Safetica > Resources > Cumplimiento de la Ley de Protección de Datos de Connecticut (CTDPA)

Cumplimiento de la Ley de Protección de Datos de Connecticut (CTDPA)

jul 27, 2023

En Estados Unidos no existe una única ley federal de protección de datos como el GDPR de la UE. En su lugar, algunos estados tienen sus propias normas de privacidad con disposiciones únicas. Una legislación importante es la Ley de Privacidad de Datos de Connecticut (CTDPA), que entró en vigor el 1 de julio de 2023.

Al igual que la Ley de Privacidad del Consumidor de California , la Ley de Privacidad de Datos del Consumidor de Virginia (VCDPA) y la Ley de Privacidad de Colorado (CPA) , la CTDPA se centra en proteger los datos personales de los consumidores, dándoles más control sobre cómo se recopilan, utilizan y comparten.

En este artículo, examinaremos más de cerca la Ley de Privacidad de Datos de Connecticut, explorando su propósito, alcance y lo que su empresa debe hacer para cumplirla.

¿Qué es la CTDPA?

La CTDPA es una ley que otorga a los consumidores el control sobre su información personal recopilada y procesada por empresas y organizaciones. Para permitir esto, establece responsabilidades y normas de protección de la privacidad para las empresas y organizaciones en Connecticut (más sobre el alcance a continuación).

These are the rights that are being granted to consumers under CTDPA:

  1. Access: Consumers have the right to confirm whether a business is processing their personal data and to access the specific personal data being processed.
  2. Correction: Consumers can request corrections to inaccuracies in their collected personal data so that their information remains up-to-date.
  3. Deletion: Consumers have the right to request the deletion of personal data provided by or about them.
  4. Data portability: Consumers can obtain a portable copy of their personal data, allowing them to transfer it to another service provider in a simple manner.
  5. Opt-out: Consumers have the right to choose not to let companies use their personal information for targeted ads, selling it to others, or profiling.

La CTDPA define los "datos personales" como cualquier información vinculada o razonablemente vinculable a un individuo identificable, como por ejemplo

  • dirección
  • números de carné de conducir o de documento de identidad
  • datos de pasaporte
  • números de cuenta
  • información sobre tarjetas de pago
  • credenciales de acceso

También existe un subconjunto de datos personales, denominado "datos sensibles", que podría parecer lo mismo pero no lo es. Los datos sensibles son información personal adicional que goza de mayor protección en virtud de la CTDPA y cuyo tratamiento requiere el consentimiento explícito de la persona. Incluye información como

  • origen racial o étnico
  • creencias religiosas
  • estado de salud y diagnóstico
  • datos genéticos o biométricos
  • orientación sexual
  • datos precisos de geolocalización
  • datos personales de menores de 13 años

64b7a1e6eca4c08237149544

¿Cuál es el objetivo de la CTDPA?

El objetivo de la CTDPA es encontrar un equilibrio entre la protección de la intimidad de los consumidores y el tratamiento responsable de los datos personales por parte de las empresas. Ofrece a las personas un mayor control sobre su información, respetando sus preferencias de privacidad y permitiéndoles tomar decisiones con conocimiento de causa.

La ley también responsabiliza a las organizaciones al establecer obligaciones de tratamiento de datos, prácticas de seguridad y procedimientos de consentimiento transparentes, fomentando prácticas de datos justas y éticas en la comunidad empresarial.

Un aspecto crucial de la CTDPA es su enfoque de la gestión de las violaciones de datos. Exige a las empresas que informen rápidamente a las personas afectadas y a las autoridades pertinentes si se produce una violación.

Por último, con la aplicación de esta exhaustiva ley de protección de datos, Connecticut se alinea con las tendencias nacionales y mundiales en materia de regulación de la privacidad de los datos, mostrando su dedicación a la hora de abordar las preocupaciones relativas a la protección de datos.

Ámbito de aplicación de la CTDPA: ¿A quién se aplica?

En primer lugar, distingamos los dos tipos de entidades de que habla la CTDPA: los responsables del tratamiento y los encargados del tratamiento. Un "responsable del tratamiento" es una organización o empresa que determina los fines y medios del tratamiento de datos personales. Por otro lado, un "encargado del tratamiento" procesa datos personales siguiendo instrucciones del responsable del tratamiento, pero no tiene autoridad para tomar decisiones sobre los datos personales.

The CTDPA applies to businesses operating within Connecticut or offering products and services to Connecticut residents, provided they either:

1. controlled or processed personal data of 100,000 or more consumers in the previous year (data processed solely for completing a payment transaction is exempt),

or

2. controlled or processed personal data of 25,000 or more consumers during the preceding year and derived over 25% of their gross revenue from selling personal data.

Al igual que la Ley de Privacidad de Colorado , la CTDPA no incluye un umbral de ingresos, por lo que puede abarcar una gama más amplia de empresas. Por lo tanto, incluso si usted posee o dirige una empresa más pequeña, pero sigue manejando muchos datos personales, la CTDPA puede aplicarse a usted.

Implicaciones y responsabilidades de la CTDPA para las empresas

Ahora que hemos hablado de lo que la CTDPA hace por los consumidores, es hora de entender las implicaciones prácticas para las empresas. ¿Cómo se supone que las empresas deben asegurarse de que los datos personales de los consumidores estén protegidos de una manera que cumpla con la nueva ley de privacidad de datos de Connecticut?

Controllers' obligations

  • Transparency: Controllers must be transparent about their data processing practices, informing consumers about the purpose and extent of data collection, as well as information about how the consumer can exercise their rights.
  • Data minimization: Controllers can only collect and process the minimum amount of personal data necessary for the specified purposes.
  • Avoiding secondary use: Personal data should not be processed for reasons unrelated to the original purpose without explicit consent.
  • Security: Controllers have to implement security measures to safeguard personal data from unauthorized access or breaches. Not only enforcing internal policies but also having a good data loss protection solution in place is a smart way to comply with this responsibility.
  • Consent: Obtaining valid consent from consumers before processing their personal data is crucial. More about consent is below.

Processors' obligations

  • Compliance with controller instructions: Processors must strictly adhere to the instructions provided by the controllers regarding data processing activities.
  • Assisting with consumer rights requests: Processors should assist controllers in responding to consumer rights requests, such as access, correction, deletion, or data portability.

Acuerdos de tratamiento de datos

Los responsables del tratamiento y los encargados del tratamiento deben firmar acuerdos claros y exhaustivos sobre el tratamiento de datos que describan las responsabilidades de cada parte.

Evaluaciones de protección de datos

La CTDPA exige a las empresas que realicen una evaluación de la protección de datos (DPA) para las actividades que impliquen datos personales que puedan causar perjuicios a los consumidores. El objetivo de la DPA es analizar cuidadosamente los riesgos y beneficios de estas actividades de tratamiento de datos para los consumidores, la empresa que realiza el tratamiento y el público en general.

Si lo solicita el Fiscal General de Connecticut, las empresas deben facilitar esta evaluación para su investigación. Se aplica a las actividades de tratamiento de datos que tengan lugar después del 1 de julio de 2023 y no se aplica con carácter retroactivo.

Opting out and consumer consent

  • Controllers must provide consumers with a clear and easily accessible option to opt out of targeted advertising, sale of personal data, or profiling.
  • Starting in January 2025, the CTDPA will mandate businesses to respect a universal opt-out preference signal that is unambiguous, consumer-friendly, and easy to use.
  • Consumers have the right to revoke their consent for data processing at any time, and controllers must promptly respect and implement the revocation.

Cumplimiento de la CTDPA

Es crucial que las empresas conozcan estas nuevas obligaciones para que puedan poner en marcha procesos que garanticen el cumplimiento de la CTDPA. No sólo mantendrán la confianza de los consumidores, sino que también evitarán ser sancionadas.

La aplicación de la CTDPA es competencia exclusiva del Fiscal General de Connecticut, que puede tomar medidas contra las infracciones.

Hasta el 31 de diciembre de 2024 existe un periodo de "notificación y subsanación", lo que significa que el Fiscal General notificará a las empresas las infracciones de la CTDPA y les dará la oportunidad de corregir cualquier problema de incumplimiento en un plazo de 60 días. A partir de 2025, el Fiscal General podrá decidir si una empresa tiene o no la oportunidad de rectificar las infracciones antes de ser sancionada.

Las sanciones por incumplimiento pueden incluir multas de hasta 5.000 USD por infracción.

Software DLP de Safetica: Una solución para el cumplimiento de la CTDPA

Cuando se trata de cumplir con la CTDPA, el software de protección contra la pérdida de datos (DLP) de Safetica ofrece una solución valiosa para las empresas. Con sus funciones fáciles de usar, Safetica puede ayudar a las organizaciones a navegar por las complejidades de la CTDPA y garantizar que los datos de los consumidores se manejen de forma responsable.

Uno de los aspectos esenciales del cumplimiento de la CTDPA es la realización de evaluaciones de protección de datos. El software DLP de Safetica simplifica este proceso, permitiendo a las empresas identificar y evaluar los riesgos potenciales asociados a las actividades de procesamiento de datos.

Safetica's DLP products provide an award-winning interface and robust security features. For example:

  1. Data classification: Easily identify and classify personal data within your organization, ensuring proper handling and protection.
  2. Data monitoring and auditing: Monitor data usage in real-time, track sensitive data transfers, and generate detailed audit logs for compliance reporting and analysis.
  3. Access controls: Implement access controls to ensure that only authorized personnel can access sensitive data, reducing the risk of data breaches.
  4. Incident response: Safetica's software enables you to respond quickly to potential data breaches, allowing you to investigate incidents, contain the impact, and mitigate risks.

Al asociarse con Safetica, puede abordar de forma proactiva los retos de la privacidad de los datos y el cumplimiento de la normativa. Le ayudaremos a navegar por las complejidades de la protección de datos al tiempo que mantiene la productividad y la eficiencia.

Aprenda a cumplir con la CTDPA

Similar posts