¿Qué es la Ley de Protección de Datos de los Consumidores de Virginia?
La Ley de Protección de Datos de los Consumidores de Virginia (VCDPA, por sus siglas en inglés) de 2021 es una exhaustiva ley estatal de privacidad orientada a proteger la información sensible y la privacidad de los residentes y consumidores de Virginia. La VCDPA utiliza el concepto de “responsable del tratamiento” para definir a las empresas que determinan la finalidad y los medios concretos del tratamiento de datos y el concepto de “encargado del tratamiento” para describir a las entidades que tratan dichos datos en nombre de los “responsables del tratamiento”. Es más, la VCDPA define los datos personales de forma más amplia para significar “cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable”. Además, la VCDPA otorga a los consumidores el derecho a conocer, acceder, suprimir, modificar, rectificar o rechazar la venta y el tratamiento de su información personal con fines de publicidad dirigida.
La VCDPA se inspira tanto en el lenguaje como en el contenido de la Ley de Privacidad del Consumidor de California (CCPA) y de la recién promulgada Ley de Derechos de Privacidad y Aplicación de California. Sin embargo, la VCDPA difiere de estas leyes en ciertos aspectos. Por ejemplo, la VCDPA concede a los consumidores de Virginia el derecho a conocer, acceder, suprimir y optar por no participar en la venta o el tratamiento de cualquier información personal que les concierna, al igual que la CCPA. Por otra parte, la VCDPA contiene un lenguaje y una estructura más similares a los del GDPR que a los de la CCPA, como la adopción de requisitos de evaluación de la protección de datos, así como cierta terminología como “encargado del tratamiento” y “responsable del tratamiento”. Además, la VCDPA difiere de la CCPA en que deja la aplicación de la ley totalmente a discreción del Fiscal General, en lugar de establecer un organismo burocrático independiente para supervisar las violaciones de la privacidad.
¿Cuáles son las obligaciones de las empresas para con los consumidores en virtud de la VCDPA?
Al igual que la CCPA, la VCDPA obliga a las empresas que operan en el estado de Virginia a limitar la recopilación y el uso de datos personales a los usos que sean razonablemente necesarios y aplicables a los fines que se comunicaron a los consumidores cuando se recopiló su información. Por ejemplo, una agencia de cobro de deudas sólo debe recopilar y utilizar su información en el contexto de la liquidación de su deuda. Además, los “controladores” y “procesadores” de datos personales de la VCDPA deben obtener primero el consentimiento de los consumidores antes de procesar estos datos para cualquier otro fin. Además, la VCDPA exige que las empresas “establezcan, apliquen y mantengan prácticas administrativas, técnicas y físicas razonables de seguridad de los datos para proteger la confidencialidad, integridad y accesibilidad de los datos personales”.
En consonancia con las similitudes de la VCDPA con el GDPR europeo, la VCDPA también exige que las empresas lleven a cabo algún tipo de “evaluación de la protección de datos”, con el objetivo de identificar y evaluar las transacciones que puedan entrañar un alto riesgo para los consumidores. Los “responsables del tratamiento” y los “encargados del tratamiento” también deben regirse por algún tipo de acuerdo formal. Este acuerdo debe incluir determinadas disposiciones de conservación y confidencialidad y debe “establecer claramente las instrucciones para el tratamiento de datos, la naturaleza y la finalidad del tratamiento, el tipo de datos sujetos a tratamiento, la duración del tratamiento y los derechos y obligaciones de ambas partes”. El incumplimiento de la VCDPA puede acarrear una multa de hasta 7.500 dólares por infracción o incumplimiento, así como cualquier otro gasto auxiliar devengado durante la investigación, como los honorarios de los abogados.
¿Quién debe cumplir la VCDPA?
La VCDPA se aplica a todas las entidades “que realizan negocios en la mancomunidad de Virginia o fabrican productos y servicios dirigidos a residentes de la mancomunidad” y cumplen los siguientes criterios en un ejercicio fiscal determinado:
- Procesan o controlan datos personales de al menos 100.000 residentes en Virginia.
- Obtener más del 50% de los ingresos brutos de la venta de datos personales (por el momento no está claro si este umbral se aplica estrictamente a los residentes de Virginia) y procesar o controlar los datos personales de al menos 25.000 residentes de Virginia.
Para explicarlo en términos sencillos, la VCDPA se aplicará en general a las empresas de empresa a empresa y con ánimo de lucro que interactúen con la información personal sensible de los residentes de Virginia o la procesen a gran escala. Por ejemplo, es posible que una pequeña empresa familiar de un pueblo poco poblado de la Virginia rural nunca supere el umbral necesario para entrar en el ámbito de aplicación de la VCDPA. Por el contrario, una gran tienda minorista como H&M o Target cruzaría este umbral en cuestión de semanas, si no de días. Además, la VCPDA toma prestado más lenguaje de la CCPA en el sentido de que no especifica ni define los parámetros para “hacer negocios” en el estado de Virginia. No obstante, cualquier empresa que lleve a cabo una actividad económica que desencadene la responsabilidad fiscal de la jurisdicción personal en el estado de Virginia sería igualmente aplicable en virtud de las normas establecidas por la VCDPA.