Safetica > Resources > Virginia Consumer Data Protection Act (VCDPA): alcance, finalidad y cómo cumplirla

Virginia Consumer Data Protection Act (VCDPA): alcance, finalidad y cómo cumplirla

oct 5, 2023

La Virginia Consumer Data Protection Act (VCDPA), que entró en vigor el 1 de enero de 2023, otorga a los consumidores derechos significativos sobre sus datos personales. Esta normativa supone un hito relevante en la legislación estadounidense de privacidad de datos, y si tu empresa u organización entra en su ámbito de aplicación, tendrás que conocer en detalle la VCDPA para mantenerte conforme.

Este artículo es tu guía para entender la VCDPA y sus implicaciones para las empresas. Profundizaremos en los principios fundamentales y el alcance, desentrañaremos la jerga y aclararemos los requisitos, ofreciéndote una visión práctica para que des los pasos necesarios para alcanzar y mantener el cumplimiento.

 

La Virginia Consumer Data Protection Act en pocas palabras

Como en EE. UU. no existe una ley federal de privacidad, la VCDPA es una ley a nivel estatal que establece las reglas de protección de datos cuando se manejan datos personales y sensibles de los residentes en Virginia.

Here’s what businesses need to know about the VCDPA:

  • Control is king: Consumers get to decide who gets access to their personal and sensitive data and what they can do with it.
  • It's all about transparency: The VCDPA expects you to be clear about what data you're collecting, how you're using it, and who you're sharing it with. If you want to be compliant, it’s time to lay your cards on the table.
  • Virginia's rules apply: If you're doing business in Virginia or catering to Virginians, the VCDPA should be on your radar. Whether you're a local hero or a global player, if you meet the requirements, you've got to play by Virginia's data privacy rules. More about VCDPA’s scope is below.
  • No need for consent, except...: You don't need to ask for consumer consent every time you handle personal data. But sensitive data is a different story. That requires an explicit nod from the consumer. So, play it safe and get permission when you're dealing with the juicy stuff.
  • Big Brother is watching! The Virginia Attorney General is the VCDPA's enforcer. If you are in violation of VCDPA’s rules, you will be hearing from them. Luckily, there’s usually a 30-day grace period to fix your slip-ups. More about VCDPA penalties is below.

Veamos ahora la VCDPA un poco más de cerca.
 

lvpf

Entender la finalidad de la VCDPA

En esencia, la VCDPA busca dar a los consumidores más control sobre lo que ocurre con sus datos personales, protegiendo su derecho a la privacidad. Establece reglas claras para las empresas sobre cómo recopilan, utilizan y comparten estos preciados datos.

La VCDPA pretende empoderar a las personas y fomentar la confianza entre las empresas y sus clientes en la era digital, en la que los hackers están a la orden del día y la privacidad de los datos se ha vuelto fundamental para la tranquilidad de todos.

En pocas palabras, la finalidad de la VCDPA es crear un panorama digital más seguro y transparente para todas las partes implicadas.

 

Alcance: ¿a quién se aplica la VCDPA? 

Veamos a continuación si tu organización entra bajo el paraguas de la VCDPA, lo que haría que sus normas te fueran aplicables.

Solo tienes que responder a estas dos preguntas:

¿Tu empresa desarrolla su actividad en Virginia o se dirige con sus productos o servicios a las personas que residen allí?

¿Manejas además datos personales de al menos 100 000 consumidores durante un año natural o recopilas datos de 25 000 o más consumidores y más del 50 % de tus ingresos provienen de la venta de esos datos personales?

Si has respondido SÍ a ambas, ¡enhorabuena, estás dentro!

Pero ojo: no todos se suben a este rodeo de la privacidad de datos. Las entidades financieras sujetas a la Gramm-Leach-Bliley Act, las organizaciones sanitarias que cumplan con la HIPAA, las organizaciones sin ánimo de lucro y las instituciones de educación superior están exentas.

 

Definiciones de la VCDPA: descifrando la jerga de los datos 

Vamos a desglosar algunos de los términos clave que encontrarás en la VCDPA. Es posible que no se definan igual en otras leyes estatales de privacidad, así que es importante prestar atención.

  • Personal data: This is the obvious star of the VCDPA show. It's basically any information that's tied to a living, breathing person. Think names, emails, addresses – the usual suspects. De-identified data and information that's publicly available aren't considered personal data.
  • Sensitive data: If personal data is the star of the show, sensitive data is like the VIP section. It includes data about children under 13, health and biometric info, geolocation data, and personal details like race, religion, or sexual orientation. Handling this data requires extra care under the VCDPA.
  • Sale: According to VCDPA, a "sale" is when you exchange personal data for monetary consideration with a third party.
  • Processing: This is a broad term that covers any action taken with consumers’ personal data – collecting, using, storing, sharing, and even deleting it.
  • Thresholds: Remember, it's not just about having data; it's about how much of it you've got. The VCDPA sets specific thresholds to determine if the regulation applies to an organization or not. So, knowing how much data you're dealing with is crucial to understanding whether or not you fall under the scope of the VCDPA.

Derechos de los consumidores bajo la VCDPA

Estos son los derechos que la VCDPA otorga a los consumidores:

Confirmación y acceso: tus usuarios tienen derecho a saber si dispones de sus datos personales y cuáles son. Pueden ser cosas básicas como su nombre y correo electrónico, pero también, por ejemplo, su historial de compras y otros datos concretos. Así que, si «Bob» pregunta, te toca dar la información.

Rectificación: si Bob detecta una errata o algo que no encaja en sus datos, puede pedirte que lo corrijas. Si su nombre aparece mal escrito como «Bbo», más vale que lo corrijas.

Supresión: Bob también puede pedirte que elimines los datos que él mismo te facilitó o que recopilaste sobre él.

Portabilidad: si Bob decide pasarse a otro servicio, puede solicitarte sus datos en un formato fácil de llevarse consigo.

No al targeting: tus usuarios, como Bob, pueden decir «no» a los anuncios personalizados y al perfilado de datos. Imagina que Bob ha estado mirando botas de senderismo en tu web y, de repente, le aparecen anuncios de senderismo allá donde navegue. Pues bien, puede oponerse a ese seguimiento y evitar que esos anuncios le sigan.

No a la venta: si tu consumidor no quiere que vendas sus datos, tiene derecho a oponerse. Recuerda darle la opción de hacerlo.

Datos sensibles: ¿recuerdas los datos sensibles de los que hablábamos antes? Para ese tipo de información, como los registros sanitarios o la ubicación exacta del consumidor, no puedes obtenerla ni tratarla sin su consentimiento explícito e inequívoco.

 

Cumplimiento de la VCDPA: tu lista de tareas

La VCDPA establece una serie de reglas básicas para proteger los datos de tus consumidores y deberás cumplirlas al pie de la letra. Esta es una lista de comprobación que puede ayudarte a iniciar tu camino hacia el cumplimiento:

Avisos de privacidad: lo primero, debes contar con un aviso de privacidad claro y de fácil acceso en tu web. Es la forma de comunicar a tus usuarios qué datos recopilas, por qué los recopilas y con quién los compartes.


Protección de datos: implanta prácticas de seguridad sólidas en tu empresa para asegurarte de que los datos que recopilas y controlas no caen en malas manos. Puedes evaluar tu sistema de gestión de la seguridad de la información frente a directrices como el estándar internacional ISO 27001 para identificar áreas en las que mejorar.


Solicitudes de los consumidores: establece un proceso para que los consumidores puedan presentar solicitudes para ejercer sus derechos. Responde a esas solicitudes en un plazo de 45 días y ofréceles una vía para reclamar si no están conformes con tu respuesta.


Contratos con encargados del tratamiento: asegúrate de tener un contrato con cualquier tercero que trate los datos que tu empresa recopila. El contrato tiene que incluir las instrucciones para el tratamiento de los datos, la finalidad del tratamiento y los detalles del mismo.


Evaluaciones de seguridad de los datos: una evaluación de protección de datos en virtud de la VCDPA es una valoración que se realiza para evaluar los posibles beneficios para la empresa y los riesgos para los consumidores asociados al tratamiento de datos de los consumidores. Las salvaguardas para reducir esos riesgos deben formar parte de la evaluación. Debes realizar evaluaciones si eres un responsable del tratamiento (data controller) y:

  • vendes datos personales,
  • tratas datos personales con fines de publicidad personalizada o de elaboración de perfiles, o
  • tratas datos sensibles.

Las evaluaciones de protección de datos no son solo de uso interno. El Virginia Attorney General puede solicitar que una empresa u organización aporte las evaluaciones de protección de datos pertinentes en el marco de una investigación.


Para que tu organización se mantenga al día con las normativas que le son aplicables, también es buena idea dar pasos adicionales para proteger los datos de los consumidores que recopilas o tratas.

For example:
  • Training: Educate your employees about data security in general and the VCDPA’s requirements specifically. Knowledge is power, and it helps everyone stay on the same page. Human error is very common, so you’ll want to minimize any oversights.
  • Regular audits: Protection from data loss isn’t a one-and-done deal. You’ll want to audit your data security practices periodically, conduct gap analyses, and update processes that prove insufficient.
  • Stay updated: Keep an eye on updates and changes to the VCDPA. The data privacy landscape can shift, and you want to stay ahead of the curve.

Recuerda: el cumplimiento no es solo una obligación legal, es una forma de generar confianza con tus usuarios, así que tu atención a la seguridad de los datos debe ser milimétrica.

 

Aplicación de la VCDPA: consecuencias y multas

Virginia no se anda con bromas en materia de privacidad de datos, así que esto es lo que hay sobre la aplicación de la ley:

El Virginia Attorney General es la única entidad encargada de garantizar que todo el mundo cumpla con las normas de la VCDPA. Si determina que tu empresa no es conforme, podrías enfrentarte a multas de hasta 7500 USD por infracción. Pero hay un rayo de esperanza: el Attorney General te enviará primero una notificación por escrito especificando las disposiciones que se están infringiendo, y dispones de un periodo de subsanación de 30 días para corregir la situación.

 

Cómo Safetica puede ayudarte a cumplir la VCDPA

Ahora que has profundizado en la VCDPA, eres muy consciente de la importancia de la protección de datos y del cumplimiento. No se trata solo de cumplir las reglas: se trata de ganarte la confianza y de asegurar el futuro de tu empresa.

El software de Data Loss Prevention (DLP) de Safetica puede ser tu fiel aliado en esta búsqueda del cumplimiento y la seguridad de los datos. Con Safetica, puedes:

  • Monitor data: Keep a vigilant eye on how data moves within your organization, spotting potential risks before they become breaches.
  • Get a heads-up: Get real-time alerts that help in detecting potential data breaches and respond promptly to incidents.
  • Prevent data leaks: Effectively protect sensitive information with data encryption and access controls.
  • Analyse risks: Privacy impact assessments can be conducted efficiently with Safetica's data monitoring and analysis capabilities.
  • Insider threats: Insider threat detection features help identify and prevent potential internal risks.

Es hora de reforzar tus defensas y mantener tus datos a salvo. Descubre hoy mismo el software DLP de Safetica. ¡Hagamos que tu seguridad de datos sea inquebrantable!

 

Hablemos de tu cumplimiento de la VCDPA

Similar posts