Utah se ha unido a una creciente lista de estados de EE.UU. que han aprobado una ley de privacidad de datos para proteger los datos de los consumidores y darles un mayor control sobre la privacidad de los datos.
La Ley de Privacidad del Consumidor de Utah (UCPA), aprobada por la Legislatura de Utah en marzo de 2022, es similar a sus predecesoras, pero incluye algunas partes más favorables para las empresas que las leyes anteriores.
A diferencia de leyes similares aprobadas en otros estados, la ley de privacidad de datos de Utah sólo se aplica a las empresas que facturan al menos 25 millones de dólares al año y utilizan los datos de los consumidores de determinadas maneras.
La UCPA busca un término medio entre la protección de los consumidores y la sobrecarga de obligaciones para las empresas.
¿Qué significa la UCPA para su empresa? Y ¿cuándo tiene que empezar a pensar en cumplir sus exigencias?
Si ya ha empezado a tomar medidas para cumplir con las recientes leyes de privacidad de datos del consumidor en otros estados, ya está en camino de cumplir también con la nueva ley de privacidad de datos de Utah.
Para más detalles sobre la ley de protección de datos de Utah, siga leyendo.
- ¿Qué es la Ley de Privacidad del Consumidor de Utah?
- ¿Qué cubre la UCPA?
- ¿Cuáles son los requisitos de la UCPA?
- UCPA vs. CCPA vs. CDPA vs. CPA: similitudes y diferencias
- ¿Cómo afecta la UCPA a los consumidores?
- ¿Cómo afecta la UCPA a las empresas?
- ¿Quién debe cumplir la UCPA?
- ¿Cómo pueden las empresas cumplir la UCPA?
- ¿Cómo se hará cumplir la UCPA?
- Multas y sanciones en virtud de la UCPA
- Lista de control UCPA
- Resumen
¿Qué es la Ley de Privacidad del Consumidor de Utah?
La UCPA es una de las leyes de privacidad más recientes de EE.UU., aprobada por unanimidad por la Legislatura del Estado de Utah como Proyecto de Ley del Senado 227, Ley de Privacidad del Consumidor. La ley entrará en vigor el 31 de diciembre de 2023, dando tiempo a las empresas para prepararse para su cumplimiento.
La UCPA pretende proteger la privacidad de los datos de los consumidores de Utah dándoles herramientas para controlar el uso de sus datos en algunas situaciones. En virtud de la nueva legislación, los consumidores tienen derecho a:
- Averiguar si se están tratando sus datos
- Optar por que no se traten sus datos
- Solicitar copias de sus datos
- Pedir a una empresa que deje de utilizar sus datos
Sin embargo, estos derechos distan mucho de ser ilimitados, y la Legislatura de Utah estableció varias exenciones para amplias clases de datos, procesadores de datos y recopiladores de datos.
¿Qué cubre la UCPA?
La Ley de Privacidad del Consumidor de Utah cubre los datos personales de los consumidores y se aplica a las empresas que son controladoras o procesadoras de datos personales.
La ley define al encargado del tratamiento como "una persona que trata datos personales por cuenta de un responsable del tratamiento". Un controlador es "una persona que hace negocios en el estado que determina los fines para los cuales y los medios por los cuales los datos personales son procesados, independientemente de si la persona hace la determinación solo o con otros." (S.B. 227, 2022 Gen. Sess. Utah 2022)
¿Quién es un consumidor según la UCPA?
No todo el mundo es un consumidor en todas las circunstancias bajo la ley de privacidad de datos de Utah. La UCPA define al consumidor como un residente de Utah que "actúa en un contexto individual o doméstico". La legislación excluye a las personas que actúan en un contexto diferente; por ejemplo, si una persona actúa en un contexto laboral o comercial, no es un consumidor según la ley.
Cómo define la UCPA los datos personales
La UCPA define los datos personales como "información vinculada o razonablemente vinculable a un individuo identificado o identificable". Sin embargo, la ley establece excepciones a esta amplia definición. Por ejemplo, no incluye los datos que se han separado de la identidad del consumidor -denominados "datos desidentificados" o "datos agregados"- ni la información públicamente disponible.
¿Qué procesadores y controladores están cubiertos por la UCPA?
No todas las empresas que procesan o controlan datos personales están cubiertas por la legislación de protección del consumidor de Utah. Por ejemplo, muchas empresas procesan datos de forma incidental o lo hacen a menor escala sin el impacto de procesadores y controladores de datos más prolíficos.
La UCPA establece varios criterios que una empresa debe cumplir para estar cubierta. Con ello se pretende garantizar que las empresas más pequeñas, que no tienen el mismo impacto en los datos personales de los consumidores de Utah, no tengan que pasar por el mismo aro que las empresas que sí tratan datos.
Para estar cubierto como procesador o controlador en virtud de la ley de privacidad de datos de Utah, su empresa debe cumplir los siguientes criterios:
- Debe realizar negocios en Utah o dirigir sus productos o servicios a residentes de Utah.
- Debe tener unos ingresos anuales de al menos 25 millones de dólares.
- Debe tratar o controlar datos personales de al menos 100.000 consumidores, o de al menos 25.000 consumidores si la empresa obtiene más del 50% de sus ingresos de la venta de datos personales.
Sin embargo, aunque cumpla los criterios anteriores, la UCPA no le considera encargado del tratamiento o responsable del tratamiento si es una institución de enseñanza superior, una organización sin ánimo de lucro o procesa datos en el marco de un contrato con la Administración.
¿Cuáles son los requisitos de la UCPA?
La nueva ley de privacidad de datos de Utah se centra en la protección de los datos personales y en la capacidad del consumidor para controlar quién utiliza esos datos y cómo.
La UCPA:
- Exige que los responsables del tratamiento establezcan prácticas de seguridad para proteger los datos de los consumidores
- Permite a los consumidores solicitar a los responsables y encargados del tratamiento que averigüen quién tiene sus datos y obtengan copias de los mismos.
- Obliga a los responsables del tratamiento a informar a los consumidores sobre el tratamiento de sus datos personales y a ofrecerles la posibilidad de excluirse.
Prácticas de seguridad
Según la Ley de Privacidad del Consumidor de Utah, los responsables del tratamiento deben utilizar prácticas de seguridad para proteger los datos personales de los consumidores. Estas prácticas no se limitan a una sola forma, sino que incluyen medidas administrativas, técnicas y físicas.
Sin embargo, la UCPA no exige que utilice siempre las medidas de seguridad más caras y protectoras. A la hora de determinar qué tipo de medidas de seguridad son razonables en sus circunstancias, la ley le permite considerar el tamaño de su empresa, qué tipo de datos personales estarán implicados y cuántos datos personales se procesarán.
Contratos entre responsables y encargados del tratamiento
Los contratos entre los responsables y los encargados del tratamiento también están sujetos a la UCPA. La ley exige la existencia de un contrato y ordena que los contratos incluyan determinadas disposiciones.
Por ejemplo, el contrato que establece su relación debe proporcionar información clara sobre el tratamiento de los datos personales, incluidas instrucciones sobre cómo tratar los datos, qué tipo de datos se tratarán y durante cuánto tiempo. El contrato también debe indicar la finalidad del tratamiento de los datos.
Por último, el contrato debe incluir instrucciones sobre medidas de seguridad y establecer que toda persona que procese datos debe mantener la confidencialidad de los mismos.
Peticiones de los consumidores
Además de exigir a los controladores y procesadores que tomen ciertas medidas proactivas para proteger a los consumidores, la Ley de Privacidad del Consumidor de Utah otorga a los consumidores una serie de derechos.
Uno de los más básicos de estos derechos es que el consumidor puede ponerse en contacto con un responsable del tratamiento para realizar varias solicitudes:
- Confirmación: El consumidor puede preguntar si el responsable del tratamiento trata sus datos.
- Acceso: El consumidor puede solicitar acceso a los datos e incluso obtener una copia portátil de los mismos si es posible. La copia también debe ser fácilmente utilizable si es posible, y el consumidor debe poder enviar la copia de los datos a otro responsable del tratamiento con facilidad.
- Supresión: El consumidor puede solicitar que el responsable del tratamiento elimine una copia de sus datos personales.
- Exclusión voluntaria: el consumidor tiene derecho a impedir que sus datos personales se vendan o procesen para publicidad dirigida.
Un consumidor tiene que hacer la solicitud utilizando el método que elija el responsable del tratamiento. La solicitud no puede hacerse para acosar, perturbar o abrumar al responsable del tratamiento. Al hacer una solicitud, el consumidor debe decir explícitamente lo que busca.
Tras recibir la solicitud, el controlador debe hacer una de estas tres cosas:
- Actúe: Debe atender o denegar la solicitud del consumidor en un plazo de 45 días, salvo que amplíe el plazo de respuesta o considere que la solicitud del consumidor es fraudulenta y necesite tiempo para autentificarla. Si toma medidas, debe notificarlas al consumidor.
- Ampliar el plazo de respuesta: Tiene derecho a una prórroga única del plazo para responder a la solicitud. Si elige esta opción, dispondrá de 45 días más para preparar su respuesta. También debe informar al consumidor si solicita una prórroga.
- Ponga en pausa el plazo de respuesta para autenticar la solicitud: Si sospechas razonablemente que la solicitud es fraudulenta, no tienes que actuar dentro del plazo de respuesta de 45 días si necesitas más tiempo para completar la autenticación de la solicitud.
La UCPA permite a un controlador cobrar una tasa por facilitar información a un consumidor sólo en determinadas circunstancias:
- Si el consumidor ya ha presentado al menos otra solicitud en los 12 meses anteriores
- Para cubrir los costes administrativos si cree razonablemente que la solicitud no se ha realizado con un propósito adecuado, perturba o acosa a su empresa, o la solicitud es excesiva, repetitiva o difícil de responder.
Notificación a los consumidores y derecho de exclusión voluntaria
Su empresa es responsable de publicar avisos de privacidad que proporcionen a los consumidores información específica sobre sus datos personales y cómo se procesan, así como de explicar los derechos de los consumidores en virtud de la ley de privacidad de datos de Utah.
Su aviso de privacidad debe incluir la siguiente información:
- El tipo de datos personales que trata
- Finalidad del tratamiento de los datos
- Cómo puede un consumidor hacer valer sus derechos ante la ley
- Qué tipos de datos personales se comparten con otras partes
- Tipos de terceros con los que se comparten los datos
También debe notificar a los consumidores su derecho a optar por que no se procesen sus datos en determinadas circunstancias.
En primer lugar, si vende datos personales a un tercero, o los datos se van a utilizar para publicidad dirigida, tiene que informar al consumidor sobre cómo optar por que no se vendan o procesen sus datos personales para publicidad dirigida.
En segundo lugar, la UCPA exige que, si se recogen "datos sensibles", se informe claramente al consumidor de ello y se le ofrezca la posibilidad de oponerse al tratamiento de esa información. Algunos ejemplos de lo que la UCPA define como datos sensibles son:
- Carrera
- Origen nacional
- Religión
- Orientación sexual
- Ciudadanía
- Información médica
Por último, si un cliente opta por la exclusión voluntaria, no puede cobrarle más ni discriminarle por ello.
Una excepción sería si ofrece un precio más bajo a determinados clientes como parte de un programa de fidelidad o de afiliación y un precio más alto al resto de clientes. En ese caso, puede cobrar un precio más alto si el consumidor opta por no participar.
Datos de los niños
Si se sabe que el consumidor es un niño menor de 13 años, debe obtener el permiso de sus padres o tutor legal antes de procesar la información del niño. El consentimiento paterno debe ser verificable.
Además, incluso con el consentimiento paterno, sólo podrá tratar los datos de un menor conocido de forma que se cumpla la Ley de Protección de la Privacidad Infantil en Internet.
UCPA vs. CCPA vs. CDPA vs. CPA: similitudes y diferencias
Utah es el cuarto estado que aprueba una ley de protección de datos de los consumidores. California, Colorado y Virginia aprobaron sus propias leyes de privacidad de datos de los consumidores antes que Utah.
La legislación de protección del consumidor de Utah sigue el modelo de estas leyes anteriores, pero presenta algunas diferencias fundamentales. En general, la versión de Utah será probablemente algo más fácil de cumplir para las empresas que las otras.
| Ley de Privacidad del Consumidor de Utah | Ley de Privacidad del Consumidor de California | Ley de Privacidad de Colorado | Ley de Protección de Datos de los Consumidores de Virginia | |
| Requisitos de ingresos para las empresas cubiertas | Las empresas deben tener al menos 25 millones de dólares de ingresos y cumplir criterios adicionales | Tener al menos 25 millones de dólares de ingresos es sólo una de las posibles maneras de que una empresa pueda estar cubierta | Ninguno | Ninguno |
| Excluye datos agregados o desidentificados | Ambos | Sólo datos no identificados | Sólo datos no identificados | Sólo datos no identificados |
| Definición de "venta" de datos | Requiere el intercambio de dinero | Requiere un intercambio, pero no tiene por qué ser dinero. Por ejemplo, si se intercambian datos, se trata de una venta. | Requiere un intercambio, pero no tiene por qué ser dinero. Por ejemplo, si se intercambian datos, se trata de una venta. | Requiere un intercambio, pero no tiene por qué ser dinero. Por ejemplo, si se intercambian datos, se trata de una venta. |
| Contratos entre responsables y encargados del tratamiento | Tiene el menor número de requisitos | Requiere todo lo que exige la ley de Utah más condiciones adicionales. Por ejemplo, el contrato debe otorgar al responsable del tratamiento el derecho a realizar auditorías al encargado del tratamiento. | Requiere todo lo que exige la ley de Utah más condiciones adicionales | Requiere todo lo que exige la ley de Utah más condiciones adicionales |
| Derechos de inclusión o exclusión voluntaria de datos sensibles | Los consumidores pueden optar por que no se procesen sus datos sensibles, pero los responsables del tratamiento no tienen que obtener su consentimiento antes de procesar los datos. | Los responsables del tratamiento deben obtener el consentimiento del consumidor antes de tratar datos sensibles. | Los consumidores pueden optar por que no se procesen sus datos sensibles, pero los responsables del tratamiento no tienen que obtener su consentimiento antes de procesar los datos. | Los responsables del tratamiento deben obtener el consentimiento del consumidor antes de tratar datos sensibles. |
| Los consumidores pueden recurrir la decisión de una empresa de no facilitar información | No | Sí | Sí | Sí |
| Los consumidores tienen derecho a excluirse de la elaboración de perfiles | No | Sí | Algunos perfiles | Sí |
| Los consumidores pueden solicitar que se corrijan las inexactitudes en sus datos | No | Sí | Sí | Sí |
| Requisitos del proceso del responsable del tratamiento para las solicitudes de los consumidores | Ninguno - un controlador puede establecer su propio método para que un consumidor pueda hacer peticiones. | La ley establece ciertos requisitos para los métodos de solicitud de los consumidores. | Impone algunos requisitos | La ley establece ciertos requisitos para los métodos de solicitud de los consumidores. |
| Derecho de acción privada | No, el fiscal general del Estado es el único que puede interponer una demanda si una empresa infringe la ley. | Sí, un consumidor puede demandar directamente a una empresa por infracciones. | No, el fiscal general del Estado es el único que puede interponer una demanda si una empresa infringe la ley. | No, el fiscal general del Estado es el único que puede interponer una demanda si una empresa infringe la ley. |
| El consumidor tiene derecho a solicitar la supresión de sus datos personales | Sí | Sí | Sí | Sí |
¿Cómo afecta la UCPA a los consumidores?
Los consumidores de Utah se verán afectados por la Ley de Privacidad del Consumidor de Utah. Tendrán acceso a más detalles que nunca sobre sus datos personales, incluyendo:
- Cómo se tratan sus datos personales
- Quién tiene acceso a sus datos personales
- Cómo se utilizan sus datos personales
- Por qué se tratan sus datos personales
- Los datos específicos que se han recogido
Este acceso por sí solo será significativo, ya que la mayoría de las personas nunca han tenido tal acceso antes. Una encuesta realizada por el Pew Research Center en 2019 reveló que más de la mitad de los estadounidenses entiende muy poco sobre lo que hacen las empresas con los datos de los consumidores que recopilan.
La posibilidad de optar por que no se procesen y vendan los datos personales también es importante. La misma encuesta de Pew reveló que más del 80% de los estadounidenses no se sienten cómodos con la falta de control sobre sus datos personales. Otorgarles el derecho a optar por que no se procesen sus datos es una buena manera de abordar parte de ese malestar.
¿Cómo afecta la UCPA a las empresas?
Si la UCPA afecta a su empresa, se verá muy afectado. Estas son algunas de las medidas importantes que tendrá que tomar:
- Asegúrese de que dispone de prácticas de seguridad para proteger los datos de los consumidores
- Revise sus contratos que impliquen el tratamiento de datos de los consumidores para asegurarse de que cumplen los requisitos de la ley.
- Crear un aviso de privacidad para los consumidores
- Establecer una vía para que los consumidores puedan optar por que no se traten sus datos personales en determinadas circunstancias.
- Establecer un proceso para que los consumidores puedan solicitar información sobre cómo se utilizan sus datos, así como un proceso para autentificar y responder a estas solicitudes.
Como la ley no entra en vigor hasta diciembre de 2023, tiene tiempo para prepararse. Es posible que muchas empresas ya la estén cumpliendo. Dos estados cercanos - California y Colorado - ya han aprobado leyes de privacidad de datos, por lo que si su empresa se adhiere a esas leyes, es posible que ya cumpla con algunas de las nuevas regulaciones de Utah.
Incluso las empresas que la UCPA no cubre pueden sentir cierta presión para aplicar algunas de las medidas exigidas por la ley, ya que los consumidores empiezan a esperar un mayor control sobre la forma en que se procesan sus datos personales.
¿Quién debe cumplir la UCPA?
Las empresas definidas como responsables o encargados del tratamiento con arreglo a la UCPA deben cumplir la ley. Su empresa es responsable o encargada del tratamiento si cumple estos criterios:
- Realiza negocios en Utah o dirige sus productos o servicios a residentes de Utah.
- Sus ingresos anuales son de al menos 25 millones de dólares.
- Trata o controla datos personales de al menos 100.000 consumidores, o de al menos 25.000 consumidores si la empresa obtiene más del 50% de sus ingresos de la venta de datos personales.
¿Hay exenciones?
Sí. No necesita cumplir la UCPA si procesa datos como contratista de la Administración o su organización es una organización sin ánimo de lucro o una institución de enseñanza superior.
¿Cómo pueden las empresas cumplir la UCPA?
Si su empresa cumple los requisitos para ser responsable o encargado del tratamiento según la ley de privacidad de datos de Utah, tiene hasta el 31 de diciembre de 2023 para cumplirla. Muchas empresas estarán cubiertas por las leyes de privacidad de datos aprobadas en California y Colorado. En la mayoría de los casos, si cumple con estas otras leyes estatales, también cumplirá con la UCPA.
Aspectos clave que debe preparar ahora:
- Revise todos los contratos que tenga con su procesador o controlador para asegurarse de que cumplen los requisitos de la UCPA.
- Empiece a redactar sus avisos de privacidad y sus botones de inclusión/exclusión.
- Empiece a redactar sus políticas sobre cómo gestionará las solicitudes de los consumidores. Aspectos a tener en cuenta ¿Cómo presentarán las solicitudes los consumidores? ¿Cómo las autenticará? ¿Quién gestionará las solicitudes y determinará las medidas que deben tomarse? ¿Cómo entregará a los consumidores una copia de sus datos?
- Revise sus prácticas de seguridad de los datos de los consumidores para asegurarse de que cumplen la UCPA.
¿Cómo se hará cumplir la UCPA?
La Ley de Privacidad del Consumidor de Utah sólo puede ser aplicada por el fiscal general del estado. No existe un derecho de acción privado como el de la CCPA, por lo que los propios consumidores no pueden interponer una demanda por infracción.
La UCPA autoriza a la División de Protección del Consumidor de Utah (DCP) a establecer un sistema para recibir quejas de los consumidores, y la DCP también puede investigar esas quejas. Si la DCP llega a la conclusión de que se ha producido una infracción, puede remitir el asunto al fiscal general para su aplicación.
Sin embargo, antes de emprender acciones legales contra una empresa por incumplimiento de la UCPA, el fiscal general debe notificar por escrito a la empresa la disposición que ha infringido y darle al menos 30 días para rectificar su infracción.
Si la empresa responde dentro del plazo con una notificación por escrito explicando cómo se ha abordado la infracción, el fiscal general no puede iniciar una acción de ejecución a menos que la empresa siga infringiendo la ley.
Multas y sanciones en virtud de la UCPA
Los infractores de la Ley de Privacidad del Consumidor de Utah pueden estar sujetos a dos formas de multas o sanciones:
- Los daños reales causados al consumidor por la infracción de la ley por parte de la empresa.
- Una multa máxima de 7.500 dólares por infracción
Antes de imponer multas o sanciones, el fiscal general debe presentar una demanda contra la empresa ante los tribunales, y debe ganarla.
Lista de control UCPA
Haga clic en la siguiente imagen para ver nuestra lista de comprobación de la Ley de Privacidad del Consumidor de Utah:
Resumen
Al igual que sus predecesoras en California, Colorado y Virginia, la Ley de Protección de la Intimidad de los Consumidores de Utah da pasos importantes para empezar a proteger los datos personales de los consumidores. Pero también lo hace de forma que proteja a las empresas.
El senador Kirk Cullimore, promotor de la Ley de Privacidad del Consumidor de Utah, anunció que el estado actual de la ley pretende ser un punto de partida. En función de cómo funcione la ley, podría haber futuras modificaciones, sobre todo porque el fiscal general de Utah y la División de Protección del Consumidor deben presentar un informe de evaluación de su eficacia antes del 1 de julio de 2025.
Pruebe gratis Termly
Termly es una solución fácil de usar para el cumplimiento de la privacidad de los datos y gestión del consentimiento.
Sabemos que mantenerse al día con las complejas leyes de privacidad de datos puede ser confuso y llevar mucho tiempo; por eso hacemos el trabajo duro por usted.
Pruebe GRATIS nuestros generadores de políticas legales y soluciones de cookies gestión del consentimiento .
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido responsable de protección de datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implantar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, LPRPDE, Directiva Sobre Privacidad Electrónica, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
