VCDPA: Explicación de la Ley de Protección de Datos de los Consumidores de Virginia

La Ley de Protección de Datos de los Consumidores de Virginia (VCDPA, por sus siglas en inglés) se promulgó en 2021 y está diseñada para ofrecer una mayor protección de datos a sus consumidores, con recursos administrativos en caso de infracción.

Virginia es uno de los cuatro estados de EE. UU. que desarrollará una ley integral de protección de datos para sus residentes, similar a la Ley de Privacidad del Consumidor de California (CCPA) de 2018 y su Ley complementaria de Derechos de Privacidad y Aplicación de California (CPRA) de 2020. Los otros dos estados con leyes de privacidad de datos son Utah y Colorado.

Aunque la VCDPA no entra en vigor hasta el 1 de enero de 2023, es importante determinar su futura aplicabilidad a su empresa para evitar sanciones potencialmente costosas.

Siga leyendo para saber más sobre la VCDPA y lo que debe hacer para cumplirla. En concreto, veremos cómo afecta a los consumidores, quién debe cumplir la ley, cómo pueden cumplirla las empresas y cómo se aplicará la ley.

¿Qué es la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)?

La VCDPA es una ley de protección de datos de Virginia que da a los consumidores más control sobre la información personal que las empresas recopilan sobre ellos y orienta a las empresas sobre cómo aplicar medidas de privacidad mejoradas. Actualmente es una de las cuatro leyes de protección de datos aprobadas en Estados Unidos.

La VCDPA regula la forma en que las empresas pueden tratar la información personal vinculada o razonablemente vinculable a una persona física identificada o identificable residente en Virginia.

Para los consumidores, la VCDPA concede derechos específicos relacionados con el uso de sus datos personales vinculables. Entre ellos figura el derecho a:

• Acceder a sus datos personales
• Corregir los datos personales
• Solicitud de supresión por parte de las empresas
• Obtener una copia de los datos personales
• Exclusión voluntaria del tratamiento de datos personales
• Exclusión voluntaria de publicidad y ventas selectivas
• No discriminación por ejercer derechos
• Presentar una denuncia por violación de derechos

¿Cuáles son los requisitos de la VCDPA?

Los requisitos de la VCDPA se refieren específicamente al modo en que su empresa recopila y procesa la información y los datos personales de los consumidores.

Para cumplir los requisitos de la VCPDA, su empresa debe presentar y explicar todos los derechos disponibles de los consumidores de forma clara y accesible. Además, su empresa debe establecer un proceso de comunicación con el consumidor, obtener su consentimiento cuando sea necesario y ser totalmente transparente sobre cómo comparte y vende los datos personales de un consumidor.

Estas nuevas normas establecen cómo puede su empresa obtener, revelar, utilizar, compartir, almacenar, vender, procesar o controlar los datos de los consumidores y la información personal que recopila. También obliga a las empresas a realizar evaluaciones de protección de datos en relación con el tratamiento de datos personales para publicidad dirigida y otros fines de venta.

Requisitos de los consumidores

Para cumplir los requisitos de umbral de la VCDPA, debe realizar negocios en Virginia o producir productos o servicios dirigidos a residentes de Virginia - esto puede abarcar un gran número de empresas.

Por ejemplo, si su sitio web global se dirige a consumidores de todo Estados Unidos, esto incluiría a los residentes de Virginia. También debe cumplir la VCDPA si su sitio web con sede en la UE se dirige a consumidores de la UE, el Reino Unido y Estados Unidos, aunque tenga relativamente pocos usuarios estadounidenses en comparación con los de la UE y el Reino Unido.

Los requisitos restantes tienen que ver con el número de consumidores afectados por sus prácticas comerciales durante un año natural y si usted:

• Controlar o tratar los datos personales de al menos 100.000 consumidores
• Controla o trata los datos personales de 25.000 consumidores y obtiene más del 50% de sus ingresos brutos de la venta de datos personales

Definición de datos personales

La VCDPA define los datos personales como cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable.

La VCDPA define los datos personales que deben protegerse:

• Nombres
• Direcciones
• Números de la seguridad social
• Permiso de conducir
• Datos precisos de geolocalización

La información personal sensible incluye:

• Origen racial o étnico
• Convicciones religiosas o políticas
• Datos genéticos o biométricos
• Ciudadanía o estatuto de inmigrante
• Orientación sexual
• Datos recogidos de niños conocidos

Política de protección de datos

La política de privacidad suele comenzar con el hecho de que se recogen datos, seguido de una explicación detallada de los tipos de datos que una empresa puede recoger y el derecho de los consumidores a acceder a ellos y controlarlos.

La VCDPA le exige que incluya lo siguiente en un aviso de privacidad claro, razonablemente accesible y significativo que especifique:

• Finalidad del tratamiento de datos personales
• Categorías de datos tratados
• Categorías de datos compartidos con terceros
• Categorías de datos vendidos a terceros
• Revela las categorías de los propios terceros
• Explica cómo pueden presentarse las solicitudes de los consumidores
• Proporciona un mecanismo para recurrir las decisiones relacionadas con las solicitudes de los consumidores
• Revela claramente el tratamiento de datos personales con fines de publicidad dirigida.
• Derecho a excluirse voluntariamente del tratamiento de datos

Consentimiento

La VCDPA exige a las empresas obtener el consentimiento explícito y afirmativo de los consumidores, indicando su acuerdo informado e inequívoco con el tratamiento de sus datos personales.

Las empresas pueden obtener el consentimiento haciendo que los consumidores muestren su conformidad con el tratamiento de sus datos personales. Esto suele hacerse pidiendo a los consumidores que:

• Marque una casilla electrónica en blanco
• Escriba una declaración por escrito: "Acepto que [nombre de la empresa] procese mis datos personales".

Su empresa debe tener cuidado al tratar con niños. Mientras que el consentimiento es expresamente necesario cuando se procesan datos sensibles de un consumidor, la información de un niño debe cumplir con la ley federal Children's Online Privacy Protection Act (COPPA).

Consentimiento voluntario

Los datos personales pueden recogerse y compartirse para cualquier fin siempre que se notifique al consumidor y éste dé su consentimiento voluntario.

En otras palabras, el consumidor debe poder elegir por sí mismo. Por ejemplo, si utiliza una casilla de verificación para obtener su consentimiento, debe proporcionar una casilla en blanco que el consumidor pueda marcar. Una casilla de verificación en blanco les permite "aceptar" sus términos y condiciones.

En cambio, si se ofrece a los consumidores una casilla marcada de antemano, ya se ha hecho la elección por ellos.

Mantenimiento de registros

La Ley de Protección de los Consumidores de Virginia no impone requisitos significativos de mantenimiento de registros, aparte de la documentación de las evaluaciones de protección de datos. Sin embargo, éstas pueden resultar engorrosas, ya que exigen que cada empresa realice y documente una evaluación de la protección de datos para:

• Tratamiento de datos personales con fines de publicidad selectiva
• Venta de datos personales
• Tratamiento de datos personales para la elaboración de perfiles
• Tratamiento de datos sensibles
• Cualquier actividad de tratamiento de datos personales que suponga un mayor riesgo de perjuicio para los consumidores.

Procedimiento de recurso

Si entra dentro de los parámetros de la VCDPA, su empresa debe establecer un proceso para gestionar las solicitudes de los consumidores y las apelaciones de las decisiones.

Debe responder a una solicitud autentificada de derechos del consumidor en un plazo de 45 días. Si el consumidor desea recurrir la decisión adoptada, todo el proceso de recurso debe concluir en un plazo de 45 días desde su recepción.

Durante ese tiempo, se permite un periodo de gracia de 45 días adicionales cuando sea razonablemente necesario.

Además, su empresa debe proporcionar un mecanismo -en línea, si está disponible- para ponerse en contacto con la oficina de la Fiscalía General de Virginia para que un consumidor presente una queja si su solicitud de apelación es denegada.

Si un método en línea no está disponible, debe proporcionar otro método para ponerse en contacto con la AG de Virginia.

VCDPA frente a CCPA/CPRA: similitudes y diferencias

La ley del consumidor de VA se creó siguiendo la estela de las leyes de privacidad de datos de California. Esas leyes iniciales crearon la ley de privacidad de datos y derechos del consumidor digital más estricta de Estados Unidos. Virginia ha incorporado lo mejor de estas leyes para crear una ley integral de protección de datos de Virginia que es a la vez clara y accesible.

Repasemos las políticas de California.

Ley de Privacidad del Consumidor de California (CCPA)

El 1 de enero de 2020, la Ley de Privacidad del Consumidor de California (CCPA) se convirtió en ley en California y estableció normas y reglamentos sobre cómo manejar la información de identificación personal de los residentes de California.

La CCPA se centra principalmente en las leyes de privacidad que exigen que usted presente un política de cookies que explique las cookies que recopila y almacena y cómo usted o terceros pueden utilizarlas.

Actualmente, debe cumplir las normas de la CCPA si su empresa cumple alguna de las siguientes condiciones:

• Ingresos brutos anuales superiores a 25 millones de dólares
• Comprar, recibir o vender información personal de 50.000 o más residentes, hogares o dispositivos de California.
• Obtener al menos el 50% de los ingresos anuales de la venta de información personal de residentes en California

Ley de Derechos de Privacidad de California (CPRA)

En noviembre de 2020, se puso en marcha un suplemento a la CCPA que sirvió para modificar los requisitos de la ley de privacidad de datos en California.

La Ley de Derechos de Privacidad de California (CPRA, por sus siglas en inglés) es una poderosa ley de privacidad de datos que afecta a los requisitos de privacidad y notificación de todos los sitios web que puedan estar dirigidos o ser accesibles a los consumidores en California.

La CPRA no sustituye a la CCPA, sino que la modifica para beneficiar a los consumidores aumentando sus derechos y delimitando plenamente los requisitos de cumplimiento de las empresas. Tanto la VCDPA como las modificaciones de la CPRA entrarán en vigor el 1 de enero de 2023.

Para la ERPI, cambiarán dos requisitos significativos:

• Aumento del umbral aplicado al tratamiento de datos personales de 50.000 residentes en California a 100.000.
• El intercambio de información se tratará como datos personales protegidos, en lugar de limitarse a comprar, recibir o vender.

La VCPDA también exige información sobre el tratamiento y el uso de datos personales compartidos.

En una interesante adición a la CPRA, cualquier dato recogido por las empresas a partir del 1 de enero de 2022 estará sujeto al cumplimiento de la CPRA. Esta adición se denomina periodo de retrospectiva para verificar que los datos personales se han tratado correctamente. La VCPDA no incluye un periodo de retrospectiva.

Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)

Tras el apéndice y la ampliación de California, la VCDPA parece haber tomado lo mejor de lo que ofrecen estas otras leyes. Es concisa, clara y aclara ciertas excepciones a su normativa.

Ingresos anuales

Las leyes de protección del consumidor de Virginia se aplicarán a su empresa si maneja o controla los datos personales de 100.000 residentes de Virginia o maneja o controla los datos personales de 25.000 residentes de Virginia y obtiene el 50% de sus ingresos brutos de la venta de datos personales.

En cuanto a los ingresos anuales y el alcance del cumplimiento, la VCDPA está más cerca de la CPRA en sus requisitos de umbral, ya que ha añadido el intercambio a sus requisitos de divulgación y notificación de privacidad.

Dado que el intercambio de información está tan extendido, esto afectará sin duda a muchas empresas de Virginia.

Actividad en Internet

A diferencia de los requisitos de California, la ley de protección de datos de los consumidores de Virginia no añade los dispositivos a su clase de información protegida, y no está claro si la actividad en Internet está protegida. Esta actividad incluiría el historial de navegación en línea, el historial de búsqueda y las direcciones IP que podrían rastrearse hasta el dispositivo de un consumidor y, potencialmente, vincularse a su identidad.

"Página "No vender/compartir mis datos

En la actualidad, la VCDPA no exige que se informe a los consumidores de que se están vendiendo o compartiendo sus datos personales. Sin embargo, sí exige un aviso de privacidad en el que se explique cómo oponerse al tratamiento de sus datos personales y a la publicidad y ventas selectivas.

Se trata de un requisito menos engorroso que la obligación de colocar enlaces visibles en sus páginas.

En virtud de la CPRA modificada, si su empresa comparte o divulga información personal a terceros para publicidad conductual de contexto cruzado, los consumidores deben ser informados. Si bien es cierto que la VCPDA exige la notificación y la opción de exclusión voluntaria, cuando la CPRA entre en vigor, exigirá un enlace explícito y perceptible que diga "No compartir mi información personal" y otro titulado "Limitar el uso de mi información personal sensible."

Si su empresa procesa datos de identificación personal de residentes en California, además de otros requisitos de umbral, también puede estar sujeta a estas leyes.

Ejecución

Al igual que las leyes de privacidad de datos de California, la ley de privacidad de datos de Virginia otorga a la oficina del Fiscal General la autoridad para hacer cumplir la ley en su estado.

La enmienda de la CPRA a la CCPA refuerza la autoridad de aplicación al establecer una nueva agencia gubernamental para hacer cumplir sus leyes de privacidad de datos, denominada Agencia de Protección de la Privacidad de California (CPPA).

Virginia no cuenta con una agencia independiente que gestione y haga cumplir las reclamaciones de los consumidores.

Además, a diferencia de la CCPA, la VCDPA establece expresamente que los consumidores no tienen un derecho de acción privado como el de la CCPA para demandar a las empresas por supuestas infracciones. En su lugar, deben solicitar su aplicación a través de la Fiscalía General.

¿Cómo afecta la VCDPA a los consumidores?

La VCDPA proporciona a los consumidores herramientas para proteger la información y los datos personales que comparten con las empresas. Sin embargo, solo afecta a determinadas categorías de consumidores.

Un consumidor protegido en virtud de la VCDPA se define como una persona física residente en la Commonwealth de Virginia que actúa únicamente a título individual o doméstico.

Esta definición significa que las obligaciones que la VCDPA impone a las empresas no se extienden a quienes actúan en un contexto comercial o laboral.

Los datos personales también se clasifican en categorías, y consisten en cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable. Esto no incluye ningún dato que haya sido previamente desidentificado o cualquier información ya disponible públicamente.

¿Cómo afecta la VCDPA a las empresas?

La VCPDA exige a las empresas que sean más transparentes en el manejo de la información y los datos personales de los consumidores. Esta nueva ley de privacidad de datos de Virginia afecta al modo en que las empresas obtienen, utilizan, acceden, almacenan, divulgan o comparten la información personal de sus clientes.

Las empresas tendrán que desarrollar procesos y controles de protección de datos más sólidos para responder con rapidez tanto a las solicitudes como a las reclamaciones de los consumidores. De este modo, la VCDPA afecta específicamente al método de comunicación entre su empresa y sus clientes.

¿Quién debe cumplir la VCDPA?

Su empresa debe cumplir con la VCDPA si realiza negocios en Virginia o dirige sus productos y servicios a residentes de Virginia.

Además, el cumplimiento depende del número de consumidores afectados. Como mínimo, su empresa debe controlar o tratar los datos personales de al menos:

• 100.000 consumidores durante un año civil
• 25.000 consumidores cuando el 50% de sus ingresos brutos proceden de la venta de datos personales

¿Hay exenciones?

Sí, la VCDPA prevé excepciones a sus requisitos en función del tipo de empresa o entidad de que se trate y de los tipos de información y datos que recoja.

Exenciones para empresas o entidades:

• Bancos o instituciones financieras
• Agencias estatales
• Organizaciones sin ánimo de lucro
• Colegios y universidades

Exenciones para determinadas informaciones y datos:

• Empresas que actúan en contextos comerciales o laborales
• Información sanitaria protegida en virtud de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA)
• Datos personales regulados por la Ley de Privacidad y Derechos Educativos de la Familia (FERPA)
• Información y datos relacionados con los informes de crédito, regulados por la ley federal Fair Credit Reporting Act (FCRA)
• Información y datos relacionados con la información de los conductores de vehículos, según lo regulado por la Ley federal de protección de la intimidad de los conductores de 1994.
• Información y datos sujetos al Título V de la Ley Gramm-Leach-Bliley (15 U.S.C. § 6801 y siguientes), que regula en gran medida los bancos y las instituciones financieras.

¿Cómo pueden las empresas cumplir la VCDPA?

Las empresas pueden cumplir la VCDPA siendo transparentes sobre los datos y la información personal que recopilan. Además, deben esbozarse pasos y procedimientos claramente visibles y accesibles para todos los consumidores.

Si su empresa está sujeta a la VCDPA, tendrá que desarrollar y aplicar nuevas políticas y procedimientos para garantizar que sus programas de supervisión, comprobación o auditoría se ajustan a las nuevas normas establecidas por la ley integral de privacidad de datos de Virginia.

Las obligaciones de las empresas en virtud de la VCDPA deben:

• Sea transparente: debe ser transparente con los consumidores en cuanto al tratamiento de sus datos personales y explicarles cómo realiza negocios con terceros proveedores siempre que implique datos personales de clientes.
• Limite la recogida de datos: Limite la recogida de información y datos a lo que sea adecuado, pertinente y razonablemente necesario para el funcionamiento de su empresa. La VCDPA se aplica tanto a las prácticas de recopilación de datos en línea como fuera de línea.
• Limitar la finalidad: Tratar la información y los datos personales únicamente para fines compatibles con los fines comunicados al consumidor.
• Mantener protocolos de seguridad: Establecer, aplicar y mantener las medidas de seguridad que sean razonablemente necesarias para proteger los datos personales de los consumidores. Pueden ser necesarias nuevas medidas de evaluación.
• Evite la discriminación: Su empresa no puede procesar datos personales de forma que infrinja las leyes estatales o federales contra la discriminación. Además, las empresas tienen prohibido en general discriminar a un consumidor por ejercer sus derechos en virtud de la VCDPA.
• Obtener el consentimiento: Su empresa está obligada a obtener el consentimiento para el tratamiento de datos personales. El consentimiento expreso es especialmente importante cuando se procesan datos sensibles, se tratan datos de menores o se desvían de los fines previamente revelados por un consumidor.

¿Cómo se hará cumplir la VCDPA?

El método de aplicación de la VCDPA puede beneficiar enormemente a su empresa porque tiene un periodo de subsanación de 30 días. Durante este periodo, se envían cartas a las empresas alegando incumplimiento y se les da tiempo para comunicarse con la oficina del fiscal general para remediar cualquier posible infracción antes de que se impongan las multas.

Supongamos que se deniega la solicitud y el consumidor recurre la decisión. En ese caso, la ley de protección de datos de los consumidores de Virginia prevé un mecanismo detallado para la presentación de recursos si se deniega la solicitud del consumidor para invocar sus derechos. En cuanto al tiempo necesario para tramitar las solicitudes de los consumidores, la aplicación de la VCPDA prevé un plazo de 30 días para responder a una solicitud del consumidor.

Por último, una aplicación adecuada requiere que los consumidores dispongan de las herramientas necesarias para ponerse en contacto con la Oficina del Fiscal General de Virginia, ya sea en línea o a través de cualquier otro método disponible.

Multas y sanciones

Las empresas que infrinjan la VCDPA pueden ser objeto de mandamientos judiciales y sanciones civiles de hasta 7.500 dólares por infracción, así como de honorarios de abogados.

Puede evitar las multas cumpliendo puntualmente con cualquier solicitud viable realizada por la Oficina del Fiscal General. Las empresas también pueden evitar las multas preparándose para los requisitos de la VCDPA con antelación para evitar la posibilidad de posibles sanciones asociadas al incumplimiento.

En última instancia, todas las multas se destinan a un Fondo de Privacidad del Consumidor que se utiliza para apoyar la labor del Fiscal General en la aplicación de las disposiciones de la VCPDA.

Resumen

El mejor enfoque para su empresa será aquel que incorpore los requisitos de las leyes de privacidad de la VCPDA y, al mismo tiempo, se adapte a las nuevas incorporaciones de requisitos de cumplimiento de privacidad de datos en el futuro.

La VCDPA no entrará en vigor hasta el 1 de enero de 2023. Las empresas pueden aprovechar este tiempo para examinar los requisitos de la nueva ley e incorporar las normas y reglamentos necesarios. Si su empresa no cumple los requisitos de la nueva ley, las sanciones pueden ser costosas.

Hasta que se apruebe una ley federal de protección de datos de los consumidores, California y Virginia representan la tendencia emergente de supervisión y regulación estatal sobre el tratamiento de los datos personales de los consumidores.

Más sobre el autor

Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido responsable de protección de datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implantar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, LPRPDE, Directiva Sobre Privacidad Electrónica, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor