¿Cómo cumplir con la ley 171 de Vermont?

La Ley 171 de 2018 de Vermont de Regulación de Corredores de Datos o la Regulación de Corredores de Datos de Vermont para abreviar es una ley de privacidad de datos que se aprobó en Vermont en 2018. Según la ley, los corredores de datos dentro del estado de Vermont deben cumplir con una variedad de requisitos al procesar la “información personal intermediada” o BPI de los residentes de Vermont. Con arreglo al Reglamento de intermediación de datos de Vermont, la “IPR” se define como “uno o varios de los tipos de datos siguientes: nombre, dirección, fecha de nacimiento, lugar de nacimiento, nombre de soltera de la madre, datos biométricos únicos, nombre o dirección de un miembro de la familia inmediata o del hogar del consumidor, número de seguro social o documento de identidad expedido por el gobierno”, u “otra información que, por sí sola o en combinación con otra información vendida o autorizada, permitiría a una persona razonable identificar al consumidor con razonable certeza”.

Es más, a pesar de que el BPI abarca tantas formas diferentes de información personal, el Reglamento de Intermediarios de Datos de Vermont contiene ciertas limitaciones. Estas limitaciones incluyen:

• La BPI debe estar digitalizada en todo momento, la información que está únicamente en papel no constituye BPI según la ley.
• La BPI debe estar organizada, categorizada y preparada para su uso por terceros.
• La BPI no incluye la información disponible públicamente en el contexto de la información relacionada con un negocio o profesión específicos.

¿Cómo se define el término “corredor de datos” en el Reglamento de corredores de datos de Vermont y cuáles son los requisitos que la ley impone a los corredores de datos?

En virtud del Reglamento sobre el corretaje de datos de Vermont, el término “corredor de datos” se define como “una empresa, o unidad o unidades de una empresa, por separado o en conjunto, que a sabiendas recopila y vende o concede licencias a terceros sobre la información personal de un consumidor con el que la empresa no tiene una relación comercial directa”. Entre los ejemplos de relación comercial directa en relación con el Reglamento sobre intermediarios de datos de Vermont figuran la relación cliente-cliente, la relación abonado-usuario y la relación empleado-contratista, entre otros muchos. En virtud de la ley, los corredores de datos deben cumplir los siguientes requisitos cuando recojan el BPI de residentes en Vermont:

• Registrarse anualmente en la Secretaría de Estado de Vermont y facilitar la siguiente información. Un contacto al que pueda enviarse un acuse de recibo de dicha información, el nombre y la dirección principal física, de Internet y de correo electrónico del corredor de datos en cuestión, si el corredor de datos permite a los consumidores optar por no participar en la recopilación de IPS, bases de datos o determinadas ventas de datos de dicho corredor de datos, el método que pueden utilizar los consumidores para solicitar la exclusión, si la exclusión sólo se aplica a determinadas actividades o ventas de datos, cuáles son, si un corredor de datos en particular permite a un consumidor autorizar a un tercero a realizar una exclusión en nombre de un consumidor, una declaración en la que se especifique la recopilación de datos, las actividades de venta o bases de datos de las que un consumidor no puede excluirse, una declaración en la que se especifique si un determinado corredor de datos utiliza un proceso de acreditación de compradores, el número de violaciones de seguridad que un corredor de datos ha experimentado durante el año civil anterior y, en caso de conocerse, el número total de consumidores afectados por dichas violaciones, si un corredor de datos tiene conocimiento real de que posee el IPC de menores, incluida una declaración por separado sobre las prácticas de recopilación de datos, actividades de venta, bases de datos y políticas de exclusión aplicables a menores, y cualquier otra información adicional relativa a las prácticas de recopilación de datos de un corredor de datos.
• Mantener determinadas normas de seguridad de los datos. Todos los intermediarios de datos son responsables de mantener unas normas razonables de seguridad de los datos. Además, los corredores de datos que recopilan información personal identificable o IPI, además de IFS, están obligados a cumplir una serie de normas. Algunas de estas normas incluyen el desarrollo, la aplicación y el mantenimiento de un programa de seguridad integral por escrito, la designación de uno o más empleados para mantener dicho programa de seguridad, la realización de una evaluación de riesgos, la formación de los empleados, incluidos los empleados temporales y contractuales, el seguimiento del cumplimiento por parte de los empleados de los procedimientos y políticas específicos, disponer de un medio para detectar y prevenir fallos del sistema de seguridad, contar con políticas de seguridad para los empleados en relación con el acceso, el almacenamiento y el transporte de IIP fuera de los locales comerciales, disponer de procedimientos disciplinarios en caso de infracción de las normas del programa, adoptar medidas para evitar que los empleados despedidos accedan a la IIP de los consumidores, restringir el acceso físico a la IIP, supervisar a los proveedores de servicios, controlar y actualizar dichas normas de seguridad según sea necesario, revisar el alcance de las medidas de seguridad al menos una vez al año o siempre que se produzca un cambio material en las prácticas empresariales que pueda afectar a la seguridad de la IIP, y documentar las medidas de respuesta adoptadas en relación con las violaciones de seguridad y revisar dichos incidentes para determinar si deben modificarse las prácticas.

A diferencia de otras leyes de privacidad estatales del país, el Reglamento de Corredores de Datos de Vermont no exige que los corredores de datos ofrezcan a los consumidores de Vermont la posibilidad de excluirse voluntariamente de la recopilación, almacenamiento y venta de su información personal. Además, las entidades y organizaciones comerciales que no estén físicamente ubicadas en el estado de Vermont pero que estén registradas para hacer negocios en el estado también deben cumplir la ley.

¿Cuáles son las sanciones por infringir la normativa sobre intermediarios de datos de Vermont?

Se considera que los corredores de datos que infringen el Reglamento de Corredores de Datos de Vermont también infringen la Ley de Protección del Consumidor de Vermont. De acuerdo con ambas leyes, las sanciones por infracción pueden incluir multas monetarias de hasta 10.000 dólares por infracción, además de otras formas de reparación. Por otra parte, los consumidores de Vermont también están autorizados a interponer una acción privada contra los corredores de datos en relación con las violaciones de la ley, incluyendo medidas cautelares, daños y perjuicios, y los costes asociados, tales como honorarios judiciales y de abogados. Por otra parte, el Reglamento de Corredores de Datos de Vermont no prevé sanciones penales. La ley es aplicada por el Fiscal General del Estado de Vermont.

A medida que los estados de todo Estados Unidos continúan examinando lo que significa proteger los derechos de privacidad personal de sus residentes, el Reglamento de Corredores de Datos de Vermont es una de las muchas leyes de privacidad de datos que se han aprobado en todo el país en los últimos años. Al igual que el Reglamento General de Protección de Datos de la UE o GDPR y la Ley de Derechos de Privacidad de California o CCPA, el Reglamento de Corredores de Datos de Vermont esboza requisitos específicos para la recopilación de datos personales e información de los residentes de Vermont. Si bien el Reglamento de Corredores de Datos de Vermont es menos restrictivo que otras leyes de privacidad en lo que respecta a los requisitos que deben cumplir las empresas, las sanciones por incumplimiento también son más severas que otras leyes. Por lo tanto, los residentes de Vermont pueden estar seguros de que sus derechos de privacidad de datos están protegidos en todo momento.