La Ley de Privacidad de Colorado y sus nuevos requisitos

La Ley de Privacidad de Colorado es una ley integral de privacidad de datos recientemente aprobada y orientada a proteger la privacidad y la información personal de los residentes de Colorado cuando utilizan Internet. La ley identifica e impone una serie de obligaciones a los “controladores” y “procesadores” de la información personal que se recopila en línea de los consumidores de Colorado. Según la ley, un controlador se define como una persona que “determina los fines y los medios del tratamiento de datos personales”. Por su parte, un “encargado del tratamiento” se define como la persona que trata los datos personales de los consumidores por cuenta del responsable del tratamiento. Los requisitos y obligaciones de los responsables del tratamiento con arreglo a la Ley son los siguientes

• Proporcionar a los consumidores un “aviso de privacidad razonablemente accesible, claro y significativo” que describa las categorías específicas de datos personales que van a ser recogidos o tratados por el responsable o el encargado del tratamiento, los fines específicos de este tratamiento, la forma en que los consumidores pueden ejercer sus derechos en virtud de la Ley de Privacidad de Colorado, las categorías de datos personales que se comparten con terceros y las categorías específicas de terceros con los que se comparten estos datos.
• Revelar de forma visible cualquier venta de datos personales de un consumidor y explicar la forma en que los consumidores pueden optar por no participar en la venta y el tratamiento de sus datos personales.
• Limitar la recopilación de datos personales de un consumidor a lo “razonablemente necesario” en relación con la tarea específica para la que se procesan los datos.
• Adoptar medidas razonables para proteger los datos personales de los consumidores que sean compatibles con el alcance, la naturaleza y el volumen de dichos datos.
• Obtener el consentimiento de los consumidores antes de proceder al tratamiento de sus datos personales mediante un acto claro y afirmativo en el que conste que el consentimiento se presta de forma libre, específica, informada e inequívoca. Además, la ley también establece que el consentimiento no puede obtenerse a través de medios amplios, términos generales o patrones oscuros destinados a influir negativamente en las decisiones de los consumidores.

¿Quién está protegido por la Ley de Privacidad de Colorado?

La Ley de Privacidad de Colorado protege a los residentes de Colorado y les otorga ciertos derechos en relación con la protección de su información y datos personales. Más concretamente, la CPA otorga a los consumidores de Colorado los siguientes derechos:

• Derecho a presentar solicitudes de datos autentificadas a los responsables del tratamiento.
• Derecho a oponerse al tratamiento de datos personales con fines de publicidad dirigida.
• Derecho a confirmar si un responsable del tratamiento está tratando sus datos personales, así como derecho a acceder a dichos datos.
• Derecho a corregir inexactitudes en los datos personales de un consumidor.
• Derecho a eliminar los datos personales de un consumidor.
• El derecho a obtener una copia de sus datos personales de forma portátil, si es técnicamente factible.

Al igual que la Ley de Privacidad de California y la Ley de Privacidad de Virginia, la CPA exige a los responsables del tratamiento que respondan a las solicitudes autenticadas de los consumidores en un plazo de 45 días. Es más, la CPA también exige a los responsables del tratamiento que establezcan un proceso mediante el cual los consumidores puedan recurrir la denegación de su solicitud de autenticación.

¿A quién se aplica la Ley de Privacidad de Colorado?

La Ley de Privacidad de Colorado se aplica a todos los residentes de Colorado, definidos como consumidores según la CPA, e impone requisitos de protección de datos a las empresas que cumplan uno de los siguientes umbrales:

• Realiza negocios dentro del estado de Colorado.
• Produce o suministra productos o servicios comerciales dirigidos intencionadamente a residentes del estado de Colorado.
• Controla o procesa los datos de al menos 100.000 residentes de Colorado.
• Controla o procesa los datos personales de al menos 25.000.

¿Cómo cumplen las empresas la Ley de Privacidad de Colorado?

Al igual que las recientemente aprobadas leyes de privacidad de datos de Virginia y California, la CPA permite a las empresas y sociedades desarrollar su propio enfoque uniforme general en relación con las obligaciones de cumplimiento de la privacidad de datos. A pesar de ello, la CPA sugiere el siguiente marco para evaluar dichas obligaciones y requisitos de cumplimiento en virtud de la ley:

• Confirme que su empresa está sujeta a la CPA- Las empresas deberán determinar si cumplen el umbral jurisdiccional de la CPA, que no incluye un umbral mínimo de ingresos.
• Determine si su negocio funciona sobre la base de la venta o compra de información personal- Las empresas y sociedades tendrán que establecer si y en qué medida sus revelaciones de información personal a terceros se ajustan a la definición de venta de datos de la CPA, incluida la revelación a cambio de una “contraprestación valiosa”. Con arreglo a la CPA, las divulgaciones a procesadores o afiliados con el fin de proporcionar un producto o servicio solicitado por un consumidor no se consideran ventas.
• Revisar las políticas de privacidad – Las empresas deben revisar las políticas de privacidad para reflejar el procesamiento de datos actual, comunicar los nuevos derechos que están disponibles para los consumidores de Colorado, e identificar los mecanismos que permitan a los consumidores aprovechar estos derechos.
• Aplicar medidas de seguridad razonables: evaluar las prácticas, políticas y controles de ciberseguridad para garantizar que se ajustan a las normas del sector.
• Realizar evaluaciones de protección de datos: las empresas deben realizar evaluaciones de protección de datos en relación con la forma en que la empresa utiliza, procesa y vende datos personales. Es más, también deben considerar el riesgo que implica dicho tratamiento.
• Antes del 1 de julio de 2024, fecha de entrada en vigor oficial de la CPA, las empresas deben empezar a utilizar un “mecanismo de exclusión universal seleccionado por el usuario” de acuerdo con los requisitos técnicos que establezca el Fiscal General del Estado de Colorado.
• Las empresas que recojan datos personales de los consumidores están obligadas a obtener un “consentimiento afirmativo, informado y claro” antes de recoger dichos datos. La CPA especifica que el consentimiento no incluye la aceptación de las condiciones generales de uso o de servicio de una empresa, el uso de patrones oscuros o la navegación, silenciamiento, pausa o cierre de contenidos. Las empresas deben desarrollar mecanismos de consentimiento de acuerdo con estas limitaciones.
• Facilitar la recepción y respuesta a las solicitudes de los consumidores: las empresas deben desarrollar mecanismos para aceptar, verificar, realizar el seguimiento y atender las solicitudes de los consumidores para ejercer sus derechos de acceso, rectificación y supresión en virtud de la CPA.
• Implantar un programa de formación: las empresas deben asegurarse de que los empleados responsables de gestionar las solicitudes y consultas de los clientes entienden y están formados para gestionar dichas solicitudes de forma oportuna y coherente, de modo que se cumpla la CPA.

¿Cuáles son las multas y sanciones por incumplimiento de la CPA?

La CPA será aplicada tanto por los fiscales generales de Colorado como por los fiscales de distrito estatales. Cualquier infracción de la CPA constituye una práctica comercial engañosa en virtud de la Ley de Protección del Consumidor de Colorado. Las infracciones de la CPA y a su vez de la CCPA se castigan con multas de hasta 2.000 dólares por cada infracción, con una sanción máxima de 500.000 dólares por infracciones relacionadas. En virtud de la CPA, los consumidores de Colorado no tienen derecho de acción privada, y el Fiscal General de Colorado está autorizado a “adoptar normas que rijan el proceso de emisión de cartas de opinión y orientación interpretativa para desarrollar un marco operativo para las empresas que incluya una defensa de buena fe de una acción que de otro modo podría constituir una violación” de la CPA.

El objetivo de la CPA es proporcionar a los consumidores y residentes de Colorado un mayor nivel de protección a la hora de compartir su información personal en Internet. Dado que la actividad en línea está en su punto más alto debido a la expansión del servicio de Internet en los últimos 25 años, este tipo de legislación es muy necesaria. En consonancia con la legislación aprobada por Virginia y California, Colorado es el estado que más recientemente ha aprobado una ley integral de protección de datos. Aunque en el momento de redactar este informe sólo un puñado de estados han aprobado este tipo de legislación, es seguro que en un futuro próximo más estados estudiarán la posibilidad de aprobar sus propias formas de leyes de privacidad de datos en línea.