Saltar al contenido principal

La Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)

El 2 de marzo de 2021, la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) fue aprobada por el gobernador del estado y está previsto que entre en vigor a principios de 2023. La ley, cuyo nombre oficial es S.B. 1392; H.B. 2307, regula cómo las empresas que manejan datos personales deben cumplir con la protección de esta información y permite a los consumidores ejercer sus derechos de acceso y control de su información personal.

La VCDPA es la segunda ley de privacidad más importante de los Estados Unidos de América después de la Ley de Derechos de Privacidad de California (CCPA), ambas siguiendo el modelo europeo del GDPR. Siguiendo esta tendencia, muchos estados van a aprobar pronto su propia legislación en materia de privacidad y seguridad de los datos personales.

¿A quién va dirigida la VCDPA?

La VCDPA se dirige a todas las instituciones, organizaciones o entidades "que lleven a cabo actividades comerciales en la Commonwealth de Virginia o que produzcan productos o servicios dirigidos a los residentes de la Commonwealth" y que durante el periodo de un año

"(1) controlen o procesen datos personales de al menos 100.000 residentes de Virginia, o (2) obtengan más del 50% de los ingresos brutos de la venta de datos personales (aunque la ley no aclara si el umbral de ingresos se aplica sólo a los residentes de Virginia) y controlen o procesen datos personales de al menos 25.000 residentes de Virginia."

Por lo tanto, si tiene un sitio web dirigido a personas de Virginia, asegúrese de cumplir con esta futura legislación

  • actualizando sus avisos

  • aplicando la minimización de datos

  • estableciendo un posible método de apelación

  • ofrecer la opción de exclusión voluntaria para los datos sensibles

  • evaluando sus procedimientos de privacidad, seguridad y notificación.

Derechos y obligaciones de la VCDPA

Al igual que otras leyes de privacidad anteriores, la VCDPA define los derechos de los consumidores, es decir, de las personas cuyos datos se recogen, y las obligaciones de los responsables del tratamiento, es decir, de las entidades que recogen y almacenan estos datos.

Según la Ley de Protección de Datos de los Consumidores de Virginia, los individuos tienen derecho a:

  1. Confirmar si sus datos personales están siendo procesados por un controlador;
  2. Corregir las inexactitudes de sus datos;
  3. Eliminar los datos personales obtenidos del consumidor o sobre él;
  4. Obtener una copia de los datos que el consumidor proporcionó previamente al responsable del tratamiento en un formato portátil y "fácilmente utilizable"; y
  5. Excluirse de la recopilación de datos si éstos se recogen "con fines de publicidad dirigida, venta de datos personales o elaboración de perfiles para promover decisiones que produzcan efectos jurídicos o de importancia similar en relación con el consumidor".

Mientras que los responsables del tratamiento deben asegurarse de

  1. Limitar la recopilación de datos personales a lo que sea "adecuado, pertinente y razonablemente necesario" en relación con los fines del tratamiento, que debe ser revelado al consumidor;
  2. Abstenerse de procesar los datos personales con fines distintos a los revelados, a menos que el consumidor dé su consentimiento;
  3. Establecer, aplicar y mantener prácticas razonables de seguridad administrativa, técnica y física de los datos para proteger la confidencialidad, integridad y accesibilidad de los datos personales.
  4. No procesar los datos personales en violación de las leyes antidiscriminatorias, ni discriminar a los consumidores por ejercer cualquier derecho del consumidor bajo la CDPA.
  5. Abstenerse de procesar datos "sensibles" del consumidor sin su consentimiento.
  6. Informar de forma clara y visible a los consumidores de cualquier venta de datos personales a terceros o del tratamiento de los mismos con fines publicitarios, así como de la forma de excluirse de dicha actividad.
  7. Crear y proporcionar en el aviso de privacidad "uno o más medios seguros y fiables para que los consumidores presenten una solicitud para ejercer sus derechos como consumidores" que deben "tener en cuenta las formas en que los consumidores interactúan normalmente con el responsable del tratamiento" y la necesidad de "una comunicación segura de dichas solicitudes".
  8. Proporcionar a los consumidores un "aviso de privacidad razonablemente accesible, claro y significativo" que incluya:
  • Las categorías de datos personales tratados por el responsable del tratamiento;
  • Los fines del tratamiento de los datos personales
  • Cómo puede un consumidor ejercer sus derechos en virtud de la CDPA y cómo puede recurrir la decisión del responsable del tratamiento en relación con una solicitud;
  • Las categorías de datos que el responsable del tratamiento comparte con terceros;
  • Las categorías de terceros con los que el responsable del tratamiento comparte los datos.

Una comparación entre la CCPA y la VCDPA

En la siguiente parte, analizaremos las similitudes y diferencias entre la CCPA y la VCDPA. Empecemos por la definición de datos personales. Según la CCPA, se trata de información que identifica, se relaciona, describe, es susceptible de ser asociada o podría estar razonablemente vinculada, directa o indirectamente, con un consumidor u hogar concreto, mientras que la VCDPA la define como cualquier información que esté vinculada o sea razonablemente vinculable con una persona física identificada o identificable. En cuanto a las sanciones y multas, ambas leyes establecen que las empresas que no cumplan con la normativa tendrán que pagar multas de hasta 7.500 dólares por infracción, lo cual es muy bajo en comparación con las multas del GDPR. Según la CCPA, las actividades de tratamiento de datos que puedan considerarse de riesgo significativo para la privacidad del consumidor serán objeto de auditorías y evaluaciones anuales, mientras que para la VCDPA las evaluaciones de protección de datos deben realizarse cuando

  1. el tratamiento de datos personales con fines de publicidad dirigida
  2. la venta de datos personales
  3. el tratamiento de datos personales con fines de elaboración de perfiles (en determinados contextos)
  4. el tratamiento de datos sensibles; o
  5. realizar cualquier actividad de tratamiento que presente un riesgo elevado de perjuicio para los consumidores.

Puede ver una comparación más detallada entre la VCDPA y la CCPA aquí.

Para cumplir plenamente con la privacidad, le recomendamos que empiece por instalar una herramienta de análisis de sitios web que garantice la seguridad de los datos. Visitor Analytics es una de esas herramientas, ya que no utiliza cookies para rastrear a sus visitantes y no comparte los datos con terceros. Tiene un control total sobre la información personal que recopila.