Colorado fue el tercer estado de EE.UU. en aprobar una ley integral de privacidad de datos cuando se promulgó la Ley de Privacidad de Colorado (CPA) fue promulgada por el gobernador Jared Polis el 7 de julio de 2021.
En vigor desde 2023, esta ley de Colorado pretende proteger la privacidad de los residentes del estado, concediéndoles el derecho a rechazar la venta y uso de datos personales y el derecho a acceder, corregir y eliminar sus datos.
Esboza varios requisitos que deben seguir las empresas cubiertas, como elaborar una política de privacidad y utilizar evaluaciones de protección de datos para determinadas actividades de tratamiento.
A continuación, le resumo la CPA y le explico cómo afecta a las empresas, a sus consumidores y los pasos que puede dar para cumplir los requisitos de esta ley de privacidad del estado de EE.UU.
- ¿Qué es la Ley de Privacidad de Colorado (CPA)?
- Términos clave y definiciones de la Ley de Privacidad de Colorado
- ¿Quién debe cumplir la Ley de Privacidad de Colorado?
- Derechos del consumidor en virtud de la Ley de Privacidad de Colorado
- ¿Cómo se aplica la Ley de Privacidad de Colorado?
- Sanciones y multas de la Ley de Privacidad de Colorado
- Requisitos de la Ley de Privacidad de Colorado
- Cómo cumplir la Ley de Privacidad de Colorado
¿Qué es la Ley de Privacidad de Colorado (CPA)?
La Ley de Privacidad de Colorado es una ley de protección de la privacidad del consumidor inspirada en leyes como la:
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA),
- Ley de Protección de la Intimidad de los Consumidores de California (CCPA)
- Ley de Derechos de Privacidad de California (CPRA).
- Reglamento general de protección de datos (rgpd)
Sin embargo, la CPA incluye algunas diferencias cruciales.
En general, la CPA se aplica a todas las entidades (con o sin ánimo de lucro) que alcancen determinados umbrales en relación con la cantidad de datos de los consumidores que tratan o controlan. Pero a diferencia de la ley de protección de datos de Virginia, la de Colorado no exige un umbral de ingresos.
En Virginia y California, las organizaciones sin ánimo de lucro están exentas de las leyes de protección de datos, pero en Colorado no.
La violación de la CPA se considera una práctica comercial engañosa en virtud de la Ley de Protección del Consumidor de Colorado.
Términos clave y definiciones de la Ley de Privacidad de Colorado
Veamos cómo define la CPA determinados términos que conocemos de la legislación vigente sobre protección de datos.
Controladores
La mayoría de los nuevos requisitos se aplican a los "responsables del tratamiento", es decir, a la persona que, sola o junto con otras, determina los fines y medios del tratamiento de datos personales.
La CPA sólo se aplica a los controladores que realizan negocios en Colorado o se dirigen a residentes de Colorado con sus ofertas de bienes o servicios. Estas empresas también deben alcanzar determinados umbrales para que se les exija cumplir la CPA.
Consumidores
Según la CPA, los "consumidores" se definen como residentes de Colorado que actúan a título individual o doméstico.
Sin embargo, según la CPA, las personas que actúan en un contexto comercial o laboral, los candidatos a un empleo y los beneficiarios de alguien que actúa en un contexto comercial o laboral no se consideran "consumidores".
Datos Personales
La CPA define los "datos personales" como cualquier información vinculada a una persona distinguible dentro de lo razonable y no incluye los datos desidentificados (datos en los que se elimina la información de identificación personal) ni la información disponible públicamente.
¿Quién debe cumplir la Ley de Privacidad de Colorado?
Los requisitos de la CPA son aplicables a los controladores que desarrollan su actividad en Colorado o venden productos/servicios a residentes del estado y cumplen uno o más de los siguientes requisitos:
- procesa o controla anualmente los datos personales de más de 100.000 consumidores
- Obtiene ingresos o recibe descuentos de la venta de datos personales y controla o trata datos de al menos 25.000 consumidores
Dado que la CPA define la "venta" como el intercambio de datos personales por parte de un responsable del tratamiento a cambio de dinero o "cualquier otra contraprestación de valor" a un tercero, se aplica a muchas empresas.
La frase "otra contraprestación valiosa" es ambigua y está abierta a interpretación.
Sugiere que una reducción en el precio de los productos o servicios puede considerarse una contraprestación valiosa, lo que posiblemente califique la revelación de datos personales como una venta.
Por ejemplo, proporcionar sus datos personales a una empresa que utiliza software gratuito basado en la nube podría considerarse un descuento. A menos que el intercambio de datos entre dentro de una de las excepciones de la definición de "venta" de la ley, esto podría considerarse una venta de datos personales.
¿Quién está exento de la Ley de Privacidad de Colorado?
Aunque las organizaciones sin ánimo de lucro no están exentas de la CPA, la ley de Colorado prevé otras exenciones.
Por ejemplo, la CPA no se aplica a los datos personales mantenidos por la empresa con fines comerciales (b2b) o registros de empleo o datos de solicitantes de empleo y datos relativos a un beneficiario de alguien que actúa en un contexto de empleo.
Al igual que la CCPA, la CPA tampoco se aplica a la información protegida sobre salud y asistencia sanitaria.
Además, el cumplimiento de la ley de Colorado no es obligatorio para todas las empresas o compañías. Por ejemplo, las empresas que no alcanzan los umbrales señalados anteriormente -esencialmente las que no tratan anualmente los datos de un número suficiente de residentes en Colorado- están exentas.
Las siguientes organizaciones también están exentas de la Ley de Privacidad de Colorado:
- Líneas aéreas
- Servicios públicos
- Organizaciones que tratan datos personales desidentificados
- Organizaciones que procesan datos para registros de empleados
- Organizaciones que procesan datos para las leyes del Seguro de Salud de Colorado
- Organizaciones que entran en el ámbito de aplicación de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (Health Insurance Portability and Accountability Act)
- Organizaciones gubernamentales de Colorado
- Organizaciones sujetas a la Ley de Información Crediticia Equitativa
- Organizaciones que entran en el ámbito de aplicación de la Ley de Privacidad y Derechos Educativos de la Familia (Family Educational Rights and Privacy Act)
- Entidades financieras sujetas a la Ley Gramm-Leach-Bliley
- Organizaciones que entran en el ámbito de aplicación de la Ley de Protección de la Privacidad Infantil en Internet
- Agencias de información al consumidor
- Instituciones de enseñanza superior
Derechos del consumidor en virtud de la Ley de Privacidad de Colorado
Los derechos previstos por la ley de Colorado son esencialmente idénticos a los previstos por la VCDPA o la CCPA e incluyen los siguientes.
Exclusión voluntaria del tratamiento de datos
El consumidor tiene derecho a oponerse al tratamiento de los datos personales que le conciernen a efectos de:
- Publicidad dirigida
- Venta de datos personales
- Elaboración de perfiles con vistas a la adopción de decisiones que produzcan efectos jurídicos o de importancia similar en relación con un consumidor.
Una decisión que produzca un efecto jurídico o de importancia similar puede afectar a la situación jurídica o a los derechos legales de una persona o tener un impacto equivalente en las circunstancias, el comportamiento o las elecciones de un individuo. En casos extremos, puede excluir o discriminar a la persona afectada.
Ejemplos de este tipo de perfiles pueden ser:
- El análisis de datos personales para predecir el comportamiento individual en relación con su situación financiera, salud, preferencias personales, educación, empleo, vivienda, seguros o acceso a las necesidades básicas.
La ley de Colorado obliga a los responsables del tratamiento a establecer un método sencillo para que los consumidores puedan hacer valer sus derechos. Debe figurar en el aviso de privacidad de la empresa y en un lugar fácilmente accesible fuera de dicho aviso.
El Fiscal General de Colorado también proporcionó requisitos técnicos para un mecanismo universal de exclusión voluntaria que se aplican tanto a la venta de datos como a la publicidad dirigida.
Acceder a datos personales
Los consumidores tienen derecho a saber si una empresa controla y procesa sus datos. Si una empresa concreta procesa datos personales, el consumidor tiene derecho a acceder a esos datos.
Corrija los datos incorrectos
Los consumidores de Colorado tienen derecho a corregir las inexactitudes de los datos recogidos sobre ellos.
Borrar datos personales
Los consumidores de Colorado tienen derecho a suprimir los datos personales que les conciernan.
Recibir datos personales a través de medios portátiles
Los consumidores tienen derecho a recibir sus datos en un formato portátil y fácil de usar, que les permita compartirlos con terceros en caso necesario.
También se exige a los responsables del tratamiento que permitan a los consumidores utilizar un "mecanismo universal de exclusión voluntaria seleccionado por el usuario". La CPA reconoce los Controles Globales de Privacidad como una forma válida de exclusión voluntaria de la venta de datos personales para las empresas que acumulan datos privados de los consumidores en Internet.
Atender las solicitudes de los interesados
Debe facilitar a los clientes el contacto con usted y responder a sus peticiones con prontitud.
Esta tarea puede llevar mucho tiempo a las organizaciones más pequeñas, sobre todo si estas prácticas no están automatizadas y los datos empresariales se almacenan en varias ubicaciones.
Pero según la ley de Colorado, debe desarrollar mecanismos para aceptar, rastrear, verificar y cumplir las solicitudes de los consumidores para que puedan ejercer sus derechos de acceso, corrección y eliminación.
¿Cómo se aplica la Ley de Privacidad de Colorado?
La ley de privacidad de datos de Colorado es aplicada por el Fiscal General de Colorado y los fiscales de distrito.
Al igual que la ley de privacidad de Virginia, la CPA no ofrece un derecho de acción diferenciado para los consumidores. Antes de emprender cualquier acción coercitiva, el fiscal general o el fiscal de distrito deben emitir un aviso de infracción al controlador si se considera que es posible subsanarla.
El controlador dispone de 60 días para revisar una presunta infracción y rectificarla. Este periodo se conoce como "periodo de subsanación".
No obstante, este periodo de subsanación de 60 días dejará de existir a partir del 18 de enero de 2025.
Sanciones y multas de la Ley de Privacidad de Colorado
La violación de la CPA se considera una práctica comercial engañosa.
Las sanciones entran en el ámbito de aplicación de la Ley de Protección de los Consumidores de Colorado y oscilan entre 2.000 y 20.000 dólares por infracción.
Las infracciones de la Ley de Protección de los Consumidores de Colorado también pueden dar lugar a responsabilidad penal.
Requisitos de la Ley de Privacidad de Colorado
Para seguir cumpliendo con la CPA, asegúrese de seguir estos importantes pasos:
Mapee sus datos
Si ha determinado que su empresa no está exenta de la Ley de Privacidad de Colorado, mapee sus datos para asegurarse de que entiende cómo fluyen los datos a través de su organización.
Debe comprender qué datos está tratando y con qué fin para satisfacer las solicitudes de los interesados y determinar cuánto tiempo debe conservar esos datos en sus sistemas.
El mapeo de datos es un proceso continuo, por lo que debe realizar revisiones periódicas de los datos personales que procesa y actualizar la documentación en consecuencia.
Se recomienda encarecidamente documentar siempre por escrito las actividades de tratamiento de forma detallada y con vínculos entre los distintos datos. Para cumplir la normativa, deberá saber de dónde procede su información y cómo se utiliza.
Actualice su política de privacidad
Para cumplir con la CPA, debe revisar y actualizar sus políticas de privacidad para incluir las actividades de tratamiento de datos personales, los derechos disponibles para los consumidores e identificar los mecanismos para que los consumidores ejerzan esos derechos.
Utilizar TermlyGenerador de política de privacidad si necesitas ayuda para crear una política que se ajuste a las obligaciones de notificación de la CPA.
Realizar evaluaciones de protección de datos
Se recomienda a las empresas que realicen evaluaciones periódicas de la protección de datos.
Estas evaluaciones deben valorar cómo utiliza y procesa su empresa cualquier información privada y, lo que es más importante, los riesgos que conlleva el tratamiento de esos datos.
Algunas empresas están obligadas a realizar estas evaluaciones en virtud de la CPA, especialmente si procesan muchos datos o información personal sensible.
Implantar un mecanismo universal de exclusión voluntaria.
Los usuarios deben poder optar por no vender su información personal utilizando un mecanismo universal de exclusión, como los Controles Globales de Privacidad.
A partir del 1 de julio de 2024, las empresas deberán implantar un mecanismo de exclusión universal seleccionado por el usuario para satisfacer los requisitos técnicos de la ley de Colorado.
También es crucial implantar un mecanismo de consentimiento para recopilar datos sensibles de los consumidores.
Los controladores que recojan datos sensibles de los usuarios deben obtener una autorización certificada y explícita.
Además, las leyes de privacidad de Colorado establecen que el consentimiento no implica la aprobación de las condiciones de uso generales condiciones de uso, el uso de patrones oscuros o superposiciones, el silencio, el cierre o la desactivación de contenidos.
Por lo tanto, es posible que también tenga que desarrollar una acción explícita y afirmativa mediante la cual el consumidor manifieste su acuerdo con el tratamiento de los datos personales.
La página web, aplicación u otro medio por el que un responsable del tratamiento obtenga el consentimiento de un consumidor para tratar datos personales con fines de publicidad dirigida o venta de datos personales también debe permitir que el consumidor revoque el consentimiento con la misma facilidad con que lo otorga afirmativamente.
Nombrar a un responsable de la protección de datos
Designar un responsable de protección de datos que dirija programas de formación periódicos para garantizar que los empleados puedan atender las consultas de los consumidores de forma oportuna, coherente y que cumpla los requisitos de la CPA.
El responsable de protección de datos también se asegurará de que la política de privacidad de datos de su empresa se ajusta plenamente a la ley.
Cómo cumplir la Ley de Privacidad de Colorado
La ley de privacidad de Colorado afecta profundamente a las empresas, y tratar de navegar por esta compleja red de normas puede resultar complicado.
En Termly, nos centramos en la regulación de la privacidad de los datos y las mejores prácticas empresariales para el profesional digital moderno y hacemos que el cumplimiento de esta normativa sea más sencillo y económico.
Ofrecemos a nuestros usuarios una selección de generadores de políticas legales -que incluyen políticas de privacidad, términos y condiciones, descargos de responsabilidad, políticas de cookies, políticas de devolución y políticas de envío- y un gestor deconsentimiento de cookies para ayudar a las empresas a alinearse con la CPA y mucho más.
Póngase en contacto con nuestro equipo hoy mismo para que su empresa vaya por el buen camino.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
