Nueva legislación sobre protección de datos en Connecticut

El proyecto de ley nº 6 del Senado de Connecticut, también conocido como Ley de Privacidad de Datos de Connecticut, es una ley integral de privacidad y protección de datos que se aprobó recientemente en abril de 2022. Con la promulgación de la ley, el estado de Connecticut se ha convertido en el quinto estado de EE.UU. en aprobar una legislación de privacidad de datos orientada a proteger y salvaguardar las diversas formas de información de identificación personal que los residentes del estado revelan al navegar por Internet, realizar compras y utilizar servicios públicos, entre otras cosas. En este sentido, la ley esboza los pasos que deben seguir los responsables y encargados del tratamiento de datos cuando obtienen datos de los ciudadanos de Connecticut.

¿Cómo se define el tratamiento de datos según la ley?

Bajo la Ley de Privacidad de Datos de Connecticut, un procesador de datos se define como “un individuo que, o entidad legal que, procesa datos personales en nombre de un controlador”. Por otra parte, la ley define al responsable del tratamiento de datos como “una persona física o jurídica que, sola o conjuntamente con otras, determina la finalidad y los medios del tratamiento de datos personales.” Además, la ley define el acto de tratamiento de datos como “cualquier operación o conjunto de operaciones efectuadas, por medios manuales o automatizados, sobre datos personales o sobre conjuntos de datos personales, tales como la recogida, utilización, conservación, comunicación, análisis, supresión o modificación de datos personales.”

¿Cuáles son las obligaciones de los responsables y encargados del tratamiento en virtud de la ley?

Algunos de los requisitos de protección de datos y privacidad que los controladores y procesadores de datos que operan en el estado de Connecticut deben cumplir en virtud de las disposiciones de la Ley de Privacidad de Datos de Connecticut incluyen, entre otros:

• Los controladores de datos son responsables de proporcionar a los consumidores un aviso de privacidad antes de recopilar su información personal. Este aviso de privacidad debe describir los elementos de datos específicos que se recogerán, para qué se utilizarán estos elementos de datos y los medios y métodos por los que los consumidores pueden ejercer sus derechos conforme a la ley, entre otras disposiciones pertinentes.
• Los responsables del tratamiento deben limitar la recogida de datos personales a lo que sea pertinente, adecuado y razonablemente necesario en relación con los fines para los que se tratan dichos datos.
• Se prohíbe a los responsables del tratamiento tratar los datos personales con fines distintos de aquellos para los que se recogieron, así como los fines que se comunicaron al consumidor en el momento de la recogida.
• Los responsables del tratamiento deben obtener el consentimiento de los consumidores antes de recoger sus datos personales.
• Los responsables y encargados del tratamiento son responsables de establecer, aplicar y mantener salvaguardias, medidas y prácticas razonables de seguridad técnica, administrativa y física de los datos que puedan utilizarse para proteger todos los datos personales que se recojan o traten.
• Los procesadores de datos tienen prohibido procesar datos personales de forma que se infrinja la legislación estatal y federal aplicable.
• Los responsables del tratamiento son responsables de proporcionar a los consumidores un mecanismo que puedan utilizar para revocar su consentimiento. En caso de que un consumidor revoque su consentimiento para que se procesen sus datos personales, los procesadores de datos son responsables de cesar el procesamiento de sus datos personales lo antes posible, pero a más tardar quince días después de recibir dicha notificación.

¿Cuáles son las sanciones por violar la Ley de Privacidad de Datos de Connecticut?

La Ley de Privacidad de Datos de Connecticut otorga a los residentes del estado los siguientes derechos en lo que respecta a la recopilación y el procesamiento de sus datos personales:

• Derecho a acceder a sus datos personales.
• Derecho a solicitar la rectificación o supresión de sus datos personales.
• Derecho a restringir el tratamiento de su información personal sensible.
• Derecho a oponerse a la venta o uso de su información personal con fines publicitarios o de marketing, incluidos los menores (16 años).
• Derecho a excluirse de los procesos de elaboración de perfiles de datos que se basen exclusivamente en decisiones automatizadas.
• Derecho a que sus datos personales se recojan y traten de forma no discriminatoria.

Por otra parte, en lo que respecta a la aplicación de la ley, el fiscal general de Connecticut se encarga de hacer cumplir los diversos artículos de la Ley de Privacidad de Datos de Connecticut. Dicho esto, los responsables y encargados del tratamiento de datos que operen en el estado de Connecticut y que infrinjan la ley están sujetos a una amplia gama de sanciones y penas. Dichas penas incluyen una sanción pecuniaria de hasta 5.000 dólares por infracción, de conformidad con la Ley de Prácticas Comerciales Desleales de Connecticut, así como daños punitivos, costas y honorarios razonables de abogado. Sin embargo, la ley también concede a los infractores un periodo de subsanación de 60 días para corregir cualquier infracción que haya sido impuesta por el fiscal general.

En los últimos años, muchos estados del país han recurrido a medios legislativos para proteger los datos personales de sus respectivos ciudadanos, como la Ley de Derechos de Privacidad de California (CCPA) y la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA), y la Ley de Privacidad de Datos de Connecticut es la última de estas leyes en aprobarse. Es más, en comparación con muchas otras leyes estadounidenses de protección de datos, los derechos que se ofrecen a los ciudadanos en virtud de la Ley de Privacidad de Datos de Connecticut son numerosos. Con este fin, las disposiciones de la ley proporcionan a los residentes de Connecticut los medios para garantizar que su información personal permanezca confidencial y segura en todo momento.