Ley de Privacidad de Datos Personales de Michigan: Primer vistazo y resumen

La Ley de Privacidad de Datos Personales de Michigan es un proyecto de ley muerto que se tramitó en el Senado de Michigan en 2023 y cuyo objetivo era crear derechos de privacidad para los consumidores y obligaciones para las empresas en relación con la venta y el tratamiento de datos personales.

Aunque esta ley no se aprobó, resumí cómo era y cómo habría afectado a las empresas si se hubiera convertido en ley.

ACTUALIZACIÓN: La MPDPA no se convirtió en ley y Michigan sigue sin tener una ley de privacidad de datos de los consumidores en vigor. 

Índice

1. ¿Qué es la Ley de Privacidad de Datos Personales de Michigan?
2. ¿Qué cubre la Ley de Privacidad de Datos Personales de Michigan?
3. Requisitos de la Ley de Protección de Datos Personales de Michigan
4. ¿Cómo afectaría la APDP a las empresas?
5. ¿Cómo afectaría la APDP a los consumidores?
6. ¿Quién debe cumplir la Ley de Protección de Datos de Michigan?
7. ¿Cómo se aplicaría la APDP?
8. Multas y sanciones en virtud de la Ley de Protección de Datos de Michigan
9. Resumen

¿Qué es la Ley de Privacidad de Datos Personales de Michigan?

La Ley de Privacidad de Datos Personales de Michigan era un proyecto de ley que pretendía establecer derechos de privacidad para los consumidores de Michigan y presentaba requisitos que las entidades tendrían que seguir en relación con el tratamiento y venta de datos personales. 

La senadora demócrata Rosemary Bayer presentó inicialmente el proyecto de ley 1182 del Senado en septiembre de 2022, posteriormente denominado Ley de Privacidad de Datos Personales de Michigan. 

A continuación se remitió a la Comisión de Energía y Tecnología del Senado, y finalmente murió sobre la mesa. 

¿Qué cubre la Ley de Privacidad de Datos Personales de Michigan?

Según el texto del proyecto, si la Ley de Privacidad de Datos Personales de Michigan se hubiera convertido en ley, habría cubierto a los consumidores, tal y como se definen para usted en la captura de pantalla siguiente:

 

Los requisitos de protección de la intimidad que esbozaba se habrían aplicado a cualquier persona -es decir, un particular, una sociedad, una corporación, una sociedad de responsabilidad limitada, una asociación, una entidad gubernamental u otra entidad jurídica- que realice actividades comerciales en Michigan o fabrique productos o servicios destinados a los residentes de Michigan y cumpla alguna de las siguientes condiciones:

• Controla o procesa datos personales de al menos 100.000 consumidores
• Controla o procesa datos personales de al menos 25.000 consumidores y obtiene más del 50% de sus ingresos brutos anuales de la venta de datos personales.

Requisitos de la Ley de Protección de Datos Personales de Michigan

La Ley de Privacidad de Datos Personales de Michigan establece los siguientes requisitos para las empresas:

• Publicar una política de privacidad clara y accesible para los consumidores
• Ofrecer opciones de consentimiento para el tratamiento de todos los datos personales
• Realización de evaluaciones de impacto sobre la protección de datos para tratar datos personales sensibles
• Obligaciones contractuales relativas a terceros encargados del tratamiento de datos  
• Requisitos de registro para los intermediarios de datos

Avisos de confidencialidad para los consumidores

En virtud de la PDPA de Michigan, las empresas habrían estado obligadas a publicar una política de privacidad exhaustiva que explicara a los consumidores toda la información siguiente, como se indica en el apartado 3 del artículo 7 del proyecto de ley:

• Finalidad del tratamiento de datos personales
• Cómo puede un consumidor ejercer sus derechos y cómo recurrir una decisión del responsable del tratamiento relativa a las solicitudes de los consumidores.
• Categorías de datos personales que el responsable del tratamiento comparte con terceros
• Categorías de terceros con los que el responsable del tratamiento comparte datos personales
• Que un responsable o encargado del tratamiento pueda utilizar datos personales para llevar a cabo investigaciones internas con el fin de desarrollar, mejorar o reparar productos, servicios o tecnología si el responsable o encargado que consulta dicha investigación obtiene el consentimiento del consumidor y mantiene las mismas medidas de seguridad que se exigirían de otro modo.

También exigía a las empresas que establecieran y describieran una o varias vías seguras y fiables para que los consumidores pudieran presentar una solicitud para ejercer sus derechos.

Consentimiento expreso para el tratamiento de todos los datos personales

Si se hubiera aprobado, la Ley de Privacidad de Datos de Michigan habría otorgado a los consumidores derechos de consentimiento expreso para el tratamiento de cualquier dato personal.

En concreto, el artículo 7(1)(a) de la PDPA de Michigan establecía que:

"Un responsable del tratamiento no deberá... tratar datos personales o datos personales sensibles relativos a un consumidor sin obtener el consentimiento de éste..." 

La captura de pantalla siguiente muestra cómo define el consentimiento la PDPA de Michigan:

El proyecto de ley decía entonces que las empresas habrían tenido que limitar la recogida de datos personales a lo que fuera adecuado, pertinente y razonablemente necesario para procesar la información comunicada al consumidor. 

Evaluaciones de impacto de la protección de datos

Si la PDPA se hubiera convertido en ley, las entidades que recogen y procesan determinados tipos de datos habrían estado obligadas a realizar una evaluación de impacto sobre la protección de datos, tal y como se describe en el artículo 11(2) del proyecto de ley.

Las entidades que recogieran y trataran datos personales tal y como se definen en los 5 puntos siguientes del texto del proyecto de ley habrían estado obligadas a realizar evaluaciones de impacto sobre la protección de datos:

La evaluación de impacto de la protección de datos habría tenido que identificar y sopesar los beneficios frente a los riesgos asociados para los derechos del consumidor relacionados con el tratamiento de datos sensibles, atenuados por las salvaguardias empleadas por el responsable del tratamiento para reducir esos riesgos.

Habría ampliado la ya vigente Ley de Notificación de Vulneración de Datos de Michigan, que actualmente establece que las entidades deben notificar a los consumidores sin demora injustificada cualquier vulneración de datos o filtración de nombres y apellidos en combinación con:

• Números de la seguridad social
• Números de carné de conducir o de identificación estatal
• Números de cuentas financieras o tarjetas de pago en combinación con cualquier código o contraseña que permita el acceso a la cuenta.

Obligaciones contractuales 

Si esto se hubiera convertido en ley, se habría exigido a las empresas que establecieran contratos con terceros encargados del tratamiento de datos que garantizaran todo lo siguiente: 

• Garantizar que toda persona que trate datos esté sujeta al deber de confidencialidad con respecto a los mismos.
• Suprimir o devolver todos los datos al responsable del tratamiento cuando éste lo solicite, a discreción del responsable del tratamiento, a menos que la ley exija su conservación.
• Poner a disposición del responsable del tratamiento toda la información que obre en su poder y que sea necesaria para demostrar el cumplimiento por parte del encargado del tratamiento de las obligaciones establecidas en la ley.
• Exigir al encargado del tratamiento que suprima o le devuelva a usted, como responsable del tratamiento, todos los datos personales solicitados al término de la prestación de servicios, siguiendo sus instrucciones.
• El encargado del tratamiento debe estar obligado a "contratar a cualquier subencargado del tratamiento en virtud de un contrato escrito de conformidad con el apartado (3) que exija al subencargado cumplir las obligaciones del encargado del tratamiento con respecto a los datos personales", según el artículo 11(2)(e).

Registro de intermediarios de datos 

Otro posible requisito interesante de la PDPA de Michigan habría afectado a los intermediarios de datos, ya que este proyecto de ley habría exigido que cualquier intermediario se registrara en la oficina del Fiscal General o se enfrentaría a posibles multas de hasta 100 dólares al día.

La siguiente captura de pantalla muestra cómo el proyecto de ley definido corredor de datos:

 

La Ley de Privacidad de Datos Personales de Michigan comparada con otras propuestas de ley

Otros dos estados, Ohio y Pensilvania, también tienen actualmente proyectos de ley sobre privacidad de datos similares a la PDPA de Michigan que se encuentran en los comités de la Cámara de Representantes.

Analicemos cada uno de ellos con más detalle.

Ley de privacidad personal de Ohio 

En Ohio, la Ley de Privacidad Personal de Ohio, o House Bill 376, fue patrocinada por 10 legisladores republicanos y actualmente se encuentra en el Comité de Normas y Referencia.

Esta ley se aplicaría a cualquier entidad con ánimo de lucro que haga negocios en Ohio o se dirija a consumidores de Ohio que cumplan una de las siguientes condiciones:

• Tener unos ingresos anuales de más de 25 millones de dólares generados en Ohio
• Controla o procesa los datos personales de 100.000 o más consumidores en un año natural
• Obtiene el 50% de sus ingresos de la venta de datos personales y procesa o controla los datos personales de 25.000 consumidores o más.

De aprobarse, otorgaría a los consumidores el derecho a:

• Acceder a datos personales
• Solicitud de supresión de datos personales
• Exclusión voluntaria del tratamiento o difusión de datos personales
• Solicitar una copia portátil de sus datos personales
• Exclusión voluntaria de la venta de datos personales  

Proyectos de ley de la Cámara de Pensilvania

En Pensilvania hay actualmente tres proyectos de ley sobre privacidad de datos similares al de Michigan, dos titulados Ley de Privacidad de Datos de los Consumidores (House Bills 2202 y 1126) y uno denominado Ley de Protección de Datos de los Consumidores (House Bill 2257).

En el cuadro siguiente se comparan los tres proyectos de ley vigentes en Pensilvania.

¿Cómo afectaría la APDP a las empresas?

La Ley de Privacidad de Datos Personales de Michigan, de haberse promulgado, habría afectado a las empresas obligándolas a hacer todo lo siguiente:

• Publicar un aviso de confidencialidad para los consumidores
• Establecer, rastrear y respetar las opciones de consentimiento de los consumidores (opt-out y opt-in).
• Realizar evaluaciones de impacto sobre la protección de datos 
• Cumplir las obligaciones contractuales relativas a terceros procesadores de datos

¿Cómo afectaría la APDP a los consumidores?

Los consumidores habrían obtenido diferentes derechos de privacidad de datos en virtud de la PDPA de Michigan, incluidos los siguientes:

• Derecho a la intimidad
• Derecho de exclusión
• Derechos de inclusión

¿Quién debe cumplir la Ley de Protección de Datos de Michigan?

La Ley de Privacidad de Datos Personales de Michigan se habría aplicado a cualquier persona que realice negocios en Michigan o que fabrique productos o servicios dirigidos a residentes de Michigan. 

A continuación, la captura de pantalla muestra cómo el proyecto de ley define legalmente a la persona:

 

También tendría que haber alcanzado alguno de los siguientes umbrales:

• Controla o procesa datos personales de al menos 100.000 consumidores
• Controla o procesa datos personales de al menos 25.000 consumidores y obtiene más del 50% de sus ingresos brutos anuales de la venta de datos personales.

Esto significa que, como muchas otras leyes de protección de datos en todo el mundo, esta ley habría tenido un alcance extraterritorial y se habría aplicado a empresas fuera del territorio de Michigan.  

¿Quién está exento de la Ley de Protección de Datos Personales de Michigan?

Todas las instituciones siguientes estaban exentas de la Ley de Privacidad de Datos Personales de Michigan: 

• Entidades financieras sujetas a la Ley Gramm-Leach-Bliley
• Entidades cubiertas y regidas por la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA)
• Datos autorizados y regulados que entran en el ámbito de aplicación de la Ley de Información Crediticia Equitativa (Fair Credit Reporting Act)

En cuanto a los consumidores, cualquier persona en Michigan en un contexto laboral o comercial no habría estado cubierta por la PDPA de Michigan. 

¿Cómo se aplicaría la APDP?

La oficina del Fiscal General de Michigan habría hecho cumplir la PDPA y habría dado a las entidades un plazo de notificación por escrito de 30 días para subsanar o corregir cualquier infracción.

Sin embargo, a diferencia de la CCPA/CPRA, la PDPA de Michigan no otorgaba a los usuarios el derecho a emprender acciones privadas.  

Multas y sanciones en virtud de la Ley de Protección de Datos de Michigan

Las sanciones de la PDPA incluían multas no superiores a 7.500 dólares por cada infracción no subsanada en un plazo de 30 días a partir de la notificación.  

Si la infracción hubiera consistido en que un intermediario de datos no se hubiera registrado debidamente ante el Fiscal General, la multa podría haber sido de hasta 100 dólares al día. 

Resumen

La PDPA de Michigan es ahora un proyecto de ley de privacidad de datos fallido, pero su alcance era similar al de otras leyes de privacidad estatales estadounidenses que se han aprobado y han entrado en vigor, como la CDPA de Virginia y las enmiendas de la CPRA a la CCPA.

La buena noticia es que, en Termly, siempre estamos al día, por lo que estamos siguiendo las leyes y proyectos de ley la Ley de Protección de Datos Personales de Michigan para usted, ya que viaja a través de los gobiernos estatales. 

Más sobre el autor

Escrito por Ali Talip Pınarbaşı, CIPP/E, & LLM

Ali es un abogado especializado en derecho de la privacidad de datos con sede en Londres y con un máster en derecho de la privacidad de la UE en el King's College de Londres. Cuenta con seis años de experiencia asesorando a empresas sobre cómo cumplir las leyes de protección de datos. Más sobre el autor