NEVADA: ¡La nueva ley de privacidad entra en vigor HOY! ¿Está usted preparado?

Es el 1 de octubre de 2019 ...

... y mientras muchas empresas de todo Estados Unidos siguen trabajando con ahínco para lograr el cumplimiento de la Ley de Privacidad del Consumidor de California (CCPA) antes del 1 de enero de 2020, la ley de privacidad de Nevada, Proyecto de ley 220 del Senado (SB 220) ha entrado hoy en vigor.

La pregunta es...

¿Está su empresa preparada y lista?

El 29 de mayo de 2019, el gobernador del estado plateado, Steve Sisolak, firmó la ley SB 220. El proyecto de ley, que entró en vigor esta mañana, modificó la anterior ley de privacidad de Nevada, Nevada Revised State 603A (promulgada en 2017), para los propietarios y operadores de sitios web o proveedores de servicios comerciales en línea.

La nueva ley de hoy otorga a los residentes de Nevada el derecho a excluirse de la venta de su información personal y a ordenar a los operadores de sitios web que no vendan sus datos personales. La SB 220 es la primera ley de EE.UU. que concede estos derechos.

El proyecto de ley 220 se aplica a los operadores "de un sitio web de Internet o de un servicio en línea que recoja determinados datos de identificación personal de los consumidores" en Nevada.

Sin embargo, hay ciertas exenciones: Las instituciones sanitarias y financieras sujetas a la GLBA y la HIPAA no se verán afectadas por la nueva ley.

El proyecto de ley 220 exige que las empresas cubiertas tengan una "dirección de solicitud designada" -dirección de correo electrónico, número de teléfono o sitio web- que permita a los particulares presentar solicitudes.

El proyecto de ley 220 también exige a las empresas que respondan a las solicitudes verificables en un plazo de 60 días a partir de la recepción de la solicitud. Se permite una prórroga de 30 días, si es absolutamente necesario. La ley no especifica cómo deben verificar las empresas la autenticidad de una solicitud de un consumidor. Sin embargo, sí estipula que un operador debe "verificar razonablemente la autenticidad de la solicitud y la identidad del consumidor utilizando medios comercialmente razonables".

Poder de ejecución

El Fiscal General de Nevada tiene poder de ejecución sobre las disposiciones incluidas en el SB 220. Por lo tanto, en caso de que un operador infrinja directa o indirectamente alguna de estas disposiciones, el Fiscal General puede solicitar una orden judicial temporal o permanente, o imponer una sanción civil de hasta $5.000 por infracción. El proyecto de ley 220 no prevé un derecho de acción privado contra un operador. 

Es posible que en este momento piense: si cumplo con la CCPA, ¿necesito hacer algo para cumplir con Nevada? La respuesta es sí. Los propietarios/operadores sujetos al SB 220 deben analizar primero hasta qué punto están vendiendo en el ámbito "información cubierta". A partir de ahí, deben revisar su política de privacidad en línea y asegurarse de que se han establecido las divulgaciones requeridas y, por último, crear un proceso por el que los consumidores puedan optar por la venta de su información. 

Cómo lograr la conformidad

El Grupo de Privacidad de Datos recomienda que las empresas apliquen las siguientes etapas, en sus esfuerzos por lograr el cumplimiento del SB 220:

FASE #1

Si ha determinado que su empresa es un "operador" en el ámbito de aplicación, el primer paso es localizar todos sus datos relativos a los residentes de Nevada. Este proceso se conoce comúnmente como un ejercicio de inventario y mapeo de datos. Los siguientes tipos de datos deberían ser el centro de este proceso:

  • Nombre y apellidos;

  • Dirección residencial u otra dirección física;

  • Dirección de correo electrónico;

  • Número de teléfono;

  • Número de la Seguridad Social;

  • Cualquier identificador que permita ponerse en contacto con una persona, ya sea físicamente o en línea.

  • Cualquier otra información recogida sobre una persona que, en combinación con cualquiera de las anteriores, pueda utilizarse para identificar a una persona física.

FASE #2

Compruebe y, si es necesario, actualice el Aviso de Privacidad de su empresa para que se ajuste a la ley SB 220. Su Aviso de Privacidad debe incluir todas las siguientes divulgaciones:

  • Categorías de información personal recopilada;

  • Categorías de terceros con los que se comparte esa información; si se utilizan tecnologías de seguimiento (por ejemplo, cookies);

  • Una descripción completa del proceso para que el usuario revise y solicite actualizaciones de su información personal;

  • Una descripción completa del proceso mediante el cual se notifica a los usuarios cualquier cambio en el Aviso de Privacidad;

  • La fecha de entrada en vigor del Aviso de Privacidad";

  • Si la información personal se vende o no; y

  • La dirección donde un consumidor de Nevada puede solicitar al Operador que no venda su información personal, si el Operador vende información personal. Puede ser una dirección de correo electrónico, un formulario del sitio web o un número de teléfono gratuito.

FASE #3

Compruebe que los procesos de Solicitud de Acceso del Sujeto a los Datos (DSAR) están en marcha y asegúrese de que son conformes:

  1. Revise el flujo de trabajo de su DSAR, asegurándose de que cuando reciba una solicitud de un residente de Nevada se responda dentro de los 60 días siguientes a la recepción de la solicitud.

  2. Poner en marcha un proceso de Procedimientos Operativos Estándar, mediante el cual una solicitud desencadena la exclusión del consumidor de la venta de su información personal.

Mientras tanto, todavía no hay una ley federal de privacidad

Las grandes empresas tecnológicas han estado presionando al Congreso para que promulgue una ley nacional de privacidad, argumentando que el "mosaico" de legislaciones de privacidad a nivel estatal no sólo es caro, sino que es demasiado exigente para la mayoría de las empresas.

Los defensores de la privacidad, por su parte, afirman que es muy probable que cualquier ley que pase por el Congreso sea considerablemente más débil que las creadas por los estados individuales. También acusan a las grandes empresas tecnológicas de presionar para que se apruebe una ley federal de carácter imperativo específicamente por ese motivo.

 

NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en privacidad y protección de datos cuando se preparen para cumplir con la legislación sobre protección de datos y privacidad.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.