A falta de seis días, la Ley de Privacidad de Nevada SB 220 entrará en vigor el 1 de octubre.
El proyecto de ley SB 220 modifica la ley de privacidad de datos de Nevada, para exigir a los operadores de sitios web que cumplan las peticiones de los consumidores de no vender su información personal.
Por lo tanto, a partir del próximo martes, la nueva ley será la primera legislación estadounidense que otorgará a los consumidores el derecho a excluirse de la venta de sus datos personales.
La ley de privacidad de datos vigente en el estado se aplica a las empresas que recogen determinados tipos de información personal sobre los consumidores de Nevada. Sin embargo, algunas organizaciones financieras y sanitarias, así como las personas que participan en la fabricación y el servicio de vehículos de motor estarán exentas. Estas empresas tampoco tendrán que cumplir los requisitos de notificación existentes en Nevada.
Alcance y ámbito de la nueva ley de privacidad de Nevada
Según el proyecto de ley 220, el término "consumidor" significa "una persona que busca o adquiere, mediante compra o alquiler, cualquier bien, servicio, dinero o crédito para fines personales, familiares o domésticos en el sitio web de Internet o el servicio en línea de un operador".
Y, el término "información cubierta" se define ampliamente como uno de los siguientes:
-
Nombre y apellidos
-
Dirección de la casa u otra dirección física
-
Dirección de correo electrónico
-
Número de teléfono
-
Número de la seguridad social
-
Identificador que permite contactar con una persona concreta, ya sea físicamente o en línea
-
Cualquier otra información relativa a una persona recopilada y conservada por un operador en combinación con un identificador de forma que la información sea personalmente identificable
Introduzca el nuevo requisito de exclusión voluntaria
La ley actual del estado relativa a las violaciones de datos exige a las empresas que proporcionen a los consumidores un aviso que detalle lo siguiente:
-
Los tipos de información personal que el operador recoge;
-
Si el operador recoge específicamente información sobre las actividades en línea de los consumidores;
-
Los tipos de terceros con los que se divulga la información cubierta;
-
Cómo pueden los consumidores revisar y solicitar cambios en la información cubierta; y
-
Cómo se notificarán a los consumidores los cambios importantes en la notificación.
Se ha añadido un nuevo requisito que obliga a los operadores a establecer una "dirección de solicitud designada" a través de la cual los consumidores puedan presentar "solicitudes verificadas" para excluir la venta de su información personal.
Esta medida ordena a los operadores no "hacer ninguna venta de cualquier información cubierta que el operador haya recogido o vaya a recoger" sobre un consumidor que presente una solicitud verificable.
El término "venta" se define en la ley como "el intercambio de información cubierta a cambio de una contraprestación monetaria por parte del operador a una persona para que ésta conceda una licencia o venda la información cubierta a otras personas".
Sin embargo, la "venta" no incluye las transferencias de datos a terceros:
(a) que traten los datos por cuenta del operador, o sean filiales del mismo;
(b) que tengan una relación comercial directa de producto o servicio con el consumidor;
(c) como un activo que forma parte de una fusión, adquisición, quiebra u otra transacción en la que la persona asume el control de todos o parte de los activos del operador; o
(d) cuando la transferencia sea coherente con las "expectativas razonables" del consumidor en el contexto en que se proporcionó la información.
Una "solicitud verificada" es una solicitud realizada por un consumidor, por lo que un operador "puede verificar razonablemente la autenticidad de la solicitud y la identidad del consumidor utilizando medios comercialmente razonables".
Normalmente, los operadores deben responder a las solicitudes verificadas en un plazo de 60 días a partir de su recepción. Sin embargo, un operador puede solicitar una prórroga de 30 días siempre que dicha prórroga sea "razonablemente necesaria" y el operador lo notifique al consumidor.
La ley enmendada faculta al Fiscal General de Nevada a solicitar sanciones civiles que no excedan de $5.000 por cada violación de la ley. Sin embargo, la ley en su enmienda actual no permite derechos de acción privados.
Cumplimiento y sanciones
A partir del próximo martes, 1 de octubre de 2019, los incidentes de incumplimiento del SB 220 pueden potencialmente dar lugar a sanciones civiles de hasta un máximo de $5.000 por cada infracción.
Muchos profesionales de la privacidad de datos y abogados han ofrecido recomendaciones similares a las empresas que recogen y venden información personal sobre los residentes de Nevada:
-
Los operadores deben establecer una dirección designada para los consumidores que deseen presentar solicitudes para que los operadores dejen de vender su información personal antes del 1 de octubre de 2019.
-
Aunque la ley no exige a las empresas cubiertas que describan de forma visible el proceso de exclusión voluntaria, las empresas deben considerar la posibilidad de notificar a los consumidores su derecho a presentar una solicitud verificable, ya sea incorporada en su aviso de privacidad o en algún otro lugar de su sitio web.
-
El derecho de exclusión del SB 220 es similar al derecho previsto en la Ley de Privacidad del Consumidor de California (CCPA), aunque el alcance del SB 220 es algo más limitado.
Fuentes y lecturas adicionales: Fiscal General de Nevada, JDSupra, OneTrust
NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en privacidad y protección de datos cuando se preparen para cumplir con la legislación sobre protección de datos y privacidad.