Nueva legislación sobre privacidad de datos biométricos en VA

VA H.B. 2307 es una ley integral de privacidad de datos biométricos sanitarios que se promulgó recientemente en 2021. En los últimos años, el estado de Virginia ha implantado un sólido marco jurídico en materia de protección de datos y privacidad personal, cuyo mejor ejemplo es la promulgación de la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) en 2021. En este sentido, la VA H.B. 2307 proporciona protección jurídica a los ciudadanos del estado en lo que respecta a la recogida, uso y divulgación de datos biométricos en relación con los servicios sanitarios. Además, también establece las sanciones a las que se exponen los proveedores y las organizaciones sanitarias en caso de que no respeten los derechos de privacidad biométrica de los residentes de Virginia.

¿Cómo define la ley los datos biométricos?

La ley VA H.B. 2307 define los datos biométricos como “los datos generados por mediciones automáticas de las características biológicas de una persona, como una huella dactilar, una huella vocal, la retina, el iris u otros patrones o características biológicos únicos que se utilizan para identificar a una persona concreta”. “Los “datos biométricos” no incluyen una fotografía física o digital, una grabación de vídeo o audio o los datos generados a partir de ella, ni la información recopilada, utilizada o almacenada para el tratamiento, pago u operaciones de atención sanitaria en virtud de la HIPAA”. Por el contrario, la ley define los datos personales como “cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable”. Los “datos personales” no incluyen los datos desidentificados ni la información públicamente disponible”.

¿Cuáles son las obligaciones de los responsables del tratamiento en virtud de la ley?

Las responsabilidades que los responsables y encargados del tratamiento de datos tienen en virtud de la ley VA H.B. 2307 con respecto a la protección de la información biométrica y sanitaria de los residentes en el Estado incluyen, entre otras, las siguientes:

• Los controladores de datos están obligados a limitar la recopilación de datos personales a lo que sea adecuado, pertinente y razonablemente necesario para proporcionar a los consumidores los servicios que han solicitado.
• Se prohíbe a los responsables del tratamiento divulgar los datos personales de los consumidores con fines incompatibles con aquellos para los que fueron recogidos, a menos que el consumidor consienta en ello.
• Se exige a los responsables del tratamiento que desarrollen y apliquen medidas de seguridad y salvaguardias que puedan utilizarse para garantizar que la información biométrica y personal de los consumidores está protegida en todo momento.
• Los responsables del tratamiento están obligados a procesar todos los datos personales o biométricos de conformidad con el resto de la legislación aplicable, tanto a nivel estatal como federal. Además, también se prohíbe a los responsables del tratamiento de datos discriminar a los consumidores en modo alguno cuando recojan datos de ellos.
• Los responsables del tratamiento sólo pueden recoger y tratar los datos personales sensibles de los consumidores, como los datos biométricos que se utilizan para identificar a una persona física, con el consentimiento de dichos consumidores.

¿Cuáles son los derechos de los consumidores en virtud de la ley?

Los derechos que los consumidores del estado de Virginia tienen en virtud de la ley H.B. 2307 incluyen:

• El derecho a confirmar si su información personal está siendo procesada o no, así como el derecho a acceder a esta información a su propia discreción.
• Derecho a corregir las inexactitudes de los datos que les conciernan y que se hayan presentado a un responsable del tratamiento de datos.
• Derecho a solicitar la supresión de los datos personales que le conciernan.
• Derecho a obtener una copia de sus datos personales.
• Derecho a oponerse al tratamiento de sus datos personales con fines de marketing selectivo, venta de sus datos o cualquier otra decisión relativa a la elaboración de perfiles de datos.

Por otra parte, en lo que respecta a la aplicación de la ley, las disposiciones de la ley VA H.B. 2307 son aplicadas por el fiscal general del estado. Con este fin, el fiscal general del estado de Virginia está facultado para imponer una amplia gama de penas y sanciones a las personas y entidades del estado que incumplan la ley. En particular, las organizaciones que infrinjan la ley están sujetas a una multa de hasta 7.500 dólares por cada infracción. Es más, el fiscal general también conserva el derecho a recuperar los gastos razonables incurridos durante el curso de un caso concreto en relación con el incumplimiento de la ley.

A partir de 2022, el estado de Virginia tiene posiblemente el panorama de protección de datos y privacidad personal más estricto y rígido del país. Mientras que la gran mayoría de los estados de EE.UU. aún no han aprobado ni siquiera las formas más básicas de legislación de protección de la información personal, la Ley de Protección de Datos de los Consumidores de Virginia y la H.B. 2307 protegen los datos personales de los consumidores del estado de varias maneras. Gracias a los derechos que les confieren estas leyes, los consumidores de Virginia disponen de una serie de medios y métodos en caso de que consideren que se ha vulnerado su intimidad.