Uno de los últimos avances en materia de protección de datos en Estados Unidos procede de Utah, que ha promulgado la Ley de Privacidad del Consumidor de Utah (UCPA). La UCPA está diseñada para crear un equilibrio entre la protección de datos y los intereses empresariales. Con la UCPA a punto de entrar en vigor el 31 de diciembre de 2023, es el momento de sumergirse en los detalles de esta exhaustiva ley de privacidad para asegurarse no sólo de que se cumple, sino también de que se salvaguardan los derechos de privacidad de las personas de la mejor manera posible.
En este artículo, arrojaremos luz sobre las características únicas de la UCPA, su relevancia en el mundo digital actual y cómo las empresas pueden satisfacer sus demandas.
La UCPA, promulgada el 24 de marzo de 2022, es como un guardián digital, listo para proteger los datos personales de los residentes de Utah. Sus alas estarán completamente desplegadas el 31 de diciembre de 2023, y comprender su núcleo es esencial para navegar por el cambiante panorama de la privacidad de los datos.
Esta ley pretende salvaguardar los datos generados por las interacciones y transacciones en línea. Con la UCPA en vigor, las empresas que manejan datos personales están sujetas a altos niveles de responsabilidad y transparencia. Se trata de garantizar que la información de los consumidores no se utilice indebidamente, se maneje mal o se explote.
Según la UCPA, los consumidores tienen derecho a:
La cuestión es la siguiente: las empresas pueden seguir recopilando y procesando datos personales por defecto sin solicitar explícitamente el consentimiento del consumidor (si cuentan con una política de privacidad adecuada). Pero debido a los requisitos de la UCPA, es como dar a los consumidores un mando a distancia de privacidad, dándoles la autoridad para establecer los límites de lo que se comparte y lo que no.
Hagamos algunas comparaciones. Es posible que conozca leyes de privacidad como la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Privacidad de Colorado (CPA) y laLey de Protección de Datos de los Consumidores de Virginia (VCDPA) . Estas leyes son pioneras y sientan las bases de la protección de la privacidad. La UCPA recorre su propio camino al tiempo que se inspira en estos pioneros, pero se considera más favorable a las empresas que sus homólogas de otros estados. Hablaremos de algunas de las principales diferencias entre la UCPA y otras leyes estadounidenses de protección de datos un poco más adelante en este artículo.
La UCPA entra en este terreno con intenciones bien definidas: Su objetivo principal es fortalecer los derechos de privacidad de los residentes de Utah. En virtud de la UCPA, los consumidores tienen derecho a saber cómo utilizan y comparten su información las empresas. Pueden pedir que se borren sus datos o negarse a que se vendan o utilicen para publicidad dirigida.
Sabemos lo que está pensando: Vivimos en una época en la que los datos son la savia del crecimiento empresarial. ¿Cómo va a afectar esto a mi negocio? Por suerte, la innovación empresarial y la privacidad de los clientes no tienen por qué estar reñidas. La UCPA reconoce la necesidad de un equilibrio. De hecho, está diseñada para ser pragmática y favorable a las empresas. La UCPA reconoce que la innovación basada en los datos es esencial para el éxito empresarial.
Si usted es una organización que lleva a cabo negocios en Utah o comercializa a los residentes del estado con unos ingresos anuales de 25 millones de dólares o más, la UCPA se aplica a usted. Además, si procesa datos personales de más de 100.000 consumidores o genera más de la mitad de sus ingresos de la venta de datos personales mientras procesa información de al menos 25.000 consumidores, enhorabuena, ¡también está sujeto a las disposiciones de la UCPA!
Sin embargo, hay excepciones. Entre ellas están las instituciones educativas, las organizaciones sin ánimo de lucro, los organismos gubernamentales, las tribus indígenas y algunas más. Si su empresa ya se adhiere a otras leyes de privacidad como la HIPAA o la ley Ley Gramm-Leach-Blileyes posible que no tenga que cumplir la UCPA.
Aunque los criterios de la UCPA pueden parecer un poco complejos, verlos como piezas individuales de un rompecabezas puede ayudar a aclarar el panorama general. El cumplimiento de estos criterios no depende de un único factor, sino de la interconexión de varios factores. Sus ingresos, las interacciones con los datos de los consumidores y las prácticas de procesamiento de datos determinan colectivamente si su empresa entra en el ámbito de la UCPA.
Bienvenido a los bastidores del cumplimiento de la UCPA. Para comprender mejor las disposiciones de la UCPA, hablemos de algunas definiciones importantes.
Comprender estas funciones es esencial porque las responsabilidades y medidas de cumplimiento de la UCPA difieren según se trate de un responsable o de un encargado del tratamiento.
La UCPA distingue entre datos personales y sensibles. He aquí cómo:
En particular, la UCPA no exige el consentimiento explícito para el tratamiento de datos sensibles. Lo que hace es exigir una notificación clara a los consumidores y la opción de excluirse antes de recopilar o procesar dichos datos.
La información públicamente disponible, desidentificada o anonimizada no se considera en absoluto información personal.
En el contexto de la UCPA, una venta se refiere al intercambio de datos personales a cambio de una compensación monetaria de un responsable del tratamiento a un tercero. Este elemento monetario directo sienta las bases de lo que constituye una venta bajo el prisma de la UCPA.
Sin embargo, no todo intercambio de datos cuenta como venta según la UCPA. Sin dinero = no hay venta. Si no hay transacción monetaria de por medio, la UCPA no la considera venta. Esta distinción reconoce la diversidad de las transacciones de datos.
He aquí un desglose simplificado de los pasos que deben guiar a su empresa para cumplir los requisitos de la UCPA:
La aplicación de la UCPA depende estrictamente de la autoridad del fiscal general, lo que significa que la UCPA no permite a los particulares emprender acciones legales contra los infractores.
Cuando se producen infracciones, se procede de la siguiente manera:
Las infracciones de la UCPA pueden acarrear graves consecuencias. Y muy caras: Las infracciones pueden dar lugar a multas de hasta 7.500 dólares por infracción, dependiendo de la gravedad de la violación de la privacidad de los datos. Las empresas también pueden ser responsables de recuperar cualquier daño sufrido por los consumidores debido al incumplimiento.
Las infracciones continuas o repetidas pueden incluso dar lugar a batallas legales, lo que a su vez supone otra enorme carga financiera (y a veces incluso operativa) para la empresa. Por no mencionar el impacto que el incumplimiento puede tener en la reputación y la confianza de los clientes.
EE.UU. no tiene una ley federal de protección de datos, y cada estado tiene que elaborar la suya propia (aunque sólo 12 lo han hecho hasta ahora). Esto obliga a muchas empresas y organizaciones que operan en distintos estados a someterse al terrible proceso de averiguar las diferencias entre las distintas normativas.
Estas son algunas de las diferencias entre la UCPA y otras leyes de privacidad importantes de EE.UU:
Modelo de consentimiento de exclusión voluntaria. A diferencia de la Ley de Privacidad del Consumidor de California (CCPA)la Ley de Privacidad de Colorado (CPA)y la Connecticut Data Privacy Act (CTDPA), que exigen el consentimiento explícito para la recogida de datos, la UCPA utiliza un modelo de consentimiento de exclusión voluntaria. Esto significa que, por defecto, los datos personales pueden recopilarse, procesarse e incluso utilizarse para publicidad dirigida sin el consentimiento explícito de los consumidores, y que éstos tienen derecho a optar por no hacerlo si prefieren que sus datos no se utilicen para estos fines.
Un ámbito de aplicación más limitado. La UCPA utiliza un umbral de ingresos como una de las formas de determinar qué empresas deben cumplir su normativa. Además, la UCPA permite bastantes exenciones. Otros estados han lanzado una red más amplia, con algunos, como la Ley de Privacidad de Datos de Connecticut (CTDPA)no tienen en cuenta en absoluto los ingresos. Esto podría dar lugar a que otras leyes estatales de privacidad se apliquen a una gama más amplia de empresas, creando quizás entornos más seguros para sus ciudadanos.
Definición de venta de datos. La UCPA define la venta como el intercambio de datos personales a cambio de una contraprestación monetaria a un tercero. A diferencia de la CCPA, no considera ventas las transacciones no monetarias.
Tratamiento de datos sensibles: La UCPA no impone el consentimiento explícito para el tratamiento de datos sensibles, sino que exige notificaciones claras y opciones de exclusión, lo que la diferencia de muchas otras leyes de privacidad.
En general, la UCPA resulta ser la más favorable para las empresas, ya que les permite adoptar un enfoque más pasivo de cara al consumidor.
Navegar por las complejidades de normativas como la Ley de Privacidad del Consumidor de Utah exige soluciones sólidas de protección de datos, y Safetica está aquí para ayudar a su organización a lograr ese objetivo. Además, de forma sencilla.
Nuestras soluciones de prevención de pérdida de datos (DLP) ofrecen un conjunto de herramientas que facilitarán el cumplimiento de la UCPA:
Para explorar toda la gama de funciones y ventajas, dé el siguiente paso con Safetica hoy mismo.