Lista de comprobación en 6 pasos de los requisitos de cumplimiento de la FDBR

La Carta de Derechos Digitales de Florida(FDBR) entra en vigor el 1 de julio de 2024.

Si su empresa está sujeta a la protección de la intimidad de los consumidores prevista en esta próxima ley, siga esta sencilla lista de comprobación de 6 pasos que le ayudará a simplificar el cumplimiento.

Lista de comprobación del cumplimiento de los FDBR: Paso a paso

He recopilado estos seis pasos para ayudar a eliminar la confusión sobre el cumplimiento de la Declaración de Derechos Digitales de Florida (FDBR).

Parte 1: Realice una auditoría de privacidad

Para cumplir con el Reglamento de protección de datos, realice una auditoría de privacidad para saber qué información personal recopila, por qué, cómo la recopila y cuál es la finalidad del tratamiento.

También llamado inventario de datos, intente utilizar uno de los siguientes métodos para iniciar este proceso:

Parte 2: Requisitos de notificación de privacidad

El FDBR exige a las empresas cubiertas que presenten a los usuarios de Florida una política de privacidad con la siguiente información:

• Qué categorías de información personal recopila
• La finalidad de su tratamiento
• Cómo pueden los consumidores ejercer sus derechos y recurrir su decisión
• Qué categorías de datos comparte con terceros, en su caso
• Con qué categorías de terceros comparte datos, en su caso

Si vende datos biométricos o datos personales sensibles, debe publicar las siguientes declaraciones visibles en su sitio web:

• AVISO: Este sitio web puede vender sus datos personales sensibles
• AVISO: Este sitio web puede vender sus datos biométricos personales

La política de privacidad debe actualizarse al menos una vez al año.

Parte 3: gestión del consentimiento para el tratamiento específico de datos

Debe presentar a sus usuarios de Florida un banner de consentimiento o una tecnología similar que les permita ejercer fácilmente su derecho de exclusión voluntaria:

• Perfil
• Publicidad dirigida
• La venta de sus datos personales
• Recogida y tratamiento de datos personales sensibles, incluida la geolocalización precisa.
• Recogida de datos personales mediante reconocimiento de voz o facial

Parte 4: Obligaciones contractuales para compartir o vender datos personales

Si usted es un controlador de datos que trabaja con procesadores de datos de terceros, el FDBR le exige que elabore y se asegure de que ambas partes firman un contrato que incluya los siguientes detalles:

• Describa las instrucciones para el tratamiento de datos, su naturaleza y su finalidad.
• Indique el tipo de datos que se procesan y la duración del tratamiento.
• Resuma los derechos y obligaciones de ambas partes.
• Exigir a todos los implicados un deber de confidencialidad sobre los datos personales.
• Exija al encargado del tratamiento que suprima o devuelva todos los datos al término del contrato, a menos que la ley exija la conservación de los datos personales.
• Exigir al transformador que demuestre el cumplimiento de los derechos de obtentor.
• Exigir al encargado del tratamiento que coopere con las evaluaciones razonables realizadas por el responsable del tratamiento.

Parte 5: Derechos del consumidor y solicitudes verificables de los consumidores

Según el FDBR, debe presentar a sus usuarios una o varias formas de ejercer sus derechos para realizar cualquiera de las siguientes acciones:

• Confirme si está tratando sus datos.
• Solicitar acceso a sus datos
• Corregir inexactitudes en sus datos.
• Obtenga una copia portátil siempre que sea posible.
• Solicitar la supresión de sus datos.
• Optar por que no se vendan o procesen sus datos para publicidad dirigida.
• Exclusión voluntaria de la elaboración de perfiles.
• Exclusión voluntaria de la recogida de datos sensibles.
• Exclusión de la recopilación de datos personales a través de funciones de reconocimiento facial o de voz.

Entre los métodos que podría aplicar se incluyen:

• Publique en su sitio web un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR).
• Proporcione una dirección de correo electrónico a la que los usuarios puedan enviar sus solicitudes.
• Publique una política de cookies si implementa cookies que recopilan datos sensibles, datos que vende o datos utilizados para publicidad dirigida.
• Utilice un banner de consentimiento para que los consumidores puedan ejercer sus derechos de exclusión.

Parte 6: Procedimientos y prácticas de seguridad

El Reglamento exige que los responsables del tratamiento apliquen medidas de seguridad adecuadas para proteger la integridad, la confidencialidad y el acceso a los datos personales recogidos.

Debe disponer de medidas físicas, administrativas y técnicas.

Algunas técnicas estándar de seguridad de datos incluyen:

• Anonimización y desidentificación de los datos
• Cifrar la información
• Controles de acceso
• Creación de un plan de copia de seguridad o recuperación de datos

Requisitos FDBR FAQ

A continuación, lea algunas preguntas frecuentes sobre la nueva ley de privacidad de datos de Florida.

¿Se aplica el Reglamento a mi empresa?

El FDBR se aplica a su empresa si cumple los siguientes umbrales:

• Realiza negocios en Florida o dirige productos o servicios en el estado y
• Tiene ánimo de lucro y obtiene unos ingresos brutos anuales superiores a 1.000 millones de dólares , y
• Obtiene un 50% o más de ingresos de la venta de anuncios en línea o
• Manejas un altavoz inteligente o servicios de componentes de comandos de voz (exenciones para los conectados a vehículos) o
• Usted gestiona una tienda de aplicaciones o una plataforma digital con 250.000 aplicaciones de software diferentes.

¿Cuándo entra en vigor el FDBR?

El FDBR entra en vigor el 1 de julio de 2024.

¿Quién hace cumplir los derechos de obtentor?

El Fiscal General tiene la autoridad exclusiva para hacer cumplir las infracciones del FDBR.

¿Cuáles son las sanciones por infringir el Reglamento?

Las multas por infringir las protecciones al consumidor del FDBR pueden alcanzar los 50.000 dólares.

¿Puede Termly ayudar con el cumplimiento del FDBR?

Termly ofrece una Generador de Política de Privacidad y una plataforma gestión del consentimiento (CMP) que las empresas pueden utilizar como ayuda para el cumplimiento del FDBR.

Nuestro CMP también cuenta con un formulario gratuito de Solicitud de Acceso del Sujeto a los Datos (DSAR), que permite a sus usuarios enviar solicitudes verificadas para hacer un seguimiento seguro de sus derechos.

Resumen

Si su empresa debe cumplir los requisitos del Reglamento, utilice nuestra lista de comprobación de seis pasos para simplificar el proceso de cumplimiento:

• Realice un inventario de datos para conocer todos los datos personales que recopila, por qué y cómo se utilizan.
• Presente a sus usuarios una política de privacidad conforme que cumpla todos los requisitos de notificación establecidos por la ley.
• Utilice un banner de consentimiento para que los usuarios de Florida puedan ejercer su derecho de exclusión.
• Utilice y firme contratos conformes con cualquier procesador de datos externo con el que trabaje.
• Proporcionar una o varias vías para que los usuarios de Florida presenten solicitudes verificables de consumidores para que se actúe sobre sus derechos de privacidad.
• Establezca garantías adecuadas para proteger los datos personales que recopile.

Para simplificar el cumplimiento de leyes como la FDBR, pruebe a utilizar soluciones como nuestras Generador de política de privacidad y CMP.

Más sobre el autor

Escrito por Josh Langeland, CIPM

Hola, soy Josh. Soy un ingeniero de privacidad apasionado por el uso de la tecnología para respetar la privacidad de los usuarios. Prospero en la intersección de la tecnología compleja y la legislación sobre privacidad en constante cambio. Si no estoy redactando una revisión de diseño o rediseñando un sistema, puede que me encuentres leyendo una biografía o haciendo senderismo en el parque nacional más cercano. Más sobre el autor