Ley de Protección de Datos del Consumidor de Colorado: Más fuerte y más difícil para las empresas

En enero de 2018, los legisladores de Colorado presentaron un nuevo y radical proyecto de ley que exige "procedimientos y prácticas de seguridad razonables" para la protección de la información de identificación personal.

La legislación establece un plazo para notificar al Fiscal General y a los residentes de Colorado afectados en caso de violación de datos. El año pasado, el gobernador de Colorado, John Hickenlooper, promulgó la ley. De este modo, Colorado se une a California como pionero en la carrera por reforzar las leyes de privacidad de datos existentes. La nueva ley entró en vigor a partir del 1 de septiembre de 2018, introduciendo importantes implicaciones para las empresas y organizaciones con sede en Colorado.

Las enmiendas amplían los requisitos de notificación de infracciones anteriores y aclaran la definición de la información que, en caso de infracción, requeriría que el controlador de datos notificara a los residentes de Colorado afectados. La nueva ley define la "información personal" (PI), también denominada "información de identificación personal (PII) como:

"el nombre o la inicial del nombre y el apellido de un residente de Colorado en combinación con uno o más de los siguientes elementos de datos que se relacionan con el residente, cuando los elementos de datos no están codificados, redactados o asegurados por cualquier otro método que haga que el nombre o el elemento sean ilegibles o inutilizables:

  • número de la seguridad social;

  • número de identificación de estudiante, militar o de pasaporte;

  • número de licencia de conducir o número de tarjeta de identificación;

  • información médica; número de identificación del seguro médico; o,

  • datos biométricos.

 Otras formas de IP

La IP también incluye un nombre de usuario o una dirección de correo electrónico, cuando se combinan con una contraseña o preguntas y respuestas de seguridad, que podrían permitir el acceso a la cuenta en línea de un usuario. El número de tarjeta de crédito o de cuenta bancaria de un residente de Colorado, junto con los códigos de seguridad o las contraseñas asociadas que permiten el acceso a la cuenta, son otros ejemplos de IP.

Procedimiento de notificación

Cuando se informa de una violación de datos que afecta a los residentes de Colorado, las empresas deben notificar a todos los sujetos de datos afectados. Además, en los casos en que más de 500 residentes se vean afectados por la violación, el Fiscal General de Colorado debe ser notificado en un plazo de 30 días a partir de la fecha en que se descubrió la violación de seguridad.

También se añaden a las normas de notificación de violaciones de datos existentes en el estado requisitos específicos de contenido. En particular, la ley no prevé exenciones para las organizaciones que están sujetas a los requisitos de notificación de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) o la también conocida como Ley de Modernización de los Servicios Financieros de 1999 (también conocida como Ley Gramm-Leach-Bliley). En caso de conflicto entre el periodo de notificación de 30 días y un plazo especificado por otra ley estatal o federal, tiene prioridad el periodo de notificación más corto.

La oficina del Fiscal General, que encabezó la legislación, está debidamente autorizada para hacer cumplir los nuevos requisitos y puede emprender acciones legales para exigir su cumplimiento, incluida la recuperación de los daños económicos directos resultantes de una infracción.


Preguntas frecuentes - Su oportunidad de presentar sus preguntas

Le invitamos a que nos envíe sus comentarios y preguntas sobre este tema.
Mientras tanto, aquí están las 3 preguntas más frecuentes hasta ahora:

P1: ¿A quiénes afectan los cambios en las leyes de protección de datos de los consumidores de Colorado?

Casi todos los habitantes de Colorado. Una lista cada vez mayor de entidades -incluyendo su empleador, su médico, su aseguradora, su banco y muchas empresas en línea- recogen y mantienen su información personal. Las actualizaciones de la ley de Colorado están diseñadas para mantener su información lo más segura posible y para garantizar que se le notifique rápidamente si su información personal se ve comprometida.   

P2: ¿Cómo han cambiado las leyes?

Ha habido tres cambios importantes:

En primer lugar, se ha actualizado la ley que exige a las entidades, tanto comerciales como gubernamentales, que recogen información de identificación personal que la eliminen cuando ya no la necesiten, y que se aseguren de que sea ilegible al eliminarla.

En segundo lugar, una nueva ley exige a las entidades que recopilan su información de identificación personal que tomen medidas razonables para protegerla de cualquier peligro.

En tercer lugar, se han producido actualizaciones de la ley que exigen que las entidades notifiquen a los consumidores cuando su información personal pueda haber sido comprometida. En la mayoría de los casos, la notificación debe realizarse en un plazo de 30 días desde que la entidad determina que se ha producido una violación que puede dar lugar a un uso indebido de su información. Además, la notificación debe proporcionar cierta información que podría ayudarle a protegerse contra el robo de identidad.

P3: ¿Cuál es la fecha de entrada en vigor de estos cambios en la ley?

Los cambios son efectivos a partir del 1 de septiembre de 2018.

  • ¿Qué piensan los habitantes de Colorado?

El Denver Post publicó recientemente la opinión de algunos residentes de Colorado sobre el tema "Hacer del derecho a la intimidad una prioridad". Incluimos a continuación, los comentarios de dos lectores del DP en respuesta a "Las líneas de batalla se están formando a medida que la ley de privacidad de EE.UU. se avecina". Noticia del 28 de enero en el Denver Post:

  • Re: "Se forman líneas de batalla en la lucha por la ley de privacidad de Estados Unidos", noticia del 28 de enero

"Hace tiempo, en el país de la libertad, todo el mundo sabía quiénes eran los Tres Grandes. Eran General Motors, Ford y Chrysler. Esas empresas vendían productos que permitían a los estadounidenses obtener la libertad. Podías ponerte al volante e ir a donde quisieras y hacer lo que quisieras, ¡y no era asunto de nadie más que tuyo!

Hoy en día, los tres grandes son Facebook, Google y Amazon. Venden servicios y productos de los que los estadounidenses no pueden prescindir, aunque Estados Unidos funcionaba bien sin ninguno de ellos hace apenas una generación. Sus productos son los equivalentes a la pulsera electrónica en el tobillo. Los estadounidenses creen que estos productos también proporcionan una gran libertad. Excepto que los nuevos Tres Grandes saben dónde estás, qué compras y con quién te comunicas, y venden parte de esta información a terceros interesados. ¿Quién sabe dónde acaba?".

(Nombre del lector retenido), Colorado Springs

  • "Durante muchos años, el derecho a la privacidad fue un concepto importante en este país. Siempre debería serlo. Ninguna empresa debería conservar y utilizar la información de alguien por ningún motivo. El consentimiento para hacerlo no debería estar incluido en la letra pequeña de ningún contrato. Los requisitos legales o el consentimiento expreso por escrito de una persona deberían ser las únicas excepciones, y éstas deberían ser sólo para situaciones específicas. Una persona debería poder responder "no" a una solicitud de este tipo o, mejor aún, simplemente ignorar la solicitud y saber que su información está a salvo.

    El hecho de que una empresa haya gastado millones en construir un sistema para recoger y utilizar estos datos no crea un "derecho" a hacerlo. El derecho a la privacidad debería ser siempre más importante que la capacidad de una empresa para ganar dinero utilizando nuestra información. Si quieren usarla, quizá deban pagarnos".

(Nombre del lector retenido), Arvada

Fuentes y créditos: Oficina del Fiscal General de Colorado, Denver Post

Aviso: Este artículo está destinado únicamente a la información general y no constituye un asesoramiento jurídico.
Consulte con un profesional de la privacidad de datos.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.