La Asamblea Estatal de Wisconsin acelera la Ley de Privacidad de Datos de Wisconsin

El 14 de noviembre de 2023, la Asamblea Estatal de Wisconsin aprobó el proyecto de ley 466, también conocido como Ley de Privacidad de Datos de Wisconsin (WDPA). El proyecto de ley se aprobó en su tercera lectura y se remitió inmediatamente al Senado Estatal de Wisconsin. Si el Senado lo aprueba y el gobernador lo firma, la WDPA entrará en vigor el 1 de enero de 2025. Tal y como está redactada, la WDPA se asemeja mucho a otras leyes estatales integrales de privacidad del consumidor, como las de Virginia, Colorado y Connecticut, todas ellas actualmente en vigor.

Aplicabilidad

Salvo las excepciones que se describen a continuación, la WDPA es aplicable a todas las personas que realizan actividades comerciales en Wisconsin o producen productos o servicios dirigidos a los residentes de Wisconsin y que cumplen cualquiera de los siguientes criterios:

Controla o procesa los datos personales de al menos 100 000 residentes de Wisconsin («consumidores») durante un año natural; y/o
Controla o procesa los datos personales de al menos 25 000 consumidores y obtiene más del 50 % de sus ingresos brutos anuales de la venta de datos personales.

Estas personas se denominan «controladores» en virtud de la WDPA. Al igual que otras leyes estatales integrales de privacidad del consumidor, excepto la de California, la WDPA no establece un umbral de ingresos.

Exenciones clave

La WDPA tiene amplias excepciones en cuanto a entidades e información. Las excepciones en cuanto a entidades incluyen agencias estatales y locales, instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA), entidades o socios comerciales cubiertos por la HIPAA, organizaciones sin fines de lucro e instituciones de educación superior.

La WDPA también exime la información laboral y entre empresas, a diferencia de California. Otras exenciones clave incluyen la información disponible públicamente, la información regulada por la Ley de Informes Crediticios Justos, la Ley de Protección de la Privacidad del Conductor, la Ley de Derechos Educativos y Privacidad de la Familia, la Ley de Crédito Agrícola y la Ley de Protección de la Privacidad Infantil en Internet. La WDPA también tiene una amplia gama de excepciones relacionadas con la salud, incluida la información que es información médica protegida (PHI) regulada por la HIPAA, la Ley Cures de 2021 o cualquier otra ley federal o de Wisconsin que regule la información o los registros sanitarios, y cierta información identificable de pacientes relacionada con la investigación y los ensayos clínicos, entre otras.

Derechos del consumidor

La WDPA proporcionará a los residentes de Wisconsin los siguientes derechos en relación con sus datos personales:

Derecho a saber/acceder. Los consumidores tienen derecho a confirmar si un responsable del tratamiento está procesando sus datos personales y a acceder a dichos datos, salvo que la confirmación requiera que el responsable del tratamiento revele un secreto comercial.
Derecho a la portabilidad de los datos. Los consumidores tienen derecho a recibir una copia de sus datos personales en un formato portátil y fácilmente utilizable, de modo que los datos puedan transmitirse a un tercero cuando el tratamiento se realice por medios automatizados; sin embargo, el responsable del tratamiento no estará obligado a revelar ningún secreto comercial.
Derecho de rectificación. Los consumidores tienen derecho a que se rectifiquen los datos personales inexactos.
Derecho de supresión. Los consumidores tienen derecho a que se supriman sus datos personales.
Derecho a excluirseLos consumidores tienen derecho a optar por no permitir los siguientes usos de su información personal:
- Tratamiento de sus datos personales con fines publicitarios específicos.
- Vender sus datos personales a cambio de una contraprestación económica.
- La toma de decisiones automatizada que produce efectos jurídicos o similares significativos para el consumidor.

Los controladores tendrán 45 días para responder a las solicitudes de los consumidores, con la opción de una prórroga adicional de 45 días cuando sea razonablemente necesario.

Obligaciones comerciales

La WDPA exige a los responsables del tratamiento que cumplan determinadas obligaciones al tratar datos personales, tal y como se indica a continuación:

Consentimiento para el tratamiento de datos sensibles. Se prohíbe al responsable del tratamiento tratar «datos sensibles» sobre un consumidor sin el consentimiento de este. Según la WDPA, los «datos sensibles» incluyen datos personales que revelan la raza o el origen étnico, las creencias religiosas, el diagnóstico de salud mental o física, la orientación sexual o la ciudadanía o el estatus migratorio. Los datos sensibles también incluyen datos genéticos o biométricos, los datos personales recopilados de un niño menor de 13 años y datos precisos de geolocalización dentro de un radio de 1750 pies.
Acuerdos de procesamiento de datos. La WDPA exigirá a los responsables del tratamiento que celebren un acuerdo de procesamiento de datos (DPA) con cada encargado del tratamiento que procese datos personales en nombre del responsable. El DPA debe incluir instrucciones claras para el procesamiento de datos, la naturaleza y la finalidad del procesamiento, el tipo de datos objeto del procesamiento, la duración del procesamiento y los derechos y obligaciones de cada parte en virtud del acuerdo.
Evaluaciones de protección de datos. El responsable del tratamiento debe realizar y documentar una evaluación de protección de datos de las siguientes actividades de tratamiento: el tratamiento de datos personales con fines publicitarios específicos, la venta de datos personales y el tratamiento de información personal con fines de elaboración de perfiles (cuando la elaboración de perfiles presente un riesgo razonablemente previsible de perjuicio para el consumidor). El responsable del tratamiento también debe sopesar los beneficios de cada actividad de tratamiento frente a los posibles riesgos para los derechos de los consumidores.
Avisos de privacidad. El responsable del tratamiento debe proporcionar un aviso de privacidad razonablemente accesible, claro y significativo que incluya las categorías de datos personales tratados por el responsable, la finalidad del tratamiento de los datos personales, cómo pueden los consumidores ejercer sus derechos y cómo pueden recurrir la decisión del responsable de no cumplir con una solicitud de derechos del consumidor, las categorías de datos personales que el responsable comparte con terceros y las categorías de terceros con los que el responsable comparte datos personales. El aviso de privacidad también debe describir si vende datos personales a terceros o si trata datos personales para publicidad dirigida, y debe revelar de forma clara y visible dicho tratamiento y cómo un consumidor puede ejercer su derecho a excluirse de dicho tratamiento. Por último, el aviso de privacidad debe describir uno o varios medios seguros y fiables para que los consumidores presenten solicitudes para ejercer sus derechos.
Otros requisitos/prohibiciones. El responsable del tratamiento debe (i) limitar la recogida de datos personales a lo que sea adecuado, pertinente y razonablemente necesario para los fines revelados para los que se tratan los datos; y (ii) establecer, aplicar y mantener prácticas administrativas, técnicas y físicas razonables de seguridad de los datos para proteger la confidencialidad, integridad y accesibilidad de los datos personales. Un responsable del tratamiento no puede (i) tratar datos personales para fines que no sean razonablemente necesarios para los fines divulgados, a menos que haya recibido el consentimiento del consumidor; ni (ii) denegar bienes o servicios, cobrar precios o tarifas diferentes por bienes o servicios, o proporcionar un nivel diferente de calidad de los bienes al consumidor por el hecho de que este haya ejercido sus derechos.

Ejecución

Tal y como está redactada, la WDPA no contiene una causa de acción privada y será aplicada por el Fiscal General de Wisconsin. La WDPA establece que cada infracción cometida por un responsable del tratamiento puede dar lugar a una multa de hasta 7500 dólares estadounidenses, además de la recuperación de los gastos razonables del Fiscal General.

Impacto en las empresas

Wisconsin es uno de los pocos estados que buscan ampliar el mosaico existente de leyes estatales sobre privacidad del consumidor. Aunque la WDPA se asemeja mucho a otras leyes estatales integrales sobre privacidad del consumidor, esta es una buena oportunidad para que las organizaciones que operan en Wisconsin revisen sus programas de datos para confirmar que cumplen con estos requisitos. Las organizaciones que no están sujetas a otras leyes estatales de privacidad del consumidor en este momento querrán confirmar si cumplirán los umbrales de la WDPA (tal y como se propone actualmente) y, en caso afirmativo, asegurarse de que la organización estará preparada para aplicar estos requisitos con rapidez en caso de que la WDPA se apruebe como ley.

Para obtener más información sobre el cumplimiento de la WDPA o cualquier otra ley de privacidad del consumidor, póngase en contacto con cualquiera de los socios o asesores jurídicos sénior del equipo de Ciberseguridad y Privacidad de Datos de Foley & Lardner.

El autor agradece sinceramente las contribuciones de Lauren Hudon, estudiante de la Facultad de Derecho de la Universidad Marquette y asistente jurídica en Foley & Lardner LLP.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

[email protected]

Madison 608.250.7420

Información relacionada

Ver todas las entradas

18 de diciembre de 2025 Perspectivas sobre tecnología innovadora

Centros de datos: el papel de la IA y los semiconductores en la transformación de un sector

Centros de datos: el papel de la IA y los semiconductores en la transformación de un sector. Conclusiones clave: la IA está impulsando una demanda sin precedentes de datos...

17 de diciembre de 2025 Perspectivas sobre tecnología innovadora

Diez preguntas frecuentes sobre «criptomonedas» para directores corporativos

¿Qué es «cripto»? El término «cripto» es la abreviatura de «activo criptográfico», que generalmente se entiende como un activo digital cuyo...

11 de diciembre de 2025 Perspectivas sobre tecnología innovadora

La OCC emite otra carta interpretativa favorable a las criptomonedas: admisibilidad de las transacciones de criptoactivos sin riesgo para el capital.

El 9 de diciembre de 2025, la Oficina del Contralor de la Moneda (OCC) emitió la Carta Interpretativa 1188 (IL 1188), en la que confirmaba que los bancos nacionales pueden, como parte de su actividad bancaria, realizar transacciones sin riesgo con criptoactivos principales.