La Ley de Privacidad de Datos del Consumidor de Nueva Jersey (NJCDPA) fue aprobada en enero de 2024 e impone requisitos específicos para las organizaciones que tratan los datos de los residentes de Nueva Jersey.
El estado de Nueva Jersey ha implementado un marco robusto de leyes de protección de datos para salvaguardar la información personal de sus residentes. Entre las leyes clave se encuentra la Ley de Privacidad de Datos del Consumidor de Nueva Jersey (NJCDPA), que establece un conjunto de requisitos para las empresas que recopilan, tratan o almacenan los datos personales de los residentes de Nueva Jersey. La NJCDPA requiere que las empresas tomen medidas específicas para proteger la información personal y proporcionen notificación en caso de una infracción de datos. Es importante que las empresas que operan en Nueva Jersey se familiaricen con estas leyes y aseguren su cumplimiento para evitar posibles sanciones.
La NJCDPA se aplica a las empresas que recopilan información personal de los residentes de Nueva Jersey y cumplen con los requisitos de umbral.
La NJCDPA es una ley de privacidad integral que se aplica a las empresas que recopilan información personal de los residentes de Nueva Jersey y cumplen con ciertos requisitos de umbral. La ley se aplica a las entidades que hacen negocios en Nueva Jersey y (1) tratan los datos personales de al menos 100.000 residentes de Nueva Jersey o (2) tratan los datos personales de al menos 25.000 residentes de Nueva Jersey y obtienen ingresos de la venta de datos personales. A diferencia de muchas leyes estatales de privacidad integrales existentes, la NJCDPA no impone ningún umbral de ingresos.
Las empresas regidas por la NJCDPA están sujetas a varias obligaciones bajo esta ley.
La NJCDPA establece una serie de derechos para los consumidores, incluyendo el derecho a acceder a su información personal, el derecho a modificar o eliminar su información personal y el derecho de oposición a la venta de su información personal. Las empresas también están obligadas a tomar medidas razonables para proteger los datos de los consumidores contra el acceso o uso no autorizado. Algunas de las disposiciones clave de la NJCDPA incluyen:
- Derecho de acceso: Los consumidores tienen el derecho de acceder a su información personal que una empresa recopila, utiliza o divulga. Las empresas deben proporcionar a los consumidores una copia de su información personal en un formato fácilmente accesible dentro de los 45 días posteriores a la recepción de una solicitud.
- Derecho a modificar o eliminar los datos: Los consumidores tienen el derecho de modificar o eliminar su información personal que sea inexacta o incompleta. Las empresas deben hacer esfuerzos razonables para modificar o eliminar la información personal de un consumidor dentro de los 45 días posteriores a la recepción de una solicitud.
- Derecho de oposición a la venta de información personal: Los consumidores tienen el derecho de optar por no vender su información personal. Las empresas deben proporcionar a los consumidores un mecanismo claro y visible para optar por no vender su información personal.
- Medidas de seguridad razonables: Las empresas están obligadas a tomar medidas razonables para proteger los datos de los consumidores contra el acceso o uso no autorizado. Estas medidas pueden incluir cifrado, controles de acceso y formación de empleados.
- Protección reforzada para los datos de los niños: La NJCDPA prohíbe a un responsable tratar los datos personales de un consumidor para publicidad dirigida, venta de datos personales o tipos específicos de elaboración de perfiles sin el consentimiento del consumidor cuando el responsable tiene certeza de que el consumidor tiene entre 13 y 16 años.
La NJCDPA requiere que las organizaciones obtengan el consentimiento explícito antes de tratar datos sensibles y que realicen evaluaciones de protección de datos.
Al igual que muchas leyes estatales de privacidad integrales, la ley de Nueva Jersey requiere que las empresas obtengan el consentimiento de los consumidores antes de tratar datos sensibles. Similar a la Ley de Privacidad del Consumidor de California (CCPA), la NJCDPA considera la «información financiera» como una forma de datos sensibles, definida como «el número de cuenta de un consumidor, inicio de sesión de cuenta, cuenta financiera o número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad requerido, código de acceso o contraseña que permitiría el acceso a la cuenta financiera de un consumidor». La NJCDPA también exige que las empresas realicen evaluaciones de protección de datos del «tratamiento que presente un alto riesgo para un consumidor» antes de llevar a cabo dicho tratamiento.
La Ley considera ciertos tipos de datos, así como ciertos tipos de instituciones, exentos.
La Ley contiene numerosas exenciones estándar de la ley asociadas con datos procesados bajo estatutos federales como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley Gramm-Leach-Bliley (GLBA, también conocida como la Ley de Modernización de Servicios Financieros) y la Ley de Informe Justo de Crédito (FCRA). Sin embargo, omite ciertas exenciones comunes, notablemente aquellas para datos educativos cubiertos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA) y datos manejados por organizaciones sin fines de lucro o instituciones de educación superior.
La NJCDPA será aplicada por el fiscal general del estado de Nueva Jersey, mientras que sus reglas son establecidas por la División de Asuntos del Consumidor.
El Fiscal General de Nueva Jersey retiene la autoridad exclusiva de aplicación de la NJCDPA, ya que no hay derecho privado a la acción. Sin embargo, la División de Asuntos del Consumidor es responsable, según la Ley, de establecer reglas y regulaciones para ejecutar sus objetivos. Solo California y Colorado han promulgado leyes de privacidad integrales hasta ahora, que otorgan tal autoridad reglamentaria. Esta ley fue aprobada recientemente el 16 de enero de 2024 y entrará en vigor 365 días después, el 15 de enero de 2025.
