Episodio 7: Fecha límite para la privacidad de datos en Colorado y Connecticut

En nuestro séptimo episodio, Jennifer Urban y Samuel Goldstick se sientan a debatir sobre los nuevos estados con leyes de privacidad de datos que entraron en vigor el 1 de julio de 2023: Colorado y Connecticut. ¿En qué se diferencian estas leyes de las normativas existentes, como la Ley de Derechos de Privacidad de California y la Ley de Protección de Datos del Consumidor de Virginia? ¿Qué principios tendrán mayor impacto? ¿Y qué pueden hacer las organizaciones que no cumplen con la normativa para cumplir estos nuevos requisitos?

Profundizar

• Guía sobre las leyes estatales de notificación de violaciones de datos (actualizada trimestralmente)
• El fiscal general de Colorado publica las normas de privacidad propuestas y comienza a celebrar reuniones con las partes interesadas.
• Connecticut se prepara para convertirse en el quinto estado en promulgar una ley integral sobre la privacidad de los datos de los consumidores.

Transcripción

La transcripción del episodio que figura a continuación ha sido editada para mayor claridad.

Jennifer Urban         

Bienvenidos al podcast «Innovative Tech Insights» de Foley. Mi nombre es Jennifer Urban y soy socia de Foley & Lardner. También soy copresidenta del área de ciberseguridad y privacidad de datos dentro del sector de tecnología innovadora y vicepresidenta de nuestro grupo de transacciones tecnológicas, ciberseguridad y privacidad. Hoy me acompaña Samuel Goldstick, asesor sénior de nuestra oficina de Chicago. Queremos hablar sobre algunos de los nuevos requisitos de las leyes de privacidad de Colorado y Connecticut, ya que entraron en vigor el 1 de julio.

Una de las preguntas más frecuentes que nos hacen los clientes es «¿Qué debemos hacer ahora para cumplir con la normativa de Colorado y Connecticut?». Sam y yo analizaremos algunas de las diferencias más importantes para ayudarle a adaptar su nuevo programa.

Así que una de las primeras cosas que vamos a abordar es «¿Tengo que cumplir con la ley de privacidad de Colorado y Connecticut?». Como muchos de ustedes saben, la CPRA de California tiene un umbral de aplicabilidad muy amplio que se basa realmente en los ingresos. La diferencia entre Colorado y Connecticut es que hay que procesar al menos más de 100 000 datos de consumidores en un año natural o más de 25 000 y obtener ingresos relacionados con la venta de datos. En otras palabras, aunque haya que cumplir con la ley de California, puede que no sea necesario cumplir con la de Colorado o Connecticut.

Otra diferencia importante es que Colorado se aplica a las organizaciones sin ánimo de lucro. Muchas organizaciones sin ánimo de lucro no han tenido que cumplir con la normativa de California o Virginia, pero ahora deben cumplir con la de Colorado.

Otra diferencia importante es que la CPRA, como muchos de ustedes saben, se aplica de manera general no solo a la información de los consumidores, sino también a la información de contacto de los empleados y B2B. La buena noticia es que Colorado y Connecticut no aplican esta ley a la información de contacto de los empleados y B2B.

También hay muchas excepciones diferentes para ciertos tipos de entidades o datos. No vamos a repasarlas todas. Una de las más interesantes es que existe una exención a nivel de entidad para las instituciones financieras en Colorado y Connecticut.

Esto es un resumen general. Nuestra mejor recomendación es que vuelva a evaluar si su organización necesita cumplir con los requisitos de Colorado y Connecticut antes de sumergirse en la modificación de su programa para cumplir con dichos requisitos.

Entonces, vamos a empezar con una de las preguntas más comunes que recibimos y se la voy a dirigir a Sam. Sam, la gran pregunta siempre es: «¿Tenemos que actualizar nuestro aviso de privacidad para cumplir con los nuevos requisitos de Colorado y Connecticut?».

Sam Goldstick

Empezaré por Connecticut. Los requisitos de Connecticut en materia de avisos de privacidad son mucho menos prescriptivos que los de California y Colorado, y en general incluyen las divulgaciones que ya exige la CPRA, con una salvedad. Las empresas que están sujetas a la legislación de Connecticut y tratan datos personales con fines publicitarios específicos deben describir cómo pueden los residentes de Connecticut ejercer su derecho a excluirse de la publicidad dirigida.

La publicidad dirigida es similar al concepto de intercambio según la ley de California, pero tiene una aplicabilidad más amplia. Por lo tanto, las empresas querrán examinar si sus prácticas se consideran publicidad dirigida y, de ser así, querrán mencionarlo en su aviso de privacidad. Más allá de eso, no hay muchos cambios entre esas dos leyes.

Colorado, a diferencia de la ley de California, exige a las empresas que asignen cada categoría de datos personales que recopilan a su uso específico. En otras palabras, las empresas deben especificar en los avisos de privacidad el propósito expreso para el que se utiliza cada categoría de datos personales y, por extraño que parezca, a pesar de lo prescriptiva que es California, ese nivel de especificidad no se exige en los requisitos de los avisos de privacidad de California.

Jen, otra pregunta habitual que nos hacen los clientes constantemente es «¿Cómo se tratan los datos confidenciales según la legislación de Colorado y Connecticut?» y «¿En qué se diferencian de la información personal confidencial según la CPRA?».

Jennifer Urban         

Excelente pregunta, Sam. La CPRA introduce un nuevo concepto: el de información confidencial. Esto es importante porque, en virtud de la CPRA, hay que ofrecer a los consumidores el derecho a optar por que no se procesen sus datos confidenciales, lo que ha llevado a muchas empresas a revisar y cuestionar los datos que recopilamos. ¿Son confidenciales? ¿Tenemos que ofrecer estos diferentes derechos de exclusión voluntaria?

California tiene una definición muy amplia de lo que se considera datos sensibles. Hay buenas y malas noticias en Colorado y Connecticut. Sabéis que la definición de información sensible es más limitada. No incluye cosas como el número de permiso de conducir, el número de la Seguridad Social, el pasaporte o la información de cuentas financieras. Podría decirse que Colorado y Connecticut no cubren la información sanitaria de forma tan amplia como California. Hay otros matices entre las definiciones, y esa es la buena noticia. En primer lugar, hay que pensar: ¿qué datos estamos recopilando que podrían considerarse sensibles en California, Colorado o Connecticut?

Pero la principal diferencia entre Colorado y Connecticut es que, en lugar de optar por excluir el uso de datos confidenciales, como se hace en California, hay que conseguir que los consumidores den su consentimiento expreso. Existen requisitos de consentimiento prescriptivos, en particular en Colorado. Lo que esto significa realmente es que los clientes, como mencioné al principio, se plantean seriamente si «¿necesitamos recopilar este tipo de datos?». No solo tenemos que averiguar si necesitamos derechos de exclusión voluntaria o consentimiento de inclusión voluntaria para recopilar información confidencial, sino también los conceptos generales de minimización de datos que se recogen en estas leyes. ¿Realmente necesitamos recopilar esta información? ¿Durante cuánto tiempo debemos conservarla?

Además, más allá de los requisitos de privacidad, está la pregunta: «¿Deberíamos recopilar datos como números de la Seguridad Social o números de cuentas bancarias? ¿Qué pasaría si se produjera una filtración de datos o un incidente?». Sin duda, ese tipo de datos aumenta el riesgo para una organización que sigue manteniéndolos y recopilándolos. Por lo tanto, es muy importante tener en cuenta qué tipo de información confidencial se recopila y si se está ofreciendo a los consumidores los derechos adecuados de aceptación o rechazo para procesar sus datos.

Antes de pasar a otras secciones, y sin entrar en todas las diferencias entre los derechos de los consumidores y los derechos de los interesados, vamos a repasar algunas de ellas a grandes rasgos. Sam ya ha mencionado que Colorado y Connecticut tienen una definición más amplia de la publicidad dirigida. También podrían aplicarse a usos internos, en lugar de limitarse a la divulgación a terceros. Si realiza cualquier tipo de publicidad dirigida, vale la pena echar un vistazo a esas definiciones para ver si afectarían a alguno de sus usos internos. Sigue existiendo el derecho de exclusión voluntaria, pero, de nuevo, basta con ver cómo definen Colorado y Connecticut la publicidad dirigida. Además, en lo que respecta a la elaboración de perfiles, un concepto que aún no se ha consolidado en la CPRA, estamos a la espera de esas regulaciones. Colorado, por ejemplo, tiene requisitos muy prescriptivos en materia de elaboración de perfiles. Por lo tanto, en caso de que esté considerando realizar cualquier tipo de elaboración de perfiles, le recomendamos que consulte los requisitos de Colorado mientras esperamos a que se publiquen las normas de la CPRA.

Otras cuestiones importantes que muchas organizaciones están tratando de resolver son qué se va a hacer con los controles de privacidad globales, las señales de preferencia de exclusión voluntaria y los mecanismos universales de exclusión voluntaria. Yo diría que la buena noticia ahora para Colorado y Connecticut es que tenemos algo de tiempo. Es decir, Colorado está listo. No es necesario tener nada en marcha hasta el año que viene [1 de julio de 2024] y Connecticut está aún más lejos, en enero de 2025.

Trabajamos con muchos clientes que intentan averiguar cómo vamos a cumplir con estos controles de privacidad globales y esperamos obtener más orientación sobre los mecanismos de exclusión voluntaria universales que están específicamente aprobados. Pero la buena noticia es que tenemos algo de tiempo en Colorado y Connecticut.

Pasemos ahora a algunas preguntas más interesantes que nos suelen plantear los clientes. Sam, ¿puedes hablarnos de los programas de incentivos financieros y de cómo van a cambiar (o no) para un cliente que tiene un programa de incentivos financieros de conformidad con la legislación de California? ¿Cómo se va a aplicar ahora en Colorado y Connecticut?

Sam Goldstick          

Buena pregunta, Jen. Yo diría que si eres una empresa sujeta a la legislación de Connecticut con un programa de incentivos financieros ya cubierto por la CPRA, no sería necesario realizar más cambios, ya que Connecticut no regula específicamente ni tiene requisitos específicos que rijan los incentivos financieros para los programas de fidelización.

Sin embargo, Colorado sí lo hace. Al igual que California. Ambos regulan la información personal que se utiliza para los programas de fidelización, pero lo hacen de manera diferente, y me gustaría dedicar unos minutos a explicar algunas de estas diferencias.

En cuanto al alcance, California parece tener una visión más amplia en cuanto a los tipos de actividades que se regulan. En general, abarca cualquier circunstancia en la que un consumidor proporciona información personal a una empresa con el fin de obtener un descuento u otro tipo de beneficio, lo cual es extremadamente amplio.

Los requisitos de Colorado están más orientados a los programas tradicionales de fidelización o recompensas, en los que los consumidores pueden inscribirse para recibir puntos o descuentos, u otros beneficios de forma continua cuando realizan compras que cumplen los requisitos.

Por lo tanto, el alcance en California es más amplio, lo que significa que en Colorado, si tienes un programa de fidelización que se rige por la legislación de Colorado, en California quedaría oculto. Cabe señalar que hay muy poco solapamiento entre los requisitos de notificación para los incentivos financieros y los programas de fidelización según la legislación de California y Colorado. Debido a las diferencias en estos requisitos de divulgación, las empresas que están sujetas a ambas leyes en California y Colorado tendrán que decidir si crean avisos de fidelización separados para California o Colorado, o si los combinan en un único aviso ampliado dirigido a los consumidores de ambos estados.

Jennifer Urban         

En realidad, lo fundamental es que hay que fijarse en lo que se está haciendo en el programa. Por desgracia, el problema está en los detalles, en ver cómo hay que ampliarlo en función de los nuevos requisitos.

Sam Goldstick          

Exactamente. Yo diría que otra diferencia es que California exige a las empresas obtener el consentimiento expreso de los consumidores antes de inscribirlos en el programa de incentivos financieros, y ese consentimiento o requisito de participación expresa no se aplica en Colorado. En la medida en que una empresa no recopile datos sensibles en relación con la inscripción de alguien en su programa de fidelización, lo único que se necesitaría es la participación del consumidor. En Colorado es voluntario.

Jennifer Urban         

Otra pregunta se refiere a las evaluaciones de protección de datos. ¿Cuándo debemos realizarlas? ¿Cuáles son los requisitos? Al igual que lo que mencionamos anteriormente con respecto a la CPRA, aún no contamos con regulaciones. En el caso de Colorado y Connecticut, ¿qué aspectos debemos tener en cuenta con respecto a las evaluaciones de protección de datos?

Sam Goldstick          

Excelente pregunta. Las evaluaciones de protección de datos en esos estados se centran en, o se activan cuando las empresas realizan actividades de procesamiento de «alto riesgo». Estas pueden incluir cosas como el procesamiento de datos confidenciales o la participación y venta de publicidad dirigida. Sin embargo, a diferencia de California, que aún no ha promulgado regulaciones, Colorado y Connecticut exigen que dichas evaluaciones incluyan un contenido extenso. Una lista no exhaustiva de algunos de estos contenidos incluye aspectos como las tecnologías o los procesadores que se utilizan, los detalles operativos de la actividad de procesamiento en cuestión, los tipos de riesgos para los derechos de los consumidores y las medidas y salvaguardias que se han adoptado para proteger a los consumidores. Para las empresas que también están obligadas a cumplir el RGPD, se recomienda encarecidamente consultar también las directrices publicadas por el Comité Europeo de Protección de Datos para las evaluaciones de impacto relativas a la protección de datos, ya que establecen detalles muy útiles sobre lo que se espera de este tipo de evaluaciones. Dicho esto, no se trata exactamente del mismo tipo de evaluaciones que se llevan a cabo en Colorado y Connecticut.

Jennifer Urban

Es una observación muy acertada lo de consultar el RGPD y algunas de las directrices que contiene, ya que estos conceptos ahora se han desarrollado plenamente. Creo que es un recurso muy útil para las empresas.

Entonces, ¿qué pasa si aún no cumplimos con estas leyes? Si no estamos preparados para esta nueva fecha de entrada en vigor, ¿las organizaciones tienen la posibilidad de subsanar la situación? ¿Cómo funciona eso con estas nuevas regulaciones?

Sam Goldstick          

Esa es una pregunta muy buena que nos han hecho muchas veces, y vale la pena señalar que la CPRA de California eliminó el período de subsanación de 30 días que se establecía originalmente en la CCPA. Por lo tanto, en California no hay periodo de subsanación, lo que podría indicar un mayor riesgo de aplicación de la ley en ese estado en comparación con otros que sí tienen un periodo de subsanación, como Connecticut y Colorado, que tienen un plazo de 60 días. Pero cabe señalar que esa flexibilidad para subsanar en esos dos estados expira a finales de 2024.

Jennifer Urban         

Eso es muy útil. Recibimos muchas preguntas de los clientes sobre la aplicación de la ley, como «¿Qué vamos a ver?». Desgraciadamente, como se trata de leyes relativamente nuevas, ya sea en California, Virginia, Colorado o Connecticut, hay un ambiente de espera en cuanto a su aplicación. Es decir, obviamente seguimos muy de cerca las medidas de aplicación de la CPRA. Tendremos que ver qué nos depara el futuro en Colorado y Connecticut. Sin embargo, debido a que la aplicación de la ley aún está en cierta medida en proceso de cambio, en particular en lo que respecta a estas nuevas leyes, ayudamos a los clientes cada día tratando de evaluar qué aspectos de estas leyes deberían realmente tenerse en cuenta. Obviamente, hay que centrarse en todo lo que sea de carácter público (como el aviso de privacidad, los derechos de exclusión voluntaria o de inclusión voluntaria, etc.).

Pero nuestro equipo estará encantado de ayudar a cualquiera que tenga estas preguntas, cómo priorizar sus esfuerzos para cumplir con estos nuevos requisitos de cumplimiento de la privacidad y cómo adaptar su programa.

El podcast Innovative Technology Insights de Foley & Lardner se centra en las innovaciones de amplio alcance que están configurando el panorama empresarial, normativo y científico actual. Con ponentes invitados que trabajan en diversos campos, desde la inteligencia artificial hasta la genómica, nuestros debates examinan no solo las implicaciones legales de estos cambios, sino también el impacto que tendrán en nuestra vida cotidiana.