La ley de Connecticut sobre la privacidad de los datos de los consumidores, la Connecticut Personal Data Privacy and Online Monitoring Act(CTDPA), está diseñada para proteger la privacidad de los consumidores y concederles un mayor acceso a sus datos en línea.
A continuación, proporciono información sobre la ley de privacidad de datos de Connecticut y explico en qué se diferencia de leyes similares de privacidad de datos de EE.UU. y cómo puede afectar a su negocio.
- ¿Qué es la Ley de Connecticut sobre Protección de Datos Personales y Vigilancia en Línea?
- ¿Qué cubre la CTDPA?
- ¿Qué exige la CTDPA?
- Comparación con otras leyes estatales
- ¿Cuál es el impacto de la CTDPA en los consumidores?
- ¿Cuál es el impacto de la CTDPA en las empresas?
- ¿Quién debe cumplir la CTDPA?
- ¿Cómo pueden las empresas cumplir la CTDPA?
- ¿Cómo se hará cumplir la CTDPA?
- Multas y sanciones en virtud de la CTDPA
- Cómo ayuda Termly
¿Qué es la Ley de Connecticut sobre Protección de Datos Personales y Vigilancia en Línea?
Los legisladores diseñaron la ley de privacidad de datos de Connecticut para proteger la privacidad de los consumidores de Connecticut de sus datos en línea, así como para dar a los consumidores de Connecticut un mayor control sobre quién utiliza sus datos.
En virtud de la CTDPA, los consumidores de Connecticut tienen derecho a:
- Solicitar información sobre si se están tratando sus datos
- Optar por que no se traten sus datos para determinadas actividades de tratamiento, como la publicidad selectiva.
- Obtener copias portátiles de sus datos
- Solicitar correcciones de sus datos
Aunque la ley de Connecticut sobre protección de datos de los consumidores no es tan favorable a las empresas como la de Utah, no se aplica a todo tipo de entidades y datos, lo que impide que la CTDPA sea demasiado exigente con las empresas.
¿Qué cubre la CTDPA?
La CTDPA se aplica a los datos personales de un consumidor y regula las entidades que son responsables o encargados del tratamiento de datos personales.
Según la ley de privacidad de datos del consumidor de Connecticut a:
- Encargado del tratamiento es "una persona física o jurídica que trata datos personales por cuenta de un responsable del tratamiento".
- Responsable del tratamiento es "una persona física o jurídica que, sola o conjuntamente con otras, determina la finalidad y los medios del tratamiento de datos personales".
¿Cómo define la CTDPA al consumidor?
La ley de privacidad del consumidor de Connecticut sí limita quién puede considerarse consumidor.
En términos generales, define al consumidor como un residente de Connecticut, pero excluye a las personas que actúan en determinados contextos, como en un contexto laboral o comercial.
¿Cómo define la CTDPA los datos personales?
Según la CTDPA, los datos personales se definen como "cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable".
Sin embargo, la ley no cubre los datos desidentificados ni la información públicamente disponible, que define de forma amplia.
Según la CTDPA, la "información públicamente disponible" no se limita a la información facilitada por entidades gubernamentales; también incluye la información hecha pública por particulares en medios de comunicación de amplia difusión, como las redes sociales.
Los responsables del tratamiento de datos deben seguir teniendo una base razonable para creer que las personas han hecho pública su información.
¿Qué procesadores y controladores cubre la CTDPA?
Para acogerse a la CTDPA, las empresas deben cumplir las dos condiciones siguientes:
- Realiza negocios en Connecticut, o su empresa dirige sus servicios o productos a residentes de Connecticut.
- En el año natural anterior, su empresa
- Trató o controló los datos personales de 100.000 o más consumidores
- Trató o controló los datos personales de 25.000 consumidores o más si su empresa obtuvo más del 25% de los ingresos totales mediante la venta de datos personales.
- Este requisito no incluye los "datos personales controlados o tratados con el único fin de completar una operación de pago").
Pero algunas entidades que cumplen ambas condiciones siguen estando exentas de la ley de privacidad de datos de Connecticut, como:
- Instituciones de enseñanza superior
- Organizaciones sin ánimo de lucro
- Contratistas gubernamentales que procesan datos para el gobierno
- Entidades sujetas a la Gramm-Leach-Bliley Act de 1999 ("GLBA") o a la Health Insurance Portability and Accountability Act de 1996 ("HIPAA")
¿Qué exige la CTDPA?
La CTDPA tiene dos requisitos empresariales principales:
- Proteger la privacidad de los datos de los consumidores y
- Dar a los consumidores la posibilidad de limitar el uso de sus datos.
Esto se consigue mediante otros requisitos de la ley, que incluyen medidas de seguridad, contratos conformes, etc.
Medidas de seguridad
En virtud de la ley de Connecticut sobre privacidad de los consumidores, los responsables del tratamiento deben aplicar y mantener medidas de seguridad para proteger la privacidad de los datos personales de los consumidores.
La CTDPA sólo exige que sus medidas de seguridad sean razonables.
Sin embargo, pueden ser "razonables" diferentes medidas de seguridad en diversas circunstancias, dependiendo de si tiene una empresa pequeña o grande, de la naturaleza de los datos personales y del volumen de los mismos.
Contratos
La CTDPA exige que exista un contrato escrito entre el responsable y el encargado del tratamiento con determinadas disposiciones, entre las que se incluyen las siguientes:
- Instrucciones para el tratamiento de datos
- Tipo de datos que deben tratarse
- Información específica sobre el tipo de tratamiento y su finalidad
- La duración del tratamiento
Solicitar derechos
Además de exigir a los responsables y encargados del tratamiento que protejan la intimidad del consumidor, la ley de Connecticut sobre intimidad ofrece a los consumidores varias formas de relacionarse con un responsable o encargado del tratamiento para controlar sus datos y acceder a ellos, incluido el derecho a presentar determinadas solicitudes a un responsable o encargado del tratamiento.
El controlador determina cómo un consumidor puede hacer una solicitud, y las solicitudes pueden ser para lo siguiente:
- Los consumidores pueden saber si se están tratando sus datos.
- Los consumidores pueden obtener acceso a sus datos y, si es posible, una copia portátil.
- Los consumidores tienen derecho a solicitar la corrección de cualquier inexactitud relacionada con sus datos.
- Los consumidores pueden solicitar la supresión de sus datos.
- Los consumidores tienen un derecho de exclusión voluntaria para impedir la publicidad dirigida o la venta o tratamiento de sus datos en determinadas circunstancias.
Autenticación de solicitudes
Tras recibir la solicitud, el responsable del tratamiento debe intentar autenticarla haciendo esfuerzos razonables. Si el controlador no puede autenticar la solicitud, no está obligado a concederla.
Sin embargo, la ley prevé una excepción: Los responsables del tratamiento no tienen que autenticar las solicitudes de exclusión voluntaria.
Al intentar autenticar una solicitud, el responsable del tratamiento tiene que hacer una de las siguientes cosas sin "demora indebida" y a más tardar 45 días después de la solicitud:
- Tomar medidas: Puede conceder o denegar la solicitud y debe notificar su decisión al consumidor junto con una explicación. Si deniega la solicitud, debe informar al consumidor de sus derechos de recurso. Si deniega una solicitud que no sea de exclusión voluntaria porque no puede autentificarla, debe informar al consumidor de que no ha podido autentificar la solicitud. Además, debe informarle de que no accederá a su solicitud hasta que reciba la información adicional razonablemente necesaria para autentificarla.
- Solicite una prórroga: Puede solicitar una prórroga de 45 días para responder si la prórroga es razonablemente necesaria. Que una prórroga sea "razonablemente necesaria" depende de cuántas solicitudes haya presentado el consumidor y de lo complejas que sean. Si solicita una prórroga, debe notificárselo al consumidor en el plazo de 45 días y explicarle por qué la necesita.
Tarifas
La CTDPA exige que responda gratuitamente a las solicitudes de los consumidores.
Sin embargo, las tasas por responder a una solicitud de un consumidor están permitidas en determinadas situaciones, pero incluso en ese caso, el precio sólo puede cubrir los costes administrativos razonables para responder a la solicitud.
Para cobrar una tasa, debe poder demostrar lo siguiente:
- El consumidor ya ha realizado al menos otra solicitud en los 12 meses anteriores.
- Las peticiones del consumidor son "manifiestamente infundadas, excesivas o repetitivas".
Por último, el consumidor tiene derecho a recurrir una denegación de su solicitud, y el responsable del tratamiento debe responder por escrito al recurso en un plazo de 60 días. Si el responsable del tratamiento deniega el recurso, debe proporcionar al consumidor un mecanismo en línea u otros medios para ponerse en contacto con el fiscal general.
Notificación a los consumidores y derecho de exclusión voluntaria
La CTDPA exige a las entidades cubiertas que den a los consumidores el derecho a oponerse al tratamiento de sus datos para determinados fines. También exige a las empresas que faciliten un aviso con información sobre el tratamiento de los datos.
La CTDPA exige a las empresas cubiertas que den a los consumidores el derecho a optar por no procesar sus datos personales para:
- Publicidad dirigida
- Vender los datos personales del consumidor
- Elaboración de perfiles en determinadas circunstancias
Tenga en cuenta que tan pronto como la ley entre en vigor, el derecho a excluirse debe ser un enlace "claro y visible" en el sitio web de la empresa.
El 1 de enero de 2025, los derechos de exclusión se ampliaron aún más.
Un controlador debe reconocer la "señal de preferencia de exclusión voluntaria" universal del consumidor. La CTDPA exige que una entidad cubierta proporcione al consumidor los medios para revocar el consentimiento incluso después de que éste lo haya dado. Una vez que el consumidor revoca el consentimiento, la empresa debe dejar de procesar los datos en un plazo de 15 días tras recibir la revocación del consumidor.
Aviso de privacidad a los consumidores
Además, una entidad sujeta a la ley de privacidad de datos de Connecticut debe proporcionar un aviso con información sobre lo siguiente:
- Categorías de datos personales tratados
- Finalidad del tratamiento de datos personales
- Cómo pueden ejercer sus derechos los consumidores, incluido el derecho de recurso
- El tipo de datos personales compartidos con terceros, junto con información sobre los terceros.
- Forma en que el consumidor puede ponerse en contacto en línea con el responsable del tratamiento
Datos de los niños
La CTDPA incorpora la Ley de Protección de la Privacidad Infantil en Internet (COPPA). Si se sabe que un consumidor es un niño según la definición de la COPPA -menor de 13 años-, sus padres o tutores legales deben dar un consentimiento verificable antes de que una empresa pueda procesar la información del niño.
La ley de privacidad de datos de Connecticut también extiende este requisito a los menores de 16 años.
Comparación con otras leyes estatales
Connecticut es el quinto estado que promulga legislación sobre protección de datos de los consumidores. Otros estados de EE.UU. California, Colorado, Utahy Virginia - tienen leyes de protección de datos de los consumidores que varían ligeramente.
Afortunadamente, la ley de privacidad del consumidor de Connecticut tiene mucho en común con las leyes de otros estados, por lo que si la ley de privacidad del consumidor de otro estado ya se aplica a su negocio, es posible que ya cumpla en gran medida con la ley de Connecticut.
Sin embargo, la legislación de cada estado ha sido ligeramente distinta, lo que ha hecho que las empresas se enfrenten a una creciente maraña de normativas estatales diferentes, una cuestión que los representantes empresariales plantearon ante la legislatura de Connecticut.
Consulte el siguiente cuadro comparativo para ver en qué se diferencian estas leyes:
| Ley de Connecticut sobre protección de datos personales y vigilancia en línea | Ley de Privacidad del Consumidor de California | Ley de Privacidad de Colorado | Ley de Privacidad del Consumidor de Utah | Ley de Protección de Datos de los Consumidores de Virginia | |
| Umbrales de ingresos de las empresas | No hay ingresos específicos en dólares | Puede ser una empresa cubierta por tener un mínimo de 25 millones de dólares de ingresos sin necesidad de cumplir criterios adicionales. | No hay ingresos específicos en dólares | Las empresas deben tener al menos 25 millones de dólares de ingresos y cumplir criterios adicionales | No hay ingresos específicos en dólares |
| Exclusiones de datos agregados y no identificados | Sólo datos no identificados | Ambos | Sólo datos no identificados | Ambos | Sólo datos no identificados |
| ¿Qué constituye la "venta" de datos? | Intercambio de algo de valor, aunque no tiene por qué ser dinero. | Intercambio de algo de valor, aunque no tiene por qué ser dinero. | Intercambio de algo de valor, aunque no tiene por qué ser dinero. | El intercambio monetario, como el pago de dinero o la emisión de un cheque, es una "obligación". Otras consideraciones no cuentan como venta. | El intercambio monetario, como el pago de dinero o la emisión de un cheque, es una "obligación". Otras consideraciones no cuentan como venta |
| Derechos de inclusión o exclusión voluntaria de datos sensibles | Los responsables del tratamiento deben obtener el consentimiento antes de tratar datos sensibles como los relativos al origen racial o étnico o los relacionados con la situación de inmigración. | No incluye normas diferentes para la información sensible | Los responsables del tratamiento deben obtener el consentimiento antes de tratar datos sensibles | Los consumidores pueden optar por que no se procesen sus datos sensibles, pero los responsables del tratamiento no tienen que obtener su consentimiento antes de procesar los datos. | Los responsables del tratamiento deben obtener el consentimiento del consumidor antes de tratar datos sensibles. |
| Acceso de los consumidores a los secretos comerciales al realizar solicitudes | Los consumidores no pueden acceder a secretos comerciales | Los consumidores no pueden acceder a secretos comerciales | Los consumidores no pueden acceder a secretos comerciales | Los consumidores no pueden acceder a secretos comerciales | Los consumidores pueden acceder a secretos comerciales |
| Derechos de recurso de los consumidores | Los consumidores pueden recurrir la denegación de una solicitud por parte de un tramitador. | Los consumidores pueden recurrir la denegación de una solicitud por parte de un tramitador. | Los consumidores pueden recurrir la denegación de una solicitud por parte de un tramitador. | Sin derecho de recurso | Los consumidores pueden recurrir la denegación de una solicitud por parte de un tramitador. |
| Derecho a excluirse de la elaboración de perfiles | Algunos perfiles | Sí | Algunos perfiles | No | Sí |
| Los consumidores pueden solicitar correcciones de sus datos | Sí | Sí | Sí | No | Sí |
| Derecho de acción privada | No, sólo el fiscal general del Estado puede presentar una demanda judicial para hacer cumplir la ley. | Sí, los consumidores pueden presentar sus propias demandas ante los tribunales para hacer cumplir la ley. | No, sólo el fiscal general del Estado puede presentar una demanda judicial para hacer cumplir la ley. | No, sólo el fiscal general del Estado puede presentar una demanda judicial para hacer cumplir la ley. | No, sólo el fiscal general del Estado puede presentar una demanda judicial para hacer cumplir la ley. |
| El consumidor puede solicitar la supresión de datos personales | Sí | Sí | Sí | Sí | No |
¿Cuál es el impacto de la CTDPA en los consumidores?
Una encuesta realizada por KPMG en 2021 informó de que el 86% de los estadounidenses consideran que la privacidad de los datos es una preocupación creciente. Del mismo modo, una encuesta de Pew sobre el tema reveló que más del 80 % de los estadounidenses se sienten incómodos con su falta de control sobre sus datos.
La CTDPA aborda estas preocupaciones de varias maneras:
- Las entidades cubiertas tendrán que establecer mayores medidas de seguridad para proteger la privacidad de los datos de los consumidores
- Los consumidores de Connecticut podrán solicitar más información sobre el uso que hacen las empresas de sus datos personales.
- Los consumidores de Connecticut podrán solicitar la supresión de sus datos en algunos casos
- Los consumidores de Connecticut tendrán derecho de exclusión voluntaria para impedir el tratamiento de sus datos con determinados fines.
¿Cuál es el impacto de la CTDPA en las empresas?
La CTDPA puede exigir importantes desembolsos financieros a las empresas afectadas. Como ejemplo relevante, antes de que se aprobara la ley de privacidad de datos de los consumidores de California, un informe económico estimó que las empresas afectadas por la ley gastarían 55.000 millones de dólares en costes iniciales de cumplimiento.
Sin embargo, es posible que muchas empresas ya cumplan en gran medida la normativa, dependiendo de si operan en alguno de los otros cuatro estados con leyes similares sobre privacidad de los datos de los consumidores.
Tenga en cuenta que estas leyes varían ligeramente, por lo que si su empresa ya ha realizado cambios para cumplir con la legislación de uno de esos estados, deberá buscar requisitos adicionales en la CTDPA.
Como la ley no entra en vigor hasta julio de 2023 y no se aplicará hasta 2025, tiene tiempo para prepararse para el importante impacto de esta ley.
Por otra parte, las empresas cubiertas pueden obtener algunos beneficios de la CTDPA. Por ejemplo, a medida que más modelos de negocio implican la recopilación de datos de los consumidores, el aumento de la confianza de los consumidores mediante el cumplimiento de las leyes de privacidad de datos puede ser un beneficio neto.
¿Quién debe cumplir la CTDPA?
Las entidades que cumplen los requisitos para ser responsables o encargados del tratamiento deben cumplir la CTDPA. Debe cumplir la CTDPA si cumple estas dos condiciones:
- Realiza negocios en Connecticut o dirige servicios o productos a residentes de Connecticut.
- En el año natural anterior, su empresa procesó o controló 100.000 o más datos personales de consumidores, o 25.000 o más si su empresa obtuvo más del 25% de los ingresos totales a través de la venta de datos personales. Esto no incluye, sin embargo, "datos personales controlados o procesados únicamente con el fin de completar una transacción de pago".
¿Hay exenciones?
Sí, existen exenciones en la ley de privacidad de datos de Connecticut. Las siguientes entidades no se consideran responsables ni encargados del tratamiento:
- Entidades que tratan datos como contratistas de la Administración
- Organizaciones sin ánimo de lucro
- Centros de enseñanza superior
¿Cómo pueden las empresas cumplir la CTDPA?
A continuación le indicamos algunas cosas clave que debe hacer para prepararse para la CTDPA:
- Establecer medidas de seguridad para proteger la privacidad de los consumidores o revisar las medidas existentes para garantizar que cumplen los requisitos de la CTDPA.
- Celebrar contratos con su encargado del tratamiento o responsable del tratamiento que satisfagan la CTDPA o modificar los contratos existentes.
- Redactar avisos de privacidad y desarrollar mecanismos de exclusión voluntaria.
- Crear políticas y procedimientos para responder a las solicitudes de los consumidores.
¿Cómo se hará cumplir la CTDPA?
Sólo el fiscal general de Connecticut puede interponer una demanda por infracción de la CTDPA. La ley no prevé un derecho de acción privado, por lo que los consumidores no pueden presentar sus propias demandas.
La CTDPA establece que, antes del 1 de enero de 2025, el fiscal general debe conceder a las empresas un periodo de gracia de 60 días para subsanar cualquier infracción antes de emprender una acción coercitiva. Sin embargo, a partir del 1 de enero de 2025, el fiscal general tiene la opción de conceder a una empresa un periodo de gracia de 60 días para subsanar las infracciones, pero la ley ya no le obliga a hacerlo.
Para determinar si concede a una empresa un periodo de gracia, la CTDPA dispone que el fiscal general tenga en cuenta varios factores, como el número de infracciones, el tamaño y la complejidad de la empresa y la causa de la infracción, entre otros.
Multas y sanciones en virtud de la CTDPA
Una violación de la ley de privacidad de datos de Connecticut es una práctica comercial desleal en virtud de la Ley de Prácticas Comerciales Desleales de Connecticut.
Las posibles sanciones que el fiscal general podría intentar imponer incluyen:
- Hasta 5.000 dólares por infracción dolosa
- Reparaciones equitativas, incluidas la restitución, el reembolso y las medidas cautelares.
Para que una empresa sea sancionada en virtud de la CTDPA, el fiscal general debe ganar una acción de aplicación en los tribunales.
Cómo ayuda Termly
La ley de privacidad de Connecticut es la más reciente adición a las leyes de privacidad del consumidor promulgadas en Estados Unidos. A medida que más estados aprueban leyes para proteger a los consumidores, las empresas que controlan o procesan datos de los consumidores deben evaluar sus prácticas de privacidad.
Aunque las leyes estatales son similares, no son idénticas. Sin una legislación federal exhaustiva, muchas empresas tendrán que cumplir un número cada vez mayor de leyes estatales de protección de la intimidad de los consumidores.
Puede utilizar recursos como la Plataforma Generador de política de privacidad y gestión del consentimiento deTermly para simplificar el cumplimiento de los requisitos de la CTDPA y otras leyes.
Más sobre el autor
Escrito por Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali es un abogado especializado en derecho de la privacidad de datos con sede en Londres y con un máster en derecho de la privacidad de la UE en el King's College de Londres. Cuenta con seis años de experiencia asesorando a empresas sobre cómo cumplir las leyes de protección de datos. Más sobre el autor
