Continuando con nuestro reciente artículo sobre la última ronda de enmiendas a las leyes de privacidad de Nevada, echamos un vistazo a las implicaciones de los nuevos derechos de exclusión voluntaria otorgados a los consumidores de Nevada y el impacto en las empresas que tienen que cumplir.
A partir del 1 de octubre de 2019, los propietarios de sitios web comerciales que recopilan información de los residentes del estado de Nevada deben (a menos que se aplique una excepción) proporcionar a los consumidores el derecho a optar por la "venta" de su información personal.
La ley ofrece una nueva definición de "venta", a diferencia de las leyes de privacidad aprobadas recientemente, como la Ley de Privacidad del Consumidor de California (CCPA)
Nevada aprobó el 29 de mayo el proyecto de ley 2201 del Senado (SB 220). La enmienda permite a los residentes de Nevada, en determinadas circunstancias, optar por no vender sus datos personales a terceras organizaciones.
¿A quién afecta?
La ley SB 220 modifica la ley de privacidad en línea existente en el estado, que se aprobó en 2017. La ley se aplica a cualquier empresa que explote sitios web o servicios en línea con fines comerciales y que venda "información cubierta" de residentes de Nevada a terceros debe cumplirla.
Sin embargo, hay ciertas excepciones. Por ejemplo, si una empresa está situada geográficamente en Nevada, tiene menos de 20.000 visitantes al año en su sitio web y sus ingresos proceden en su mayoría de fuentes distintas de la venta de bienes o servicios en el sitio web.
Otras exenciones son los operadores sujetos a la GLBA y la HIPAA, los fabricantes de vehículos de motor y los proveedores de servicios.
La CCPA exime a las entidades sin ánimo de lucro. Sin embargo, no hay una exclusión específica para las organizaciones sin ánimo de lucro en el SB 220. Por lo tanto, estas entidades deben examinar cuidadosamente sus procesos y políticas para determinar si necesitan cumplir con el SB 220, por ejemplo, si "venden" información cubierta bajo la ley de privacidad de Nevada. Por lo tanto, estas entidades deben examinar cuidadosamente sus procesos y políticas para establecer si necesitan cumplir con el SB 220, por ejemplo, si "venden" información cubierta bajo la ley de privacidad de Nevada.
¿Qué es la "información cubierta"?
La información cubierta es una de las 7 categorías de información personal que recoge el operador:
- nombre y apellido;
- domicilio u otra dirección física;
- dirección de correo electrónico;
- número de teléfono;
- Número de la Seguridad Social;
- un identificador que permite contactar con una persona en línea
Por ejemplo, la información utilizada para realizar publicidad basada en el comportamiento, y;
- Cualquier otra información
Las categorías de información #1 a #6 son bastante limitadas. Pero la #7 es mucho más amplia e incluye "cualquier otra información" que se recoja en línea y que, combinada con "un identificador", haga que la información sea personalmente identificable.
Definición de "venta"
A diferencia de la definición de "venta" de la CCPA, la ley de privacidad de Nevada limita el término a:
"el intercambio de información cubierta a cambio de una contraprestación monetaria por parte del operador a una persona para que ésta conceda una licencia o venda la información cubierta a otras personas". La CCPA es considerablemente más amplia, al incluir dentro de la definición "contraprestación monetaria u otra contraprestación valiosa".
Quedan exentos de la definición de Nevada no sólo el suministro de información a un vendedor o proveedor de servicios, sino también:
- en situaciones en las que el consumidor lo habría esperado y son "coherentes . ... [con] el contexto en el que" se proporcionó la información, y;
- a un afiliado.
Al igual que con la CCPA, las empresas recibirán solicitudes de los consumidores a través de "solicitudes verificadas".
¿Qué deben hacer las empresas afectadas?
Las empresas, o los "operadores" que entran en los elementos del SB 220, deben proporcionar a los consumidores un aviso de privacidad que especifique todas las categorías de información personal que se recoge. Además, el aviso, o la política, debe explicar cómo los consumidores pueden solicitar que se modifique su información personal, describir cómo se les notificará cualquier cambio en el aviso, y también indicar si algún tercero puede recopilar información personal.
Como se ha indicado, a partir del 1 de octubre de 2019, los consumidores de Nevada tendrán derecho a optar por la "venta" de su información personal. La ley define la "venta" como la divulgación de la información personal de los consumidores a cambio de una contraprestación monetaria a una persona que venderá o licenciará la información a otros. Esto incluye la información personal que un operador vende actualmente o puede vender en algún momento en el futuro. Los operadores tendrán que determinar si cualquier divulgación de información personal de este tipo constituye una "venta".
El proyecto de ley también exige a los operadores que establezcan una "dirección de solicitud designada". Puede ser una dirección de correo electrónico, un número de teléfono gratuito o un sitio web que permita a los consumidores de Nevada presentar "solicitudes verificadas". Esto significa que los operadores deben verificar razonablemente que las solicitudes de exclusión y la identidad del consumidor son legítimas, utilizando "medios comercialmente razonables"*.
*En el momento de redactar este documento, el legislador de Nevada no ha definido el término "medios comercialmente razonables".
Las empresas tienen 60 días para tramitar la solicitud de exclusión. Transcurrido este tiempo, deben dejar de vender la información personal que han recogido, así como la que "recogerán" sobre el individuo.
Ejecución y sanciones
Cuando el SB 220 entre en vigor el 1 de octubre, el Fiscal General de Nevada será responsable de la aplicación de los requisitos de la ley, utilizando una serie de mecanismos, incluyendo la solicitud de medidas cautelares temporales o permanentes, o sanciones de hasta $5.000 por cada violación de las obligaciones de notificación y exclusión de la ley.
¿Cómo pueden prepararse los operadores?
A sólo tres meses de la entrada en vigor de los nuevos requisitos, los operadores que aún no están preparados para el SB 220 podrían considerar las siguientes medidas:
- Revisar las actividades actuales de procesamiento, las políticas, los contratos y los mapas de datos, para identificar cualquier o todas las revelaciones de información personal de los consumidores. Actualizar los procedimientos y políticas internas cuando sea necesario.
- Identifique a todos los terceros que revenden la información personal recopilada por el operador.
- Implantar un mecanismo seguro que permita a los consumidores presentar fácilmente solicitudes de exclusión.
- Documente completamente todas las solicitudes de exclusión para asegurarse de que se verifican y se procesan dentro del periodo legal de 60 días. Las solicitudes deben documentarse incluso si los operadores no venden información personal. Esto se debe a que dichas solicitudes deben ser respetadas en caso de una posible venta futura de información personal.
- Implementar y documentar los procesos para facilitar las solicitudes de exclusión y actualizar todas las políticas de gestión de registros para alinearlas con los requisitos del SB 220.
- Diseñar y aplicar un procedimiento de verificación de las solicitudes de los consumidores. El proceso de verificación debe tener en cuenta las categorías, la naturaleza y la sensibilidad de la información personal recogida.
- Actualizar todos los sitios web y otros avisos de privacidad en línea cuando sea necesario. Los avisos y las políticas deben describir en términos fáciles de entender cómo los consumidores pueden presentar una solicitud de exclusión.
Este artículo se proporciona únicamente con fines informativos. El Grupo de Privacidad de Datos recomienda encarecidamente que se contraten los servicios de un profesional de la privacidad de datos con experiencia y/o de un abogado debidamente cualificado a la hora de prepararse para el cumplimiento de cualquier legislación sobre protección de datos y privacidad.
Fuentes y lecturas adicionales: Proyecto de ley 220 del Senado,