Safetica > Resources > Normativas globales de protección de datos y tendencias clave (actualizado para 2024/25)

Normativas globales de protección de datos y tendencias clave (actualizado para 2024/25)

nov 15, 2024

Las leyes de protección de datos cambian a gran velocidad. Con la aparición de nuevas normativas en todo el mundo, las empresas necesitan estar al día sobre los requisitos de cumplimiento para proteger sus datos, evitar sanciones y generar confianza con sus clientes.

Solo en 2023 y 2024 hemos visto leyes nuevas y actualizaciones importantes que afectan al manejo de los datos y a los estándares de privacidad. Algunas de estas regulaciones no entrarán en vigor hasta 2025, lo que da a las organizaciones tiempo para prepararse, pero cuanto antes empieces, mejor.


Tabla de contenido

  1. Normativas de protección de datos en EE. UU.
    1.1 California Privacy Rights Act (CPRA)
    1.2 Virginia Consumer Data Protection Act (VCDPA)
    1.3 Texas Data Privacy and Security Act (TDPSA)
  2. Otras normativas de protección de datos en EE. UU. en 2023/2024
  3. Nuevas normativas globales de protección de datos en 2023/2024
    3.1 EU Artificial Intelligence Act (AI Act)
    3.2 Digital Operational Resilience Act (DORA) de la UE
    3.3 European Data Act
    3.4 Suiza: Federal Act on Data Protection (FADP)
    3.5 Israel: cambios significativos en la Privacy Protection Law (PPL)
    3.6 Arabia Saudí: Personal Data Protection Law
  4. Buenas prácticas para mantenerse al día con las normativas de protección de datos
  5. Cómo Safetica puede impulsar tu cumplimiento normativo

safetica-article-law-02

Este artículo es tu guía rápida sobre las últimas normativas globales de protección de datos, con la información esencial sobre las nuevas reglas y las principales actualizaciones del mundo. Mantendremos este recurso actualizado con regularidad, así que siempre puedes consultarlo aquí para asegurarte de que tu organización está preparada para lo que viene en seguridad de datos.

 


Nota sobre las fechas:
En las leyes de protección de datos verás a menudo tanto una fecha de promulgación (enacted date) como una fecha de entrada en vigor (effective date). La fecha de promulgación es cuando la normativa se aprueba y firma oficialmente como ley, mientras que la fecha de entrada en vigor es cuando los requisitos de la ley se aplican formalmente, lo que significa que las empresas deben cumplirla a partir de ese momento.

En algunos casos, también hay una fecha de aplicación (enforcement date), que es cuando las autoridades empiezan a hacer cumplir la ley de forma activa y pueden empezar a sancionar el incumplimiento. Por lo general, las fechas de entrada en vigor y de aplicación coinciden, pero a veces hay un periodo de gracia tras la entrada en vigor para dar a las empresas tiempo extra para adaptarse.

  • Fecha de promulgación (enacted date): cuando una normativa o ley se aprueba y firma oficialmente por el órgano competente.
  • Fecha de entrada en vigor (effective date): cuando las disposiciones de la ley están previstas para aplicarse, exigiendo cumplimiento.
  • Fecha de aplicación (enforcement date): cuando las autoridades inician acciones de aplicación, a veces permitiendo un periodo adicional de preparación.

safetica-article-law-number-01Normativas de protección de datos en EE. UU.

1.1 California Privacy Rights Act (CPRA)

  • Fecha de promulgación: 3 de noviembre de 2020
  • Fecha de entrada en vigor: 1 de enero de 2023
  • Fecha de aplicación: 1 de julio de 2023
  • A quién se aplica: empresas que operen en California con ingresos brutos anuales superiores a 25 millones de USD, que compren, vendan o compartan datos personales de 100 000 o más residentes u hogares de California al año, o que obtengan el 50 % o más de sus ingresos anuales de la venta o el intercambio de datos personales de residentes en California.
  • Foco principal: derechos reforzados del consumidor sobre los datos, minimización de datos y restricciones al uso de datos sensibles.

La California Privacy Rights Act (CPRA) se basa en la anterior normativa CCPA del estado, otorgando más poder a los consumidores sobre sus datos. Exige a las empresas implantar prácticas de protección de datos más sólidas y ofrece nuevos derechos a las personas, como corregir información inexacta y restringir el uso de datos sensibles.

Bajo la CPRA, las empresas necesitan:

  • Actualizar las políticas de privacidad para reflejar los derechos reforzados del consumidor.
  • Aplicar los principios de minimización de datos, limitando la recopilación y conservación de datos a lo estrictamente necesario.
  • Proteger los «datos sensibles», como números de la seguridad social y geolocalización, con protección extra y opciones para que los consumidores limiten su uso.


1.2 Virginia Consumer Data Protection Act (VCDPA)

  • Fecha de promulgación: 2 de marzo de 2021
  • Fecha de entrada en vigor: 1 de enero de 2023
  • A quién se aplica: empresas que hagan negocios en Virginia o se dirijan a residentes en Virginia, que traten datos de al menos 100 000 residentes al año o de 25 000 residentes y obtengan más del 50 % de sus ingresos por la venta de datos.
  • Foco principal: derechos del consumidor sobre los datos, evaluaciones de protección de datos y opciones de oposición a la publicidad personalizada.
  • Para más detalles, consulta nuestro artículo completo: Virginia Consumer Data Protection Act (VCDPA): alcance, finalidad y cómo cumplirla

La VCDPA otorga a los virginianos varios nuevos derechos, similares a los de la CPRA. Exige a las empresas ofrecer a las personas derechos para acceder, corregir, eliminar y oponerse a la recopilación de datos, especialmente para fines como la publicidad personalizada.

Los requisitos clave bajo la VCDPA incluyen:

  • Realizar evaluaciones de protección de datos para actividades como la publicidad personalizada o el tratamiento de datos sensibles.
  • Implantar sistemas que permitan a los usuarios ejercer sus derechos, como oponerse a la recopilación de datos con fines de marketing.
  • Actualizar las políticas de privacidad de los datos para asegurarse de que cubren estos nuevos derechos del consumidor.

 

1.3 Texas Data Privacy and Security Act (TDPSA)

  • Fecha de promulgación: 18 de junio de 2023
  • Fecha de entrada en vigor: 1 de julio de 2024 (algunas disposiciones el 1 de enero de 2025)
  • A quién se aplica: empresas que hagan negocios en Texas u ofrezcan productos o servicios consumidos por residentes en Texas, salvo entidades clasificadas como «pequeñas empresas» por la U.S. Small Business Administration.
  • Foco principal: transparencia de los datos, derechos del consumidor y medidas de seguridad para los datos sensibles.

La Texas Data Privacy and Security Act (TDPSA) es otra normativa crítica que afecta a las empresas en EE. UU. Se centra en la transparencia y exige a las empresas comunicar sus prácticas de recopilación y tratamiento de datos a los consumidores. La TDPSA también impone obligaciones específicas sobre la protección de datos sensibles.

Aspectos destacados de la TDPSA:

  • Requisito de políticas de privacidad claras y accesibles que expliquen qué datos se recopilan, por qué y cómo se utilizan.
  • Medidas de seguridad obligatorias, especialmente para los datos personales sensibles.
  • Énfasis en dar al consumidor el control sobre sus datos, incluidos los derechos a acceder, corregir y eliminar la información personal.


safetica-article-law-number-02Otras normativas de protección de datos en EE. UU. en 2023/2024

Las siguientes normativas a nivel estatal entraron en vigor en EE. UU. en 2023 y 2024, añadiendo nuevos estándares para la privacidad de los datos y los derechos del consumidor. Esto es un resumen rápido de cada una, ordenadas alfabéticamente para una consulta sencilla, con las fechas importantes a tener en cuenta.


Connecticut Data Privacy Act (CTDPA)

 

Colorado Privacy Act (CPA)

 

Delaware Personal Data Privacy Act (DPDPA)

  • Promulgada: 11 de septiembre de 2023
  • Fecha de entrada en vigor: 1 de enero de 2025

 

Indiana Consumer Data Protection Act (INCDPA)

  • Promulgada: 1 de mayo de 2023
  • Fecha de entrada en vigor: 1 de enero de 2026


Iowa Consumer Data Protection Act (ICDPA)

  • Promulgada: 29 de marzo de 2023
  • Fecha de entrada en vigor: 1 de enero de 2025


Kentucky Consumer Data Protection Act (KCDPA)

  • Promulgada: 28 de junio de 2023
  • Fecha de entrada en vigor: 1 de enero de 2025


Maryland Online Data Privacy Act (MODPA)

  • Promulgada: 19 de mayo de 2023
  • Fecha de entrada en vigor: 1 de enero de 2025


Minnesota Consumer Data Privacy Act (MCDPA)

  • Promulgada: 15 de julio de 2023
  • Fecha de entrada en vigor: 1 de julio de 2025


Montana Consumer Data Privacy Act (MTCDPA)

  • Promulgada: 19 de mayo de 2023
  • Fecha de entrada en vigor: 1 de octubre de 2024


New Hampshire Privacy Act (NHPA)

  • Promulgada: 30 de junio de 2023
  • Fecha de entrada en vigor: 1 de enero de 2025


New Jersey Data Privacy Act (NJDPA)

  • Promulgada: 8 de agosto de 2023
  • Fecha de entrada en vigor: 1 de febrero de 2025


Oregon Consumer Privacy Act (OCPA)

  • Promulgada: 27 de julio de 2023
  • Fecha de entrada en vigor: 1 de julio de 2024


Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)

  • Promulgada: 15 de septiembre de 2023
  • Fecha de entrada en vigor: 1 de enero de 2025


Tennessee Information Protection Act (TIPA)

  • Promulgada: 11 de mayo de 2023
  • Fecha de entrada en vigor: 1 de julio de 2024


Utah Consumer Privacy Act (UCPA)


safetica-article-law-number-03Nuevas normativas globales de protección de datos en 2023/2024

3.1 EU Artificial Intelligence Act (AI Act)

  • Fecha de promulgación: 12 de julio de 2024
  • Fecha de entrada en vigor: 1 de agosto de 2024
  • Algunas disposiciones, como las prohibiciones de determinados sistemas de IA, se aplican desde el 2 de febrero de 2025.
  • Otras reglas, incluidas las relativas a sistemas de IA de alto riesgo, serán aplicables a partir del 2 de agosto de 2025.
  • Las disposiciones restantes están previstas a partir del 2 de agosto de 2026.
  • A quién se aplica: entidades que desarrollen, desplieguen o usen sistemas de IA dentro de la UE y empresas fuera de la UE que ofrezcan sistemas de IA a clientes en la UE.
  • Foco principal: garantizar la seguridad, transparencia y alineación de la IA con los valores de la UE, utilizando un enfoque basado en el riesgo para clasificar y regular los sistemas de IA.
  • Para más detalles, consulta nuestro artículo completo: EU AI Act: alcance, finalidad y cómo cumplirla

La EU AI Act establece un marco regulatorio integral para la inteligencia artificial dentro de la Unión Europea, con el objetivo de garantizar que los sistemas de IA sean seguros, transparentes y respeten los derechos fundamentales. Introduce un enfoque basado en el riesgo, clasificando los sistemas de IA en distintos niveles de riesgo e imponiendo obligaciones acordes.

Aspectos clave del cumplimiento:

  • Clasificar los sistemas de IA en categorías de riesgo (inaceptable, alto, limitado y mínimo) en función de su posible impacto.
  • Garantizar que los usuarios estén informados cuando interactúan con sistemas de IA, especialmente en aplicaciones de alto riesgo.
  • Implementar mecanismos de supervisión y rendición de cuentas humanas en los sistemas de IA de alto riesgo.
  • Realizar auditorías periódicas para confirmar el cumplimiento de los estándares de la UE.


3.2 Digital Operational Resilience Act (DORA) de la UE

  • Fecha de promulgación: 16 de diciembre de 2022
  • Fecha de entrada en vigor: 16 de enero de 2025
  • Fecha de aplicación: 17 de enero de 2025
  • A quién se aplica: entidades financieras de la UE, incluyendo bancos, compañías de seguros, empresas de inversión y proveedores de servicios ICT.
  • Foco principal: reforzar la ciberseguridad y la resiliencia operativa en el sector financiero, asegurando la continuidad y la protección frente a las ciberamenazas.
  • Para más detalles, consulta nuestro artículo completo: DORA: alcance, finalidad y cómo cumplirla

DORA busca reforzar la resiliencia operativa digital del sector financiero frente a las ciberamenazas y otras interrupciones operativas. Establece un marco integral sobre resiliencia operativa digital para las entidades financieras de la UE.

Aspectos clave del cumplimiento:

  • Implementar un marco sólido de gestión del riesgo ICT para abordar posibles vulnerabilidades.
  • Establecer procedimientos para notificar incidentes ICT significativos a las autoridades reguladoras.
  • Realizar pruebas periódicas de las estrategias de resiliencia operativa, incluidas pruebas de penetración y otras evaluaciones de seguridad.
  • Asegurar una verificación y un seguimiento exhaustivos de los proveedores de servicios ICT externos para minimizar los riesgos externos.


3.3 European Data Act

  • Fecha de promulgación: 11 de enero de 2024
  • Fecha de entrada en vigor: 12 de septiembre de 2025
  • A quién se aplica: organizaciones que manejen datos no personales generados en la UE, incluidos fabricantes de IoT, proveedores de servicios de datos y empresas de cloud computing.
  • Foco principal: promover la accesibilidad y el intercambio de datos evitando el «vendor lock-in», impulsando una economía de datos justa y competitiva en la UE.
  • Para más detalles, consulta nuestro artículo completo: European Data Act: alcance, finalidad y cómo cumplirla

La European Data Act busca poner más datos a disposición de la economía y la sociedad, manteniendo al mismo tiempo el control en manos de las empresas y las personas que los generan. Aborda la necesidad de aprovechar los enormes depósitos de datos industriales sin utilizar, creando oportunidades para la innovación y el crecimiento.

Aspectos clave del cumplimiento:

  • Implementar mecanismos que permitan a los clientes acceder y compartir sus datos no personales entre distintos proveedores de servicios.
  • Diseñar sistemas que faciliten a los clientes cambiar entre proveedores de servicios sin restricciones relacionadas con los datos.
  • Adherirse a los estándares que aseguren la interoperabilidad entre las plataformas y servicios de datos en la UE.


3.4 Suiza: Federal Act on Data Protection (FADP)

  • Fecha de promulgación: 25 de septiembre de 2020
  • Fecha de entrada en vigor: 1 de septiembre de 2023
  • A quién se aplica: empresas suizas y cualquier entidad internacional que trate datos de residentes en Suiza.
  • Foco principal: derechos individuales reforzados, transparencia de los datos y mayor rendición de cuentas.
  • Para más detalles, consulta nuestro artículo completo: FADP de Suiza: alcance, finalidad y cómo cumplirla

La revisada Federal Act on Data Protection (FADP) de Suiza se alinea con los estándares del GDPR de la UE, centrándose en la transparencia y los derechos del titular de los datos. La FADP otorga a los residentes en Suiza un mayor control sobre sus datos, incluido el derecho a acceder, corregir y eliminar la información personal. También exige una comunicación clara sobre cómo se utilizan los datos personales.

Puntos clave de cumplimiento para las empresas:

  • Garantizar la transparencia en el tratamiento de los datos y proporcionar información a las personas sobre cómo se utilizan sus datos.
  • Implantar medidas de seguridad para proteger los datos sensibles, con rendición de cuentas ante cualquier brecha de datos.
  • Mantener registros de las actividades de tratamiento y realizar evaluaciones de riesgo periódicas.


3.5 Israel: cambios significativos en la Privacy Protection Law (PPL)

  • Fecha de promulgación: 5 de agosto de 2024
  • Fecha de entrada en vigor: agosto de 2025
  • A quién se aplica: todas las organizaciones que traten datos personales en Israel, incluidas empresas internacionales que manejen datos de residentes israelíes.

El 5 de agosto de 2024, la Knesset israelí aprobó la Enmienda n.º 13 a la Privacy Protection Law, marcando una importante reforma del marco de protección de datos del país. Esta enmienda introduce cambios integrales destinados a alinear las regulaciones de privacidad de Israel con los estándares globales, en particular con el GDPR de la UE.

Aspectos clave de la enmienda:

  • Definiciones ampliadas: la enmienda amplía el ámbito de los «datos personales» para incluir un abanico más amplio de información, incluidos datos biométricos y genéticos.
  • Derechos del titular de los datos: se conceden a las personas derechos reforzados, como la posibilidad de acceder, rectificar y eliminar sus datos personales.
  • Responsables de protección de datos (DPO) obligatorios: determinadas organizaciones están ahora obligadas a designar DPO para supervisar el cumplimiento y garantizar la observancia de las obligaciones de protección de datos.
  • Mayores poderes de aplicación: la Privacy Protection Authority (PPA) cuenta con capacidades reforzadas, incluida la facultad de imponer multas administrativas por incumplimiento.


3.6 Arabia Saudí: Personal Data Protection Law

  • Fecha de promulgación: septiembre de 2021
  • Fecha de entrada en vigor: 14 de septiembre de 2023
  • A quién se aplica: todas las entidades que traten datos personales dentro de Arabia Saudí, así como entidades fuera del Reino que traten datos personales relativos a personas residentes en Arabia Saudí.
  • Foco principal: derechos del titular de los datos, localización de los datos y sanciones estrictas por incumplimiento.

La Personal Data Protection Law de Arabia Saudí impone controles estrictos sobre el manejo de los datos, exigiendo que los datos personales permanezcan dentro del país a menos que se conceda un permiso expreso para las transferencias internacionales. La ley otorga a las personas el derecho a acceder, corregir y eliminar los datos personales e impone multas significativas por divulgaciones no autorizadas o por incumplimiento.

Aspectos clave del cumplimiento:

  • Conservar los datos personales dentro de las fronteras de Arabia Saudí salvo que se obtenga un permiso específico para las transferencias transfronterizas.
  • Establecer procedimientos para gestionar los derechos del titular de los datos, incluido el acceso, la corrección y la eliminación.
  • Implantar medidas de seguridad sólidas para proteger los datos sensibles y evitar sanciones.


safetica-article-law-number-04Buenas prácticas para mantenerse al día con las normativas de protección de datos

Con los rápidos cambios en las leyes de protección de datos en todo el mundo, las empresas necesitan un enfoque proactivo para garantizar el cumplimiento. Estas son algunas buenas prácticas para mantener tus políticas DLP al día:

  • Crea un grupo de trabajo de cumplimiento
    Forma un equipo o grupo de trabajo dedicado a monitorizar los cambios normativos, revisar las políticas internas y coordinar los esfuerzos de cumplimiento en toda la empresa. Este equipo puede mantenerse informado sobre las novedades y realizar los ajustes necesarios a medida que se aprueban nuevas regulaciones.
  • Implementa auditorías periódicas
    Realiza auditorías rutinarias para evaluar tus políticas y prácticas DLP actuales. Las auditorías regulares ayudan a identificar carencias en el cumplimiento y ofrecen una visión clara de dónde son necesarias las actualizaciones, permitiendo realizar ajustes a tiempo.
  • Actualiza las políticas y forma a los empleados
    Asegúrate de que tus políticas DLP se actualizan con regularidad para reflejar la normativa más reciente. Imparte sesiones de formación para formar a los empleados en seguridad de datos y en cualquier nuevo requisito de cumplimiento, y para reforzar las buenas prácticas de protección de datos, especialmente en el manejo de datos sensibles.
  • Apóyate en la tecnología para el cumplimiento
    Utiliza herramientas avanzadas de DLP y de gestión del cumplimiento para monitorizar y proteger la información sensible. Las herramientas automatizadas pueden ayudar a detectar accesos no autorizados, gestionar los flujos de datos y emitir alertas ante posibles infracciones, reduciendo el riesgo de incumplimiento.

Para una guía más detallada sobre cómo crear una política DLP, consulta nuestro artículo sobre Cómo crear una política DLP en tu organización.

 


safetica-article-law-number-05Cómo Safetica puede impulsar tu cumplimiento normativo

Safetica ofrece una solución integral para el cumplimiento normativo, con herramientas que dan soporte a la privacidad y la seguridad de los datos en distintas regulaciones. Así puede ayudar Safetica a tu organización a cumplir con los requisitos cambiantes:

  • Descubrimiento y clasificación de datos: Safetica permite a las empresas identificar y clasificar los datos sensibles, asegurando que todos los datos regulados se gestionan y protegen adecuadamente.
  • Monitorización y auditoría continuas: la monitorización en tiempo real y los rastros de auditoría dan a las organizaciones plena visibilidad del acceso y el uso de los datos, algo crucial para demostrar el cumplimiento durante las auditorías y evaluaciones.
  • Analítica del comportamiento y detección de anomalías: con una analítica avanzada del comportamiento, Safetica detecta actividades sospechosas y proporciona avisos tempranos ante posibles brechas de seguridad.
  • Controles de seguridad como evidencia: los sólidos controles de seguridad y las prácticas de documentación de Safetica sirven como evidencia firme de cumplimiento durante las auditorías regulatorias, ayudando a las empresas a demostrar su adhesión a los estándares de protección de datos.

Similar posts