Te presentamos la Colorado Privacy Act (CPA), que entró en vigor el 1 de julio de 2023 y convirtió a Colorado en el tercer estado de EE. UU. en contar con su propia ley integral de privacidad de datos cuando se promulgó en julio de 2021. Pero agárrate, porque la CPA no se limita a seguir los pasos de sus homólogas de California y Virginia: está dispuesta a abrir su propio camino, fijando estándares más estrictos de privacidad de datos (y también sanciones más altas).
¿A quién se aplica la CPA y qué supone para tu empresa?
En esencia, la CPA busca proteger los derechos de privacidad de los residentes en Colorado y reforzar las medidas de seguridad de los datos. Establece pautas sobre cómo deben gestionar las empresas los datos sensibles y qué pueden y qué no pueden hacer con ellos. Los consumidores, por su parte, obtienen nuevos derechos y un mayor control sobre sus datos.
Para las empresas, esto significa que están obligadas a obtener consentimiento antes de llevar a cabo diversas actividades de tratamiento de datos.
En esencia, la CPA garantiza que las empresas respeten las preferencias de privacidad de las personas y limita el tratamiento de datos innecesario.
En otro giro estimulante, la CPA pone un fuerte énfasis en la minimización de datos. Anima a las empresas a conservar únicamente los datos personales que sean necesarios, adecuados y pertinentes para los fines de tratamiento especificados. Esto implica revisar periódicamente las prácticas de almacenamiento de datos y asegurarse de que la información, como identificadores biométricos, fotografías o grabaciones de voz, se almacene con una finalidad y no por inercia.
La CPA busca encontrar un equilibrio entre dotar a los consumidores de control sobre sus datos y ayudar a las empresas a desenvolverse en el cambiante panorama de la privacidad de datos.
La CPA sigue la filosofía de «o todo o nada» y echa la red bien lejos, abarcando un amplio abanico de organizaciones.
De forma más concreta, eso significa que se aplica a todas las entidades que hacen negocios en Colorado, producen o entregan productos o servicios comerciales dirigidos intencionadamente a residentes en Colorado y cumplen los umbrales específicos que recoge la CPA.
Para determinar la aplicabilidad, la CPA tiene en cuenta tanto los umbrales de consumidores como los ingresos. A diferencia de la California Consumer Privacy Act (CCPA) , la CPA no establece un umbral monetario para su aplicación. En su lugar, se centra en el volumen de tratamiento de datos, con dos variantes posibles. Si una empresa:
Y hay un giro interesante: las organizaciones sin ánimo de lucro no quedan excluidas del ámbito de la CPA (otra diferencia entre la CPA y las leyes de California y Virginia).
Por supuesto, ninguna ley estaría completa sin algunas excepciones. Por ejemplo, las entidades financieras sujetas a la Gramm-Leach-Bliley Act, ciertos datos relacionados con la salud y los datos regulados por la FERPA (Family Educational Rights and Privacy Act) no tienen que preocuparse por la CPA. Las empresas que ya están sujetas a leyes federales de privacidad deben revisar con atención las exenciones de la CPA para determinar si les es aplicable.
Ahora que sabemos qué es y a quién se aplica, veamos más de cerca las fuerzas motrices que llevaron a la creación de la nueva normativa de privacidad de datos de Colorado.
La motivación principal de la CPA es salvaguardar los derechos de privacidad de las personas en un panorama digital en constante evolución. Con la creciente dependencia de la tecnología, existe una necesidad urgente de garantizar que los consumidores tengan control sobre cómo se gestiona su información.
Otro objetivo crucial de la CPA es proteger los datos sensibles frente a brechas de datos y accesos no autorizados por parte de ciberdelincuentes.
La CPA busca encontrar un equilibrio entre dar a las personas el control sobre su información personal y fomentar un manejo responsable de los datos por parte de las empresas. Su objetivo es crear un entorno transparente y centrado en la privacidad en el que los consumidores se sientan seguros al compartir sus datos.
Cumplir con la Colorado Privacy Act (CPA) puede sonar a tarea titánica, ¡pero tranquila/tranquilo! Estamos aquí para ayudarte a recorrer el camino del cumplimiento y asegurar que tu empresa va por la buena vía. Veamos algunos puntos clave a tener en cuenta.
Para arrancar tus iniciativas de cumplimiento, aquí tienes algunos pasos prácticos:
Las evaluaciones periódicas son un requisito fundamental de la CPA. Deben cubrir todos los aspectos del tratamiento de datos: la naturaleza, la finalidad, el alcance y los posibles riesgos involucrados. Es importante evaluar todo el ciclo de vida de los datos personales, desde la recopilación al almacenamiento, uso, comunicación y, finalmente, destrucción.
La CPA hace hincapié en la implicación de las partes interesadas clave de toda la estructura organizativa para garantizar una evaluación holística.
Al realizar una evaluación, ten en cuenta tanto los riesgos internos como los externos, como vulnerabilidades en tus sistemas, relaciones con terceros y amenazas de ciberseguridad. Una vez identificados los riesgos, debes introducir medidas para mitigarlos eficazmente. Esto puede implicar implantar salvaguardas como:
El Colorado Attorney General está facultado para solicitar las evaluaciones de protección de datos a las empresas. La CPA no especifica de forma expresa la frecuencia exigida de las evaluaciones, pero debes estar preparada/preparado para presentar tu evaluación en un plazo de 30 días desde su solicitud.
Una buena práctica es reevaluar con regularidad y, sobre todo, cuando se produzcan cambios en las actividades de tratamiento existentes o en situaciones en las que el nivel de riesgo para la seguridad de los datos pueda incrementarse.
Recuerda que los datos personales según la CPA son cualquier información vinculada o razonablemente vinculable a una persona identificada o identificable. Esto incluye no solo identificadores evidentes como fechas de nacimiento y datos de contacto, sino también identificadores indirectos como direcciones IP, información de localización, historial de transacciones o incluso patrones de comportamiento.
La CPA te anima a minimizar los datos que recopilas y tratas. Recoge únicamente lo que sea necesario para la finalidad especificada y evita tratar datos para fines no relacionados con la intención original.
Al tratar información de los consumidores, especialmente datos sensibles como los que revelan el origen racial, la orientación sexual o el estado de salud, es imprescindible obtener un consentimiento explícito e informado. Cabe señalar que aceptar simplemente unas condiciones generales no basta para recabar el consentimiento.
En concreto, el consentimiento debe:
Los residentes en Colorado también pueden optar por excluirse (opt-out) de la publicidad personalizada y de la venta de sus datos personales.
Cada empresa que colabora con los llamados encargados del tratamiento (processors) —terceros que tratan datos recopilados por la empresa— debe firmar con ellos un acuerdo de tratamiento de datos (DPA).
Los DPA establecen un marco para un tratamiento legal de los datos. Asegúrate de que tu DPA incluya elementos como la naturaleza y la finalidad del tratamiento, el tipo de datos personales involucrados, los requisitos de confidencialidad, las medidas de seguridad, las disposiciones para la devolución o eliminación de los datos, los derechos de auditoría y la obligación de que los encargados del tratamiento celebren a su vez acuerdos con sus subencargados.
Las entidades que obtuvieron el consentimiento del consumidor para el tratamiento de datos antes del 1 de julio pueden seguir tratando los datos personales del consumidor, incluida la información sensible. Pero hay un pero: ese consentimiento previo solo seguirá siendo válido si cumplía ya entonces los requisitos de consentimiento válido de la CPA. Por tanto, si tenías el consentimiento adecuado antes de la entrada en vigor de la CPA, puedes seguir tratando los datos personales. En caso contrario, debes actualizar tus procedimientos.
El Colorado Attorney General y los fiscales de distrito están facultados para actuar contra las entidades que no cumplan. Pueden investigar las infracciones, emitir notificaciones de infracción e imponer sanciones económicas.
Por último, la CPA impone sanciones más estrictas y elevadas que las de la CCPA y la Virginia Consumer Data Protection Act. Las entidades incumplidoras pueden enfrentarse a sanciones económicas que oscilan entre 2000 y 20 000 USD por infracción. Y las sanciones se acumulan: si se constata que una empresa ha incurrido en varios incumplimientos de distintas disposiciones de la CPA, cada infracción puede dar lugar a una sanción independiente, y la suma puede crecer rápido.
Toda esta charla sobre cumplimiento y posibles sanciones puede dejarte con la sensación de estar abrumada/abrumado. Pero Safetica está aquí para ayudarte a moverte por el complejo panorama de la privacidad y la protección de datos.
En Safetica entendemos lo importante que es proteger los datos sensibles y cumplir con los requisitos regulatorios. También sabemos que no quieres dedicar tiempo ni recursos innecesarios a una solución DLP.
Los productos DLP de Safetica ofrecen una interfaz fácil de usar y funciones de seguridad robustas que apoyan tus iniciativas de cumplimiento y protección de datos. Por ejemplo:
Al aliarte con Safetica, puedes abordar de forma proactiva los retos de la privacidad y el cumplimiento de los datos. Te ayudaremos a navegar las complejidades de la protección de datos manteniendo la productividad y la eficiencia.
Hablemos del cumplimiento normativo de tu organización