La Ley de Privacidad de Nevada otorga derechos de exclusión a los "datos para la venta

El gobernador de Nevada, Steve Sisolak, ha firmado una enmienda (SB 220) a la ley de seguridad y privacidad de Nevada, que exige a los operadores de sitios web comerciales o servicios en línea que permitan a los consumidores optar por la venta de cualquier información personal cubierta que el operador tenga, o pretenda, recoger sobre ellos.

La nueva ley del Estado de la Plata, titulada Capítulo 603A - Seguridad y privacidad de la información personal entrará en vigor el 1 de octubre de 2019, dos meses antes que la Ley de Privacidad del Consumidor de California (CCPA), más completa. Esto la convertirá en la primera ley de Estados Unidos que otorga a los consumidores el derecho a excluirse de la venta de sus datos personales.
 

Definiciones y derechos

Los derechos de los consumidores previstos en el SB-220 están más definidos que los derechos previstos en la CCPA o en el Reglamento General de Protección de Datos (RGPD) de la UE. Por ejemplo, tanto la CCPA como el GDPR conceden a los consumidores amplios derechos de acceso, portabilidad y supresión de sus datos personales, mientras que el SB-220 solo contempla el derecho a optar por no vender dichos datos.

Otro ejemplo es que, a diferencia de la CCPA, que define ampliamente a los "consumidores" como "una persona física residente en California, el término "consumidor" se define en la ley de Nevada como una "persona que busca o adquiere, mediante compra o alquiler, cualquier bien, servicio, dinero o crédito para fines personales, familiares o domésticos del sitio web de Internet o del servicio en línea de un operador". Por lo tanto, los empleados y los contactos entre empresas están excluidos de la definición de "consumidor" en virtud de la ley SB-220.

Curiosamente, existe cierta controversia sobre la definición del término en California por parte de la comunidad empresarial en cuanto a la aplicación de la ley a la información personal de los empleados. El patrocinador de la CCPA en la Asamblea del Estado de California presentó el proyecto de ley AB-25 para modificar la CCPA con el fin de dejar muy claro que la ley no se aplica a los datos de los empleados, en el ámbito de una persona que actúa como empleado.

 

El proyecto de ley SB-220 otorga a los consumidores el derecho a ordenar a los operadores de sitios web que no vendan determinada información. El proyecto de ley define "venta" como "el intercambio de información cubierta a cambio de una contraprestación monetaria por parte del operador a una persona para que ésta conceda una licencia o venda la información cubierta a otras personas".

El término "información cubierta" se define como: nombre, dirección física, dirección de correo electrónico, número de teléfono, número de la Seguridad Social, así como "un identificador que permita ponerse en contacto con una persona específica, ya sea físicamente o en línea" y "cualquier otra información relativa a una persona recopilada de la persona a través del sitio web de Internet o del servicio en línea ... en combinación con un identificador en una forma que hace que la información sea personalmente identificable".

La definición de "Operador" no incluye a las entidades sujetas a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

El término "venta" se limita estrictamente a "el intercambio de información cubierta a cambio de una contraprestación monetaria por parte del operador a una persona para que ésta conceda una licencia o venda la información cubierta a otras personas". Además, la "venta" no incluye la divulgación de la información cubierta por parte del operador a una persona que:

  • procesa la información cubierta en nombre del operador;
  • tiene una relación directa con el consumidor;
  • procesa los datos para fines que son coherentes con las expectativas razonables del consumidor teniendo en cuenta el contexto en el que el consumidor proporcionó la información cubierta;
  • es un afiliado, o si
  • la transferencia forma parte de una fusión, una adquisición o una quiebra.

En virtud de la nueva ley de seguridad y privacidad de Nevada, los operadores que recojan información cubierta de consumidores que residan en el estado de Nevada deben proporcionar y supervisar "una dirección de correo electrónico, un número de teléfono gratuito o un sitio web de Internet" a través de los cuales un consumidor pueda optar por no vender su información personal. Una vez que un operador haya recibido dicha "solicitud verificada", dicho operador no podrá vender ninguna información cubierta que haya recogido o pretenda recoger sobre ese consumidor. Los operadores deben responder a una solicitud verificada en un plazo de 60 días a partir de su recepción, a menos que sea razonablemente necesaria una prórroga de 30 días para poner en práctica la solicitud, en cuyo caso se debe notificar al consumidor.

La definición del término "información cubierta" no se modifica en la nueva ley de Nevada. Además, no impone ninguna restricción a los operadores en lo que respecta a la divulgación de la información cubierta a terceros, siempre que los fines de dicha divulgación "sean coherentes con las expectativas razonables de un consumidor teniendo en cuenta el contexto en el que el consumidor proporcionó la información cubierta al operador."

Identificación de terceros

Si un operador comparte información personal con terceros, debe hacer todo lo posible por identificar a esos terceros. A continuación, el operador debe asignarles categorías y enumerarlas en su Aviso de Privacidad. El operador también tiene la opción de identificarlos individualmente si sólo se asocia con un número relativamente pequeño de terceros.

Esto permite al operador cumplir dos requisitos de la ley de Nevada:

  1. identificar a terceros o categorías de terceros, y;
  2. indicando si utilizarán la información para crear anuncios específicos basados en el uso de la web y los patrones de compra de los usuarios.

     

Notificación a los consumidores

A diferencia de la CCPA y el GDPR, el SB 220 no añade ningún nuevo requisito de notificación para los operadores de sitios web. En cambio, se mantienen los requisitos existentes de notificación a los consumidores de Nevada. La ley actual exige que las empresas proporcionen la siguiente información en el Aviso de Privacidad de su sitio web:

  • Categorías de información recopilada;
  • Categorías de terceros con los que se comparten los datos;
  • Una descripción del proceso que los consumidores pueden utilizar para revisar y solicitar cambios en su información cubierta (si existe un proceso para hacerlo);
  • Una indicación de que terceros pueden rastrear las actividades en línea del consumidor "a lo largo del tiempo y en diferentes sitios web de Internet" (si procede), y;
  • La fecha de la "notificación efectiva".

A diferencia de la ley de privacidad de California, en la que existen ciertas exenciones para determinados tipos de datos regulados por otras leyes, como la HIPAA y la Gramm Leach Bliley Act (GLBA), la ley de Nevada exime de la definición de "operadores" a determinadas entidades, como las instituciones financieras o las filiales que están sujetas a la HIPAA, y las entidades que están sujetas a la GLBA.

También existe una exención especial para los fabricantes de vehículos de motor, en relación con la suscripción de una tecnología o servicio relativo al vehículo.

Aplicación de la ley de seguridad y privacidad de Nevada

En virtud de la legislación actual, el Fiscal General del Estado es el único responsable de hacer cumplir la ley en caso de infracción de los requisitos de privacidad y seguridad de Nevada, tal como se especifica en NRS 603A. El proyecto de ley SB-220 no modifica este acuerdo, que no proporciona ningún derecho de acción privado a los consumidores.

Las empresas que infrinjan cualquiera de los requisitos de privacidad y seguridad podrían enfrentarse a multas de hasta $5.000 por cada infracción, además de un requerimiento judicial, después de que el fiscal general de Nevada les notifique la infracción y les dé la oportunidad de subsanarla.
 

Conclusión:

Que el panorama de la privacidad del consumidor está experimentando un cambio fundamental es un eufemismo. La legislación en materia de privacidad en todos los estados de EE.UU. plantea importantes retos de cumplimiento para cualquier empresa que haga negocios a nivel nacional, ya que tienen que lidiar con las obligaciones legales y reglamentarias en nuestro mundo conectado. Esto probablemente se agravará con la introducción de una ley de privacidad a nivel federal.

Las empresas que ya están trabajando para cumplir con la CCPA pueden, al menos, estar tranquilas, ya que el proceso de cumplimiento de la ley de Nevada puede ser significativamente más fácil.

Ahora es más importante que nunca que las empresas conozcan en detalle sus operaciones y prácticas de recogida y tratamiento de datos, identificando a los socios con los que comparten datos personales y registrando dónde se almacenan todos esos datos dentro de la empresa.

Toda la información recopilada debe estar plenamente documentada. El personal debe ser consciente de sus responsabilidades en la protección de la información personal de los consumidores. Y los avisos de privacidad deben actualizarse para adaptarse a la promulgación de la nueva legislación sobre privacidad de los consumidores.

Este artículo se proporciona únicamente con fines informativos. El Grupo de Privacidad de Datos le recomienda encarecidamente que contrate los servicios de un profesional con experiencia en privacidad de datos cuando se prepare para cumplir con cualquier legislación de protección de datos y privacidad.

Fuentes y agradecimientos: IAPP, Términos de la alimentación

Más información: Capítulo 603A, SB220

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.