambiar nuestra comprensión del consentimiento de permanente a dinámico. Esto significa que el consentimiento según el RGPD es específico para la actividad. Debemos preguntarnos: ¿tengo permiso para enviarles mensajes de promoting? ¿Están esperando mi Incluso un estafador necesitaría mi consentimiento explícito para seguir enviándome spam «, dijo Odom.

«Si bien esto puede frustrar a los especialistas en marketing and advertising por correo electrónico, los clientes también deben tener la opción de retirar el consentimiento si deciden que ya no quieren saber de usted. Pero, ¿por qué querría hablar con alguien que no está interesado en lo que usted tiene que hacer? La CDPA se hace eco de la importancia del consentimiento. Los especialistas en promoting por correo electrónico deben ser explícitos sobre cualquier información recopilada o procesada de los residentes del estado de Virginia y trabajar con sus equipos de ventas para garantizar que el contacto reciba el mismo servicio de calidad al mismo precio que todos los prospectos, independientemente de sus decisiones de privacidad «.

Michael Magrath, director de regulaciones y estándares globales de OneSpan, se hizo eco de esos comentarios y señaló que la pandemia ha obligado a muchas empresas a pensar en los datos que recopilan.

«A medida que seguimos viviendo a través de la pandemia de COVID-19, la privacidad y la protección de datos son aún más importantes y ese debería ser el principal impulsor de estas legislaciones», dijo Magrath. «Veremos a los legisladores avanzar hacia una legislación nacional que está diseñada para proteger la privacidad y seguridad de los datos del consumidor, gracias a los pasos iniciales que tomó el estado de California al introducir la CCPA».

Ver también



Enlace a la noticia initial