La Ley de Protección de Datos del Consumidor de Virginia (VCDPA) ahora es ley, pero ¿y qué?

Atención, dueños de negocios con sitios web … que son prácticamente todos ustedes.

Sin sorpresa para nadie, otro estado ha implementado una ley de privacidad de datos, y esta vez es la Commonwealth de Virginia. Siguiendo los pasos de sus predecesores legislativos (por ejemplo, la CCPA de California), el Proyecto de Ley del Senado 1392 de Virginia se centra en el objetivo singular de proteger los datos del consumidor:

“Es hora de que encontremos una manera significativa de proteger los datos de los ciudadanos de la Commonwealth of Virginia. … Virginia se encuentra en una posición única para ser líder en este tema. Hay una gran cantidad de datos en Internet que fluyen a través del Commonwealth. La privacidad no es un tema nuevo “.

– Senador estatal David Marsden

Aunque se convirtió en ley el 3 de marzo, no entrará en vigor hasta el 1 de enero de 2023.

¿Su empresa está afectada por la VCDPA?

Esta nueva ley se aplica a usted si hace negocios en Virginia o si vende productos o servicios dirigidos a los residentes del Commonwealth y:

  1. Usted procesa o controla los datos de 100,000 o más residentes de Virginia, o
  2. Usted procesa o controla los datos de 25.000 o más residentes de Virginia y obtiene un 50% de ingresos (brutos) por la venta de datos personales.

Las exenciones incluyen organizaciones sujetas a HIPAA, educación superior y organizaciones sin fines de lucro, así como instituciones financieras o datos sujetos a la Ley Gramm-Leach-Bliley.

🔎 Relacionado: GDPR y privacidad de datos un año después, lo que hemos aprendido hasta ahora

¿Cómo se definen los ‘datos personales’ y el ‘procesamiento’ en la VCDPA?

Los “datos personales” se definen generalmente como “cualquier información que esté vinculada o que pueda vincularse razonablemente a una persona física identificada o identificable”. [It] no incluye datos no identificados ni información disponible públicamente “.

🔎 Relacionado: Google lanza nuevos controles de seguridad para los usuarios de Chrome

“Proceso” y “procesamiento” se definen como “cualquier operación o conjunto de operaciones realizadas, ya sea por medios manuales o automatizados, sobre datos personales o sobre conjuntos de datos personales, como la recopilación, uso, almacenamiento, divulgación, análisis, eliminación , o modificación de datos personales “.

¿Qué derechos tienen sus compradores de Virginia bajo esta nueva ley?

  • Elegir si se accede y / o procesa sus datos personales
  • Corrigiendo errores en los datos personales
  • Eliminar datos personales
  • Obtener una copia de los datos personales en un formato portátil, listo para usar (si es posible), para que pueda ser transferido a otro “controlador”.
  • Optar por no procesar datos personales con fines de publicidad dirigida, la venta de datos personales o cualquier otro perfil

Además, sus compradores en Virginia tendrán derecho a que usted responda dentro de los 45 días a cualquier solicitud relacionada con sus derechos de privacidad. Es por eso que tienen un aviso tan grande que esto va a entrar en vigencia, amigos: “el tiempo para dudar ha terminado”, etc.

Además, los “controladores” (ese es usted, si está incluido en el alcance de este proyecto de ley) tendrán obligaciones de evaluación de protección de datos; si está familiarizado con GDPR, definitivamente ha oído hablar de ellos antes.

Ahora es el momento de actualizar y optimizar sus procesos.

🔎 Relacionado: sus visitantes verán que sus formularios no son seguros con la nueva actualización de Google

¿Qué deberá revelar ahora en su política de privacidad para cumplir con VCDPA?

Si está sujeto a esta nueva ley, esto es lo que ahora debe incluir en la divulgación de su política de privacidad:

  • Categorías de datos personales que procesa
  • Sus motivos específicos para procesar esos datos
  • Cómo sus compradores pueden ejercer sus derechos de privacidad (incluido el proceso de apelaciones)
  • Al menos una vía segura para que los compradores ejerzan esos derechos
  • Qué datos (si los hay) comparte con entidades de terceros
  • Si vende (o no) datos para la orientación publicitaria
  • Cómo los consumidores pueden optar por no procesar anuncios dirigidos

🔎 Relacionado: si COVID-19 forzó su negocio en línea, actualice su política de privacidad

Bien, entonces, ¿qué significa todo esto para ti?

Bueno, además de lo obvio: actualizar su política de privacidad e implementar nuevos procesos y procedimientos para respaldar las solicitudes relacionadas con la privacidad del consumidor, la directora de comunidad y eventos de IMPACT, Stephanie Baiocchi, dijo esto …

(Las herramientas recomendadas a continuación y los enlaces que contienen pueden proporcionar a IMPACT una compensación por las suscripciones. Esto de ninguna manera afecta la recomendación de IMPACT de las herramientas).

“A medida que los estados individuales continúan implementando sus propias leyes de privacidad (California, Nevada, Virginia y más), puede comenzar a sentirse abrumador realizar un seguimiento de todos los requisitos de cumplimiento.

Sin embargo, el objetivo final de todas estas leyes es muy similar: proteger los datos de los consumidores. Si bien cada ley puede tener requisitos de cumplimiento únicos, todas las leyes de privacidad en los Estados Unidos se centran en proteger los datos personales de los consumidores a través de una combinación de divulgaciones y prácticas.

Al igual que sabe inherentemente que no debe comprar listas de correos electrónicos y enviarlas por correo electrónico masivo sin el permiso de los destinatarios, sabe que no debe tomar datos del consumidor sin permiso o usarlos incorrectamente. O, a lo largo de la implementación de estas leyes, aprenderá.

Por lo general, es una combinación de comunicar explícitamente qué datos usará y cómo, lo que permite a los consumidores obtener y solicitar la eliminación de estos datos y permitir que los consumidores opten por no utilizar sus datos personales en el futuro.

El uso de una herramienta como Termageddon puede ayudar a mantener su política de privacidad actualizada automáticamente cuando cambian las leyes. Sin embargo, aún debe asegurarse de que alguien sea responsable de asegurarse de que sus prácticas de datos realmente cambien cuando sea necesario.

Por supuesto, esta ley no entrará en vigencia por completo hasta el 1 de enero de 2023. Pero si puede controlar estos cambios a medida que se implementan, será menos probable que olvide o se pierda la fecha en el futuro. Es muy importante que alguien en su organización (o un consultor externo) se asegure de que se sigan las leyes de privacidad. No solo generará confianza en su audiencia, sino que le evitará incurrir en fuertes multas “.

Por cierto, Stephanie tiene razón sobre las multas. Según la VCDPA, los infractores estarán sujetos a (hasta) una multa de $ 7,500 por infracción.

Incluso si no se encuentra en Virginia, si no ha prestado atención a la legislación de privacidad de datos hasta este momento, ahora es el momento. Florida, Minnesota, Nueva York, Oklahoma y Washington tienen proyectos de ley similares que se están abriendo camino en las legislaturas estatales.