La Ley de Privacidad de Datos del Consumidor de Oregón (OCDPA), que entrará en vigor en julio de 2024, implementa requisitos específicos para las organizaciones que tratan los datos de los residentes de Oregón.
La Ley de Privacidad de Datos del Consumidor de Oregón (OCDPA) es una ley estatal de privacidad de datos que tiene como objetivo proteger la información personal de los residentes de Oregón. La OCDPA establece un conjunto de reglas que rigen la recopilación, uso y divulgación de información personal por parte de las empresas que cumplen con ciertos criterios. La ley se aplica a las empresas que realizan negocios en Oregón o que intencionalmente dirigen sus bienes o servicios a los consumidores de Oregón. Las empresas que recopilan información personal de los residentes de Oregón y cumplen con los requisitos de umbral delineados en la OCDPA deben cumplir con la ley. Es importante que las empresas que operan en Oregón se familiaricen con los requisitos de la OCDPA para asegurar el cumplimiento y proteger la privacidad del consumidor. Esta ley entrará en vigor el 1 de julio de 2024.
La OCDPA se aplica a las empresas que recopilan información personal de los residentes de Oregón y cumplen con los requisitos de umbral
La OCDPA se aplica a cualquier persona que realice negocios en Oregón o que proporcione productos o servicios a los residentes del estado y trate:
- Los datos personales de 100.000 o más consumidores en un año calendario, distintos de los datos personales tratados únicamente con el propósito de completar una transacción de pago, o
- Los datos personales de 25.000 o más consumidores, mientras obtienen el 25% o más de los ingresos brutos anuales de la venta de datos personales.
Las empresas regidas por la OCDPA están sujetas a varias obligaciones bajo esta ley
La OCDPA impone una serie de obligaciones a las empresas que están sujetas a la ley. Estas obligaciones incluyen:
- Proporcionar a los consumidores un aviso sobre sus derechos de privacidad. Las empresas deben proporcionar a los consumidores un aviso claro y conciso de sus derechos de privacidad, incluyendo los tipos de información personal que se están recopilando, los propósitos para los cuales se está utilizando y los terceros con los que se está compartiendo.
- Obtener el consentimiento para la recopilación y el uso de información personal. Las empresas deben obtener el consentimiento de los consumidores antes de recopilar o usar su información personal para cualquier propósito que no sea necesario para que la empresa proporcione sus productos o servicios.
- Dar a los consumidores acceso a su información personal. Las empresas deben proporcionar a los consumidores acceso a su información personal bajo solicitud y permitirles corregir o eliminar cualquier información inexacta o incompleta.
- Tomar medidas de seguridad razonables para proteger la información personal. Las empresas deben tomar medidas de seguridad razonables para proteger la información personal contra el acceso, uso o divulgación no autorizados.
- Notificar a los consumidores sobre infracciones de datos. Las empresas deben notificar a los consumidores en caso de una infracción de datos que resulte en el acceso, uso o divulgación no autorizada de su información personal.
Los consumidores en Oregón tienen derechos específicos bajo la OCDPA
La OCDPA también otorga a los consumidores una serie de derechos, incluyendo el derecho a:
- Oponerse a la venta su información personal. Los consumidores tienen el derecho de optar por no vender su información personal a terceros.
- Eliminar su información personal. Los consumidores tienen el derecho de solicitar que las empresas eliminen su información personal.
- Presentar una queja ante el Fiscal General de Oregón. Los consumidores que crean que sus derechos de privacidad han sido violados pueden presentar una queja ante el Fiscal General de Oregón.
La OCDPA considera ciertos tipos de datos, así como ciertas entidades, exentas por varias razones
La ley de privacidad de Oregón, la Ley de Privacidad del Consumidor de Oregón (OCDPA), incluye varias exenciones para ciertos tipos de datos y entidades específicas. Estas exenciones son importantes a considerar al determinar si la OCDPA se aplica a su organización y a los datos que trata. Una de las exenciones clave es para corporaciones o entidades públicas, incluyendo entidades gubernamentales estatales, locales y especiales. Esto significa que la información personal recopilada o utilizada por entidades gubernamentales no está sujeta a la OCDPA. Esta exención está en línea con el principio general de que las entidades gubernamentales están sujetas a sus propias leyes y regulaciones de privacidad, como la Ley de Registros Públicos y la Ley de Registros Públicos de Oregón.
Otra exención importante es en relación con la información de salud protegida procesada de acuerdo con la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA). Esta exención asegura que la OCDPA no interfiera con el marco federal existente de HIPAA para proteger la privacidad de la información de salud. La OCDPA también exime la información utilizada solo para actividades de salud pública, como la vigilancia de enfermedades y el control de brotes. Esto es necesario para asegurar que los funcionarios de salud pública puedan acceder y utilizar la información personal para proteger la salud y seguridad del público. Además de estas exenciones, la OCDPA proporciona exenciones limitadas para otros usos relacionados con la salud, como la investigación médica y los ensayos clínicos.
Es importante destacar que la OCDPA no proporciona una exención general para entidades sujetas a HIPAA o la Ley Gramm-Leach-Bliley (GLBA). En cambio, sí exime los datos que están gobernados por esas leyes. Esta es una distinción significativa de la mayoría de las otras leyes estatales de privacidad, que típicamente eximen tanto a las entidades como a los datos sujetos a HIPAA o GLBA. Como resultado de esta distinción, las organizaciones sujetas a HIPAA o GLBA deben cumplir con la OCDPA cuando se trata de datos que tratan y que no están cubiertos por HIPAA o GLBA. Esto significa que estas entidades necesitan revisar cuidadosamente los requisitos de la OCDPA y tomar medidas para asegurar el cumplimiento.
La OCDPA es aplicada por el Fiscal General del estado de Oregón y proporciona temporalmente un período de gracia para rectificar infracciones
El Fiscal General del estado tiene la autoridad exclusiva para hacer cumplir la OCDPA. Las entidades que infrinjan esta ley pueden recibir un período de gracia de 30 días para rectificar el incumplimiento (a discreción del Fiscal General) hasta el 1 de enero de 2026. Al igual que otros estados, los infractores de esta ley pueden ser multados con hasta $7.500 por infracción. Sin embargo, a diferencia de otras leyes estatales, la ley de privacidad de Oregón incluye un estatuto de limitaciones de cinco años después de la fecha de la última violación. La OCDPA también establece que el tribunal puede otorgar honorarios razonables de abogados, honorarios de testigos expertos y costos de investigación al Fiscal General además de las multas regulares si el Fiscal General determina culpabilidad.
Si tienes alguna pregunta sobre el cumplimiento de la OCDPA u otras leyes de privacidad de datos de EE.UU., o si necesitas asistencia para revisar sus prácticas de privacidad de datos, ponte en contacto con Aphaia.