Preguntas frecuentes: ¿Qué es la Ley de Protección de Datos del Consumidor de Virginia (VCDPA)?

Publicado: 2023-05-15

La privacidad de los datos sigue siendo un tema cada vez más relevante en nuestro tiempo.

La Ley de Protección de Datos del Consumidor de Virginia (Virginia's CDPA o VCDPA) fue promulgada recientemente por ambas cámaras de la legislatura de Virginia, imponiendo nuevas restricciones sobre la recopilación, divulgación y uso de información de identificación personal (PII) de los residentes de Virginia por parte de corporaciones no exentas.

Preguntas de VCDPA respondidas en estas preguntas frecuentes:

  • ¿Qué restricciones hay en el nuevo VCDPA?
  • ¿Qué protecciones al consumidor ofrece el VCDPA?
  • ¿Quién hará cumplir la VCDPA?
  • ¿A quién se aplica el VCDPA?
  • ¿Cuándo entró en vigencia el VCDPA?
  • ¿Qué necesitan saber los editores sobre VCDPA?
¿Qué restricciones hay en el nuevo VCDPA?
  • Que cumplan con las solicitudes específicas y verificables de los consumidores de Virginia para divulgar, corregir o borrar información personal;
  • Que permitan a los consumidores de Virginia optar por no participar en el procesamiento de datos personales para fines específicos (y, además, que los datos confidenciales no se procesen sin una aceptación inequívoca);
  • Que las empresas realicen evaluaciones de protección de sus acciones de procesamiento de datos (así como otras acciones de procesamiento de datos personales “que presentan un riesgo elevado de daño a los consumidores”);
  • Que las empresas mantengan y publiquen avisos y divulgaciones de privacidad apropiados (y los cumplan); y
  • Que las empresas y sus encargados del tratamiento incluyan cláusulas legales específicas en sus acuerdos de uso.

Para garantizar la seguridad de la información personal de los clientes a la luz del nuevo VCDPA, los procesadores de datos ahora deben cumplir con algunas regulaciones adicionales, principalmente relacionadas con evaluaciones de protección de datos, solicitudes de consumidores y notificaciones de brechas de seguridad.

Los lectores pueden examinar el texto completo del VCDPA aquí .

Algunos observadores han establecido paralelismos entre la Ley de Privacidad del Consumidor de California (la CCPA, que entró en vigencia en 2020), la primera medida importante de privacidad de datos en los Estados Unidos, y la reciente VCDPA, que se aprobó hace más de dos años y medio. más tarde. (Tenga en cuenta que la CCPA fue enmendada y ampliada por la Ley de Derechos de Privacidad de California [CPRA] el 1 de enero de 2023).

Otros, sin embargo, argumentan que el Reglamento General de Protección de Datos (GDPR) de la UE, mucho más sólido, es más análogo al VCDPA.

Pero el VCDPA también es claramente su propio conjunto de medidas. Si bien el VCDPA impone ciertas restricciones en la orientación de empresa a consumidor (B2C), también existen varias formas de sortear estas restricciones.

Además, aunque algunas de estas restricciones pueden tener un efecto en los esfuerzos de marketing B2C de las empresas, parece que apuntar a un ciudadano de Virginia dentro de un contexto de empresa a empresa (B2B) o de empresa a gobierno (B2G) sigue siendo un juego justo, por lo que siempre y cuando hacerlo sea relevante para la función laboral del objetivo y no viole ninguna ley. Pero si desea llegar a un nativo de Virginia mientras él o ella se relaja con su familia (y teléfono) en el sofá después de un largo día, es posible que desee reducir su publicidad dirigida.

¿Qué protecciones al consumidor ofrece el VCDPA?

El VCDPA otorga a los consumidores derechos específicos con respecto a sus datos privados. Estas protecciones bajo la Ley incluyen:

  1. El derecho a ver, acceder y confirmar los datos personales
  2. El derecho a eliminar los datos personales.
  3. El derecho a corregir las inexactitudes en los datos personales
  4. El derecho a la portabilidad de los datos (es decir, acceso portátil y simplificado a todos los datos personales en poder de una empresa)
  5. El derecho a excluirse del procesamiento de cualquier dato personal con fines publicitarios dirigidos
  6. El derecho a rechazar la venta de datos personales
  7. El derecho a optar por la exclusión del perfil basado en datos personales
  8. El derecho a no ser discriminado por ejercer cualquiera de los derechos anteriores

Según la VCDPA, para cumplir, las empresas deben proporcionar a los consumidores información sobre sus derechos, así como un mecanismo para ejercer esos derechos. La Ley también codifica varias obligaciones de datos personales para las empresas. Cuando se trata de recopilar y utilizar datos personales confidenciales, como datos de geolocalización precisos, datos sobre rasgos de usuario protegidos y datos genéticos o biométricos, por ejemplo, las empresas que están sujetas a cumplir con la Ley deben obtener primero el consentimiento.

El VCDPA es similar al CCPA en que el VCDPA exige contratos especiales entre las empresas y los proveedores de servicios que utilizan para procesar datos en su nombre. Estos contratos deben seguir los requisitos de la Ley y definir las obligaciones de los proveedores de servicios con respecto a los datos personales que procesan.

Además, la VCDPA exige que las empresas conserven la información personal por no más del período requerido para un propósito específico y por no más del período necesario para lograr el propósito declarado. Estos conceptos se conocen como limitación de finalidad y minimización de datos, respectivamente.

La VCDPA también exige que las empresas implementen y mantengan políticas de seguridad de datos adecuadas para salvaguardar la privacidad, integridad y disponibilidad de la información del cliente.

Las medidas de seguridad de datos de una empresa probablemente sean adecuadas si se adhieren al estándar industrial reconocido, teniendo en cuenta el tamaño y la complejidad de la organización y los datos personales que maneja; sin embargo, aún no está claro cómo se implementarán estos criterios de razonabilidad.

Finalmente, el VCDPA, al igual que el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, exige que las organizaciones realicen y documenten una evaluación de protección de datos antes de procesar datos confidenciales o participar en ciertas actividades con datos personales, como publicidad dirigida, venta o perfilado

¿Quién hará cumplir la VCDPA?

El Fiscal General de Virginia será responsable de hacer cumplir la VCDPA, y aunque hay un período de gracia de 30 días para corregir cualquier infracción, continuar infringiendo la ley más allá de este punto puede resultar en una sanción civil de hasta $7500 por incidente. Es importante señalar que la Ley no proporciona a los consumidores individuales un derecho privado de acción legal como lo hace la CCPA.

Con respecto a esta última salvedad, para calificar como consumidor bajo la VCDPA, un residente de Virginia debe ser una persona física que “actúe solo en un contexto individual o familiar”. (Compare esto con la CCPA, que no restringe su definición de "consumidor" a "individuos u hogares".) La VCDPA también aclara que no se otorgan garantías a quienes "actúan en un contexto comercial o laboral".

¿A quién se aplica el VCDPA?

Al igual que la CCPA, la VCDPA puede aplicarse a empresas que no tienen su sede en Virginia pero que, sin embargo, hacen negocios en el estado. Esta ley exige que las empresas que (1) realicen negocios en Virginia o comercialicen a los residentes de Virginia; y (2) ya sea: (a) procesar o controlar los datos personales de 100,000 o más residentes de Virginia; o (b) procesar o controlar los datos personales de 25 000 o más residentes de Virginia y obtener más del 50 % de los ingresos brutos de la venta de datos personales están sujetos a la VCDPA.

¿Cuándo entró en vigencia el VCDPA?

El VCDPA entró en vigencia el 1 de enero de 2023, por lo que las empresas deben cumplirlo actualmente.

El 2 de marzo de 2021, Virginia se convirtió en el segundo estado después de California en implementar una legislación integral de privacidad de datos, lo que se suma a lo que se está convirtiendo en un estado nacional mosaico de regulaciones de privacidad de datos. (Los estados de Nevada y Maine también aprobaron leyes de privacidad de datos, aunque no se consideran "integrales" según la definición de la Asociación Internacional de Profesionales de la Privacidad [IAPP]).

¿Qué necesitan saber los editores sobre VCDPA?

Las empresas deben evaluar sus operaciones de procesamiento de datos personales, medidas de seguridad de datos, políticas de privacidad y contratos de proveedores de servicios lo antes posible para protegerse de la aplicación de la VCDPA. También sugerimos considerar el panorama general cuando se trata de responder a las demandas de los consumidores para hacer cumplir los derechos bajo la CCPA o la VCDPA.

Admiral, una CMP (Plataforma de gestión de consentimiento), rastrea las leyes de consentimiento de privacidad que tienen un impacto en los editores en línea en los Estados Unidos y en todo el mundo. Se recomienda que lea el Preguntas frecuentes de CMP si tiene alguna pregunta o inquietud.

Además de los mandatos normativos, recopilar el consentimiento de los visitantes puede establecer un segmento valioso de visitantes para comercializar y ha generado CPM más altos para algunos editores.

Pronto habrá leyes de privacidad de datos más estrictas

La atención del público se ha centrado en la privacidad de los datos a medida que las historias de violaciones de datos, el uso indebido de los datos de los clientes y la privacidad se vuelven más comunes. Según los resultados de una encuesta de Cisco, el 84 % de los encuestados ahora quiere tener más voz sobre sus datos y cómo se utilizan.

El 84% de los encuestados ahora quiere tener más voz sobre sus datos y cómo se usan. - Encuesta de Cisco

Esta es la punta del iceberg para las editoriales. Illinois, Maine, Massachusetts, Nevada, Nueva Jersey y Pensilvania son solo algunos de los estados que recientemente adoptaron leyes de privacidad y protección de datos.

También hay un esfuerzo en marcha para establecer una agencia federal de protección de datos y reglas nacionales de protección de datos. En anticipación, el Tech Lab de IAB ha creado la Plataforma de privacidad general, un protocolo de cumplimiento estandarizado. La plataforma de gestión de consentimiento de Admiral cumple con GPP y está diseñada para brindar flexibilidad en todos los estados y jurisdicciones.

Cumpliendo con VCDPA, CPRA, CCPA y GDPR

Para los editores, puede ser una pesadilla tratar de mantenerse al día con toda la legislación de privacidad y las complejidades de GDPR, CCPA, CPRA y VCDPA. Para manejar mejor la privacidad y el consentimiento de los visitantes, muchos editores han buscado la ayuda de Admiral.

Admiral es uno de los primeros CMP en cumplir con la metodología de Interactive Advertising Bureau (IAB) para transmitir información de exclusión voluntaria a proveedores intermedios, identificando automáticamente las visitas al sitio desde las direcciones IP de Virginia y brindando a los visitantes una interfaz de usuario para optar por no participar. ventas de datos

Admiral's CMP es la solución de gestión de consentimiento de privacidad de mejor valor para los editores de medios. Programe una demostración hoy.

Programe una demostración