Texas: Una historia de dos leyes en el camino hacia la ley de privacidad del consumidor.

En marzo de este año, se presentaron en la Cámara de Representantes de Texas no uno, sino dos proyectos de ley sobre la privacidad de los consumidores. El representante republicano Giovanni Capriglione presentó Proyecto de ley 4390 también conocida como Ley de Protección de la Privacidad de Texas, mientras que el representante demócrata Trey Martínez Fischer presentó HB 4518 también conocida como la Ley de Privacidad del Consumidor de Texas.

Como es lógico, ambos proyectos de ley se basan en la Ley de Privacidad del Consumidor de California (CCPA). Pero ahí acaba la similitud, ya que hay una serie de diferencias entre los dos proyectos de ley.

Breve sinopsis de la HB 4390 - Ley de Protección de la Privacidad de Texas (TPPA)

Aunque el proyecto de ley HB 4390 (TPPA) carece del nivel de detalle que ofrece la TCPA, sigue abordando varias áreas similares de la privacidad. Y, aunque el proyecto de ley no enumera específicamente los derechos de los consumidores, como lo hace la TCPA, proporciona una serie de regulaciones sobre las empresas que recogen y procesan la información personal de los consumidores.

Las diferencias de enfoque también son evidentes al examinar los dos proyectos de ley. La TCPA regula la "información personal", mientras que la TPPA regula la "información de identificación personal", que el proyecto de ley define como "una categoría de información relativa a un individuo identificado o identificable".

Sin embargo, aunque hay algunas diferencias, la TPPA es similar a la TCPA, en el sentido de que requiere que el Fiscal General adopte un conjunto adecuado de normas para garantizar que la Ley pueda ser aplicada, administrada y ejecutada correctamente. La TPPA también regularía las empresas que recogen información de identificación personal de los consumidores:

  1. Regulación de la recogida y el tratamiento de los datos de identificación personal.

  2. Exigir a las empresas que apliquen un programa de seguridad de datos.

  3. Exigir a las empresas que publiquen un aviso que incluya información sobre la forma en que la empresa recoge, procesa y divulga la información de identificación personal.

  4. Exigir a las empresas que hagan pública su política de privacidad.

  5. Exigir a las empresas que permitan a los consumidores acceder a sus datos de identificación personal.

  6. Exigir a las empresas que eliminen los datos de identificación personal de los consumidores.

  7. Exigir a las empresas que creen un programa de responsabilidad para garantizar el cumplimiento del TPPA.

  8. Regular la información de los consumidores que las empresas comparten con terceros.

Medidas de ejecución

Para hacer cumplir la ley, la TPPA impondría sanciones civiles de hasta $10.000 por cada infracción, con un importe total máximo de $1 millones. Al igual que la TCPA, la TPPA no contempla la posibilidad de demandas privadas.

Breve sinopsis de la ley HB 4518 - Ley de Privacidad del Consumidor de Texas (TCPA)

Es evidente que la ley HB 4518 refleja fielmente las disposiciones de la Ley de Privacidad del Consumidor de California (CCPA). Al igual que la CCPA, la TCPA proporciona una serie de derechos del consumidor, incluyendo:

  1. El derecho de acceso a sus datos personales recogidos por una empresa.

  2. Derecho a conocer la finalidad de la recogida y las categorías de datos personales recogidos.

  3. El derecho a solicitar la supresión de sus datos personales recogidos por una empresa.

  4. El derecho a saber si su información personal es vendida o divulgada por una empresa.

  5. El derecho a no participar en la venta de sus datos personales.

También se exigiría a las empresas:

  • proporcionar un aviso de privacidad en su sitio web;

  • proporcionar métodos para que los consumidores presenten una solicitud de consumo verificable, y;

  • revelar cierta información en respuesta a una solicitud verificable del consumidor.

Es importante señalar cómo la TCPA difiere de la TPPA en su definición de "información personal", que se define como "información que identifica, se relaciona, describe, puede ser asociada o puede ser razonablemente vinculada, directa o indirectamente, a un consumidor u hogar en particular".

Ambos proyectos de ley ofrecen amplios ejemplos y exclusiones para esta definición.

Medidas de ejecución

La aplicación de la TCPA supondría una sanción civil de $2.500 por cada infracción y de $7.500 por cada infracción intencionada. La TCPA también prevé que el Fiscal General pueda optar por frenar una supuesta violación de la Ley, tras un periodo de notificación de 30 días, mediante la presentación de una orden de restricción temporal o una orden judicial permanente o temporal. El proyecto de ley no prevé una causa de acción privada.

 Pero, tres meses es mucho tiempo en la política (y en la ley), ya que volvemos a avanzar rápidamente hasta el 3 de junio de 2019. Cuando el Comité de Negocios e Industria de la Cámara de Texas celebró una audiencia pública sobre los dos proyectos de ley la semana pasada, varios testimonios en apoyo y oposición. Sin embargo, sólo la HB 4390 sobrevivió hasta el final de la sesión legislativa y ahora está a la espera de la firma del gobernador.

Ahora bien, la HB 4390 se presentó originalmente como un proyecto de ley integral sobre la privacidad de los consumidores, conocido como Ley de Protección de la Privacidad de Texas, pero tras numerosas enmiendas en la Cámara de Representantes y el Senado de Texas, la ley se diluyó finalmente, convirtiéndose en un proyecto de ley que simplemente actualiza los requisitos de notificación de infracciones de la Ley de Protección y Aplicación de la Ley de Robo de Identidad de Texas. Y, al hacerlo, crea el Consejo Asesor de Protección de la Privacidad de Texas, un organismo creado para estudiar las leyes de privacidad de datos antes de la próxima sesión legislativa.

Ley de Aplicación y Protección del Robo de Identidad de Texas (TITEPA):

Las actualizaciones

HB 4390 proporciona actualizaciones para los requisitos de notificación de violación en TITEPA por:

  1. definir mejor el plazo para revelar una violación de la seguridad del sistema, y;

  2. que exige la divulgación de determinada información al fiscal general de Texas en el caso de infracciones que afecten al menos a 250 residentes de Texas.

La TITEPA exige que una "persona que lleve a cabo actividades comerciales en este estado y sea propietaria o licenciataria de datos informatizados que incluyan información personal sensible" revele una "violación de la seguridad del sistema".

La "información personal sensible" incluye:

  • el nombre de pila de un individuo, o;

  • La inicial del nombre y el apellido, más uno o más de los siguientes elementos, (si el nombre y los elementos no están codificados):

  • Número de la Seguridad Social;

  • número de licencia de conducir o número de identificación emitido por el gobierno, o;

  • número de identificación emitido por el gobierno.

La definición también incluye la información que identifica a un individuo y se relaciona con su prestación o pago de salud física o mental.

El término "violación de la seguridad del sistema" significa el acceso y la adquisición no autorizados de datos informatizados que comprometen la seguridad, la confidencialidad o la integridad de la información personal sensible mantenida por una persona, incluidos los datos cifrados, si la persona que accede a los datos tiene la clave necesaria para descifrarlos.

Antes de la ley HB 4390, en caso de que se produzca una violación de la seguridad del sistema, la persona debía revelar la violación "lo antes posible". La ley HB 4390 sustituye el término "lo más rápidamente posible" exigiendo que la revelación se haga "sin demora injustificada y, en cada caso, a más tardar el sexagésimo día después de la fecha en que la persona determine que se ha producido la violación."

El proyecto de ley también añade la obligación de revelar cierta información al fiscal general de Texas en caso de que se produzca una infracción que afecte al menos a 250 residentes de Texas. La notificación debe incluir:

  • Una descripción detallada de la naturaleza y las circunstancias de la violación o del uso de la información personal sensible adquirida como resultado de la violación.

  • El número de residentes de Texas afectados por la infracción en el momento de la notificación.

  • Las medidas adoptadas por la persona en relación con el incumplimiento.

  • Cualquier medida que la persona pretenda adoptar en relación con la infracción después de la notificación prevista en este apartado.

  • Información sobre si las fuerzas del orden están investigando la infracción.

 Formación del Consejo Asesor para la Protección de la Privacidad de Texas (TPPAC)

En lugar de aprobar un proyecto de ley de privacidad del consumidor completamente nuevo y completo, Texas creará ahora el TPPAC. Las principales responsabilidades del Consejo son dos:

  1. Estudiar y evaluar las leyes de Texas y otros estados, así como las jurisdicciones extranjeras pertinentes que rigen la privacidad y la protección de la información que por sí sola, o en conjunto con otra información identifica, o está vinculada o puede ser razonablemente vinculada a un individuo específico, dispositivo tecnológico u hogar.

  2. Hacer recomendaciones a la legislatura de Texas sobre cambios estatutarios específicos en relación con la privacidad y la protección de esa información, incluyendo cambios en la Ley de Aplicación y Protección del Robo de Identidad de Texas (modificada por HB 4390) o en el Código Penal que parezcan necesarios a partir de los resultados del estudio del consejo.

Conclusión:

Puede que Texas no haya conseguido la legislación exhaustiva en materia de privacidad de los consumidores con la que empezó, pero sí consiguió aprobar algunas actualizaciones esenciales de su ley de notificación de infracciones y también creó el TPPAC. El consejo será seleccionado en noviembre de este año y se reunirá periódicamente hasta que presente sus recomendaciones a la Legislatura de Texas antes del 1 de septiembre de 2020. Es probable que estas recomendaciones constituyan la base de la legislación sobre privacidad de los consumidores cuando la Legislatura vuelva a reunirse en enero de 2021.

Este artículo se proporciona únicamente con fines informativos. El Grupo de Privacidad de Datos le recomienda encarecidamente que contrate los servicios de un profesional con experiencia en privacidad de datos cuando se prepare para cumplir con cualquier legislación de protección de datos y privacidad.

Fuentes, créditos y lecturas adicionales: Cámara de Representantes de Texas (vídeo), AG de Texas, IAPP

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.