Colorado se une a California y Virginia en la aprobación de una ley integral de privacidad.

El 7 de julio de 2021, el gobernador de Colorado, Jared Polis, promulgó la Ley de Privacidad de Colorado (CPA, por sus siglas en inglés), lo que convierte a Colorado en el tercer estado en promulgar una legislación integral en materia de privacidad, siguiendo los pasos de California y Virginia. Sin embargo, ese mismo día, el gobernador Polis emitió una declaración dirigida a la Asamblea General de Colorado en la que describía que, debido a la «prisa por aprobar este proyecto de ley», quedaban pendientes varias cuestiones y que sería necesario realizar una limpieza legislativa en el próximo año legislativo en Colorado. En la declaración, el gobernador Polis instó a que esta limpieza legislativa «lograra el equilibrio adecuado entre la protección del consumidor y la innovación, sin obstaculizar la posición de Colorado como uno de los mejores estados para hacer negocios». Además, el fiscal general de Colorado puede adoptar normas antes del 1 de enero de 2025 que pueden modificar aún más la ley o la forma en que se aplicará. Por lo tanto, es probable que la ley sufra cambios significativos tanto antes como después de su entrada en vigor el 1 de julio de 2023, lo que deja a las organizaciones sujetas a la ley ante el dilema de empezar a trabajar ahora para cumplirla o esperar a que se aprueben las enmiendas y, posiblemente, tener que apresurarse para cumplirla antes de la fecha de entrada en vigor.

Aunque la ley tal y como está promulgada actualmente comparte muchas similitudes con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y es similar a las leyes de privacidad integrales aprobadas en California y Virginia, existen algunas diferencias significativas. Por lo tanto, el cumplimiento del RGPD o de las leyes de privacidad de California o Virginia no es necesariamente suficiente para cumplir con la versión actual de la CPA.

EL CPA: LO QUE NECESITAS SABER

• La CPA se aplica a las empresas que se dirigen intencionadamente a los consumidores de Colorado y que recopilan y almacenan datos de al menos 100 000 consumidores u obtienen ingresos por la venta de datos de al menos 25 000 consumidores. Cabe destacar la ausencia de cualquier umbral de ingresos.

• Se excluyen determinados tipos de datos, como los registros de empleo, las solicitudes de empleo, los datos personales regulados por determinadas leyes federales o estatales, como la GLBA, y los datos disponibles en los registros públicos.

• Los consumidores obtienen cinco derechos fundamentales en virtud de la CPA: derecho de acceso, derecho de exclusión, derecho de rectificación, derecho de supresión y derecho a la portabilidad de los datos. También obtienen el derecho de apelación.

• Las empresas tienen múltiples obligaciones nuevas, entre ellas el deber de transparencia, el deber de evitar el uso secundario, el deber de minimización de datos, el deber de diligencia en materia de seguridad de los datos y el deber de obtener el consentimiento antes de tratar los datos sensibles de los consumidores.

• La CPA es aplicada por el fiscal general y los fiscales de distrito. No existe el derecho de acción privada.

• La ley entrará en vigor el 1 de julio de 2023.

• El gobernador de Colorado ya ha solicitado a la legislatura que modifique la CPA, lo que podría alterar significativamente las obligaciones y requisitos de la ley.

QUÉ HACER PARA PREPARARSE

Dado que la ley está sujeta a cambios, las organizaciones deben priorizar las siguientes actividades en función de los recursos necesarios y la posible reutilización en otros regímenes de privacidad u otros beneficios para la empresa:

• Realizar un ejercicio de mapeo de datos.

• Realizar una evaluación del impacto sobre la privacidad.

• Si la empresa realiza procesos de alto riesgo, contrate a una empresa de auditoría de ciberseguridad.

• Actualizar las políticas y procedimientos para cumplir con la nueva ley.

• Revisar y modificar o adoptar políticas para cumplir con los derechos de los consumidores.

• Revisar y modificar los avisos de privacidad según sea necesario.

• Revisar y modificar o adoptar anexos de procesamiento de datos que cumplan con la normativa.

Aplicabilidad y exenciones de la CPA

La CPA, tal y como está actualmente promulgada, se aplica a cualquier empresa (un «controlador») que «realice actividades comerciales en Colorado o produzca o suministre productos o servicios comerciales dirigidos intencionadamente a los residentes de Colorado» y que cumpla uno o ambos de los siguientes umbrales:

El responsable del tratamiento procesa o controla los datos personales de al menos 100 000 consumidores de Colorado al año. Aunque esta cifra es superior al umbral establecido en California en virtud de la CCPA, es el mismo umbral que se establece en la nueva CPRA de California y en la CDPA de Virginia.
El responsable del tratamiento procesa o controla los datos personales de al menos 25 000 consumidores de Colorado al año y obtiene ingresos o recibe un descuento en el precio de los bienes o servicios por la venta de datos personales. A diferencia de la CCPA y la CDPA de Virginia, la CPA no establece un umbral porcentual, y cualquier ingreso o descuento obtenido por la venta de datos personales puede ser suficiente, incluso si es mínimo. Si este umbral sobrevive a cualquier enmienda, es probable que su aplicabilidad sea un tema candente de litigio una vez que la ley entre en vigor.

A diferencia de la CPRA de California, pero al igual que la CDPA de Virginia, la CPA actual tampoco establece ningún tipo de umbral de ingresos, lo que evita que las empresas con grandes flujos de ingresos pero un tratamiento relativamente mínimo de datos personales se vean atrapadas en el ámbito de aplicación de la CPA únicamente por sus ingresos.

La CPA actual solo se aplica a la información sobre los consumidores, que se definen como residentes de Colorado que actúan únicamente en un contexto individual o doméstico. No se aplica a la información sobre personas que actúan en un contexto comercial o laboral (incluidos los solicitantes de empleo o los beneficiarios de otra persona que actúa en el contexto laboral). Por el contrario, tanto la información laboral como la información entre empresas estarán sujetas a la CPRA de California una vez que expiren las exclusiones temporales para este tipo de datos el 1 de enero de 2023, a menos que se prorroguen las exclusiones temporales o se apruebe otra ley que cubra esta información.

La ley se aplica al tratamiento de «datos personales» por parte de un responsable del tratamiento, que la ley define como «información vinculada o razonablemente vinculable a una persona identificada o identificable». Sin embargo, la definición excluye explícitamente la información anonimizada o la información disponible públicamente. La «información disponible públicamente» es una exclusión un poco más amplia que la que se encuentra en leyes como la CPRA, e incluye no solo la información puesta a disposición legalmente a partir de registros gubernamentales, sino también la información que el responsable del tratamiento tiene motivos razonables para creer que el consumidor ha puesto a disposición del público en general de forma legal. Es probable que esto incluya la información publicada en las redes sociales, aunque no está claro si la información publicada en las redes sociales para un público limitado se considerará disponible públicamente.

Ciertos tipos de entidades y ciertas categorías están exentas de los requisitos de la CPA. Las entidades reguladas por la Ley Gramm-Leach-Bliley (GLBA) están exentas de la CPA. Aunque la ley no exime completamente a las entidades reguladas por la HIPAA, sí exime a otros tipos de datos personales sujetos a otras leyes y reglamentos, incluida la información relacionada con la salud considerada información sanitaria protegida en virtud de la HIPAA, así como determinados datos de investigación clínica y cierta información sujeta a la Ley de Informes Crediticios Justos (FCRA), la Ley de Protección de la Privacidad Infantil en Internet (COPPA) la Ley de Derechos Educativos y Privacidad de la Familia (FERPA) y la Ley de Protección de la Privacidad del Conductor (DPPA).

Derechos del consumidor

La CPA otorga a los consumidores de Colorado los siguientes derechos con respecto a sus datos personales:

Derecho de acceso. Los consumidores tienen derecho a confirmar si una empresa está tratando sus datos personales y a acceder a ellos.
Derecho a oponerse. Los consumidores tienen derecho a oponerse al tratamiento de sus datos personales con fines de publicidad dirigida, venta de datos personales o elaboración de perfiles para la toma de decisiones que produzcan efectos jurídicos o similares que les afecten.
Derecho de rectificación. Los consumidores tienen derecho a rectificar las inexactitudes en sus datos personales. No obstante, se debe tener en cuenta la naturaleza y los fines del tratamiento de los datos personales del consumidor.
Derecho de supresión. Los consumidores tienen derecho a suprimir los datos personales que les conciernen.
Derecho a la portabilidad de los datos. Los consumidores tienen derecho a obtener sus datos personales en un formato portátil dos veces al año. Estos datos deben estar en un formato fácilmente utilizable que permita al consumidor transmitirlos a otra entidad sin obstáculos, en la medida en que sea técnicamente posible.
Derecho a apelar. Las empresas deben responder a las solicitudes de los consumidores en virtud de la CPA en un plazo de 45 días a partir de su recepción. Este plazo puede prorrogarse por otros 45 días si se notifica al consumidor dentro del plazo inicial de 45 días y la prórroga es razonablemente necesaria. Si la empresa decide no tomar medidas sobre la solicitud del consumidor, debe informar a este último de cómo puede recurrir la decisión. El proceso de recurso debe estar «claramente disponible» y ser fácil de utilizar para el consumidor.

Los responsables del tratamiento deben responder en un plazo de 45 días a partir de la solicitud, aunque este plazo puede ampliarse otros 45 días en determinadas circunstancias. Los responsables del tratamiento deben facilitar la información solicitada sin coste alguno una vez al año, pero pueden cobrar por solicitudes adicionales en un periodo de 12 meses. Los consumidores pueden ejercer estos derechos enviando las solicitudes tal y como se describe en el aviso de privacidad. Si bien los responsables del tratamiento no pueden exigir a los consumidores que creen una nueva cuenta para ejercer estos derechos, sí pueden exigirles que utilicen su cuenta existente.

Obligaciones comerciales

Además de permitir a los consumidores ejercer sus derechos, la CPA impone múltiples obligaciones positivas nuevas a los responsables del tratamiento.

Transparencia. Los responsables del tratamiento deben proporcionar a los consumidores un aviso de privacidad claro y significativo. El aviso debe ser razonablemente accesible y debe incluir: (a) las categorías de datos personales recopilados o procesados; (b) los fines para los que se procesan los datos personales; (c) una descripción de los derechos de los consumidores descritos anteriormente y cómo pueden ejercerlos; (d) las categorías de datos personales que se comparten con terceros; y (e) las categorías de terceros con los que se comparten los datos personales.
Minimización de datos. Los responsables del tratamiento deben limitar la recogida de datos personales a aquellos que sean pertinentes y razonablemente necesarios en relación con la finalidad especificada del tratamiento de datos.
Limitación de la finalidad. Los responsables del tratamiento deben comunicar de forma clara y visible las finalidades expresas para las que se recogen y tratan los datos personales. Los responsables del tratamiento deben obtener primero el consentimiento del consumidor para el uso de datos personales que no sean razonablemente necesarios o compatibles con las finalidades comunicadas.
Deber de diligencia. Los responsables del tratamiento deben adoptar medidas razonables para proteger los datos personales contra la adquisición no autorizada durante su almacenamiento y uso. Las prácticas de seguridad de los datos deben ser adecuadas a la naturaleza de la actividad y a la cantidad y tipo de datos tratados.
Evitar la discriminación ilegal. Los responsables del tratamiento tienen prohibido tratar datos personales en violación de las leyes federales o estatales que prohíben la discriminación ilegal contra los consumidores.
Consentimiento para el tratamiento de datos sensibles. Los responsables del tratamiento deben obtener el consentimiento antes de tratar los datos sensibles de un consumidor. Si se tratan datos sensibles de un menor, la empresa debe obtener primero el consentimiento de los padres o tutores legales del menor. Los datos sensibles se definen como datos personales que revelan el origen racial o étnico, las creencias religiosas, el estado de salud mental o física o el diagnóstico, la vida sexual o la orientación sexual de una persona, la ciudadanía o el estatus de ciudadanía, así como los datos genéticos o biométricos que pueden tratarse con el fin de identificar de forma única a una persona. Los datos sensibles también incluyen los datos personales de un niño conocido.
Venta de datos personales. Los responsables del tratamiento deben informar de forma clara y visible sobre la venta de información personal o cualquier tratamiento de datos personales con fines publicitarios específicos, y deben ofrecer a los consumidores la posibilidad de excluirse de dichas actividades.
Evaluaciones de protección de datos para el tratamiento de alto riesgo. Los responsables del tratamiento deben realizar y documentar una evaluación de protección de datos si sus actividades de tratamiento presentan un riesgo elevado de perjuicio para el consumidor. Dichas actividades incluyen el tratamiento de datos sensibles, la venta de datos personales y la publicidad dirigida o la elaboración de perfiles si esta última presenta ciertos riesgos razonablemente previsibles.
Procesadores y acuerdos de procesamiento de datos. Los encargados del tratamiento son entidades que tratan datos personales para o en nombre de los responsables del tratamiento. Los encargados del tratamiento están obligados a cumplir las instrucciones del responsable del tratamiento. Además, los encargados del tratamiento también están obligados a ayudar al responsable del tratamiento a cumplir sus obligaciones en virtud del CPA, entre otras cosas, adoptando las medidas adecuadas para ayudar a responder a las solicitudes de los consumidores, contribuyendo al cumplimiento de las obligaciones en materia de seguridad y notificación de violaciones, y proporcionando la información necesaria para llevar a cabo evaluaciones de protección de datos. Los responsables y los encargados del tratamiento deben celebrar un acuerdo por escrito con términos y condiciones similares a los del RGPD:
- Describe la finalidad del tratamiento, la duración del mismo y los tipos de datos personales que se tratarán.
- Exige que todas las personas que participan en el tratamiento estén sujetas al deber de confidencialidad.
- Exige que el encargado del tratamiento solo utilice subencargados del tratamiento en virtud de un contrato similar y que el encargado del tratamiento asuma la responsabilidad de cualquier subencargado del tratamiento.
- Describe la asignación de responsabilidades en materia de medidas de seguridad.
- Exige al encargado del tratamiento que suprima los datos personales o los devuelva al responsable del tratamiento, salvo que la ley exija su conservación.
- Exige al encargado del tratamiento que permita y contribuya a la realización de auditorías e inspecciones razonables por parte del responsable del tratamiento o de un auditor externo. No obstante, con el consentimiento del responsable del tratamiento, el encargado del tratamiento podrá contratar a un auditor independiente y auditar sus políticas y normas de seguridad con arreglo a una norma o marco de control adecuado y aceptado.
- Exige al procesador que facilite toda la información necesaria para que el responsable del tratamiento pueda demostrar el cumplimiento.

Ejecución

La CPA establece explícitamente que los consumidores no tienen derecho a emprender acciones legales a título particular. En cambio, la CPA puede ser aplicada tanto por el fiscal general como por los fiscales de distrito, quienes pueden interponer una demanda en nombre del estado o en representación de las personas que residen en él. Hasta el 1 de enero de 2025, el fiscal general está obligado a conceder a la organización un plazo de 60 días para subsanar la infracción antes de poder interponer una demanda contra ella. Sin embargo, este período de subsanación expirará el 1 de enero de 2025 y no se concederá ningún período de subsanación después de esa fecha.

Multas

La ley no especifica ninguna multa reglamentaria. Sin embargo, una infracción de la CPA se considera una práctica comercial engañosa, que puede estar sujeta a multas de hasta 2000 dólares por infracción (hasta 500 000 dólares) de conformidad con la Ley de Protección al Consumidor de Colorado para las acciones del Fiscal General, y de un mínimo de 500 dólares para las acciones emprendidas por consumidores individuales. No está claro si los consumidores de Colorado intentarán utilizar la Ley de Protección al Consumidor de Colorado como una puerta trasera para litigar las infracciones de la CPA, como han hecho en California.

Conclusiones

Si bien la versión actualmente vigente de la CPA impone algunas obligaciones importantes a las organizaciones que pueden estar sujetas a la nueva ley, las organizaciones que han trabajado o están trabajando para cumplir con la CCPA o la CPRA de California o el RGPD encontrarán un solapamiento significativo en esos esfuerzos y en las políticas y procedimientos adoptados de conformidad con esas leyes. Sin embargo, las organizaciones que no han estado sujetas a otras leyes de privacidad similares, como las de California, Virginia o Europa, pueden necesitar dedicar importantes recursos al cumplimiento. La incertidumbre en torno a la ley como resultado de la solicitud de enmiendas del gobernador Polis impide a las empresas trabajar por el momento en su cumplimiento. Dado que la ley está sujeta a cambios, las organizaciones deben dar prioridad a las siguientes actividades, que probablemente requieran una cantidad de tiempo considerable y que puedan reutilizarse en otros regímenes de privacidad o que tengan una aplicabilidad general a un programa de privacidad maduro:

Realizar un mapeo de datos para comprender los tipos de datos que almacena la organización, los fines para los que se utilizan y si todos los datos son necesarios.
Realizar una evaluación del impacto sobre la privacidad.
Iniciar colaboraciones con empresas independientes de auditoría de ciberseguridad para el procesamiento de alto riesgo.
Actualizar las políticas y procedimientos para cumplir con los nuevos requisitos y obligaciones de la CPA.
Comience a desarrollar procesos comerciales que permitan a los consumidores ejercer sus nuevos derechos.
Asegúrese de que la organización cuente con un aviso de privacidad razonablemente accesible, claro y significativo que cumpla con los requisitos de la CPA.
Revisar las relaciones comerciales con los procesadores de datos externos para comprender el papel de cada parte y los posibles requisitos.
Redactar y adoptar anexos sobre privacidad de datos con las cláusulas exigidas por la CPA para su uso en los contratos con terceros.

Para obtener más información sobre la Ley de Privacidad de Colorado y sus requisitos, póngase en contacto con uno de los autores que se indican a continuación o con cualquiera de los socios o asesores jurídicos principales del departamento de ciberseguridad de Foley.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.