Loading

Blog details

Home

Nueva ley de privacidad en Tennessee: ¿en qué consiste la Information Protection Act?

La Tennessee Information Protection Act es una ley que protege la información personal que tratan las empreas y agencias gubernamentales en Tennessee. 

 

La Tennessee Information Protection Act (TIPA) marca un importante desarrollo legislativo en la esfera de la privacidad, en consonancia con la tendencia creciente de leyes en este ámbito aprobadas en diversos estados de Estados Unidos. Esta normativa destaca la importancia de proteger información sensible, y, en general, la privacidad, un tema de debate significativo recientemente. La ley impone requisitos específicos a entidades que recogen, almacenan o utilizan información personal de los residentes de Tennessee, reforzando así el compromiso del estado con la privacidad de los datos y la seguridad. La implementación de la TIPA es un paso determinante en la implementación de garantías vinculadas con la privacidad en Tennessee, y fija un estándar para las entidades que traten datos personales, con el fin de promover una cultura de transparencia, responsabilidad y confianza. 

 

La TIPA contiene estándares altos de tratamiento de datos, e introduce notificaciones de brechas de seguridad y derechos de los consumidores en una manera similar a la CCPA o el RGPD, para promover la transparencia y el control sobre la información personales. 

 

El principal objetivo de la TIPA es asegurar que las empresas y organizaciones que tratan información personal se adhieren a estándares estrictos para minimizar el riesgo de acceso no autorizado. Conforme a la normative, es necesario que dichas entidades implementen medidas de seguridad apropiadas y protocolos para proteger la información que gestionan. Estas medidas abarcan un rango Amplio, desde proteger los sistemas de almacenamiento hasta el desarrollo de políticas de ciberseguridad. La TIPA también require que las entidades notifiquen a los sujetos afectados en caso de brecha de seguridad. Esta notificación deberá realizarse con agilidad y proporcionar detalles sobre la naturaleza de la brecha, el tipo de información comprometida y los pasos que se han dado para mitigar el daño. Además, la TIPA introduce nuevos derechos de los consumidores, parecidos a los que se garantizan bajo la California Consumer Privacy Act (CCPA) y el RGPD. Los consumidores tienen el derecho de acceder a su información personal, corregir aquellos datos imprecisos, eliminar su información u oponerse a la venta de su información personal. Estos derechos hacen necesaria la implementación de mecanismos para cumplir con los mismos, lo cual incrementa la responsabilidad de las entidades de asegurar transparencia y control sobre su información personal.  

 

La ley se basa en un concepto amplio de privacidad de la información, que contempla al tratamiento óptimo de los datos – su recogida, almacenamiento, uso y cesión- con un foco particular en la información personal de los sujetos. La Ley se ha diseñado para combatir la amenaza creciente de robo de identidad, brechas de datos y otras formas de ciberdelitos que resultan habituales en el contexto tecnológico actual. La TIPA explica que la ‘información personal’ es información que está vinculada o razonablemente vinculada con una persona física identificada o identificable. Esta definición excluye información que está disponible de manera pública, información anónima o información agregada de consumidores. Al igual que otras leyes estatales de privacidad, la TIPA establece la categoría de ‘datos sensibles’ como información personal que abarca: 

  • Información personal que revele el origen racial o étnico, creencias religiosas, dictámenes de salud física o mental, orientación sexual, o estado de ciudadanía o inmigración; 
  • El tratamiento de datos genéticos o biométricos con la única finalidad de identificar a una persona física; 
  • Información personal de un niño identificable, entendido como un sujeto menor de 13 años; o 
  • Información específica de geolocalización.

 

La TIPA se aplica a empresas en las que el tratamiento de datos tiene un peso importante, con algunas excepciones para ciertas entidades y datos tratados en contextos laborales o comerciales. 

 

La TIPA se aplica a empresas que controlan o tratan información personal de más de 25.000 consumidores o que derivan más del 50 % de su beneficio de la venta de información personal. Al establecer estos requisitos, la ley se centra en empresas con operaciones de datos significativas, con el fin de asegurar que dichos grandes volúmenes de datos personales empleados en prácticas de monetización cumplen con una serie de normas. La TIPA establece exenciones para algunas entidades y tipos de datos. Las entidades exentas de cumplimiento con la TIPA son instituciones gubernamentales, ONGs, instituciones financieras sujetas al Título V de la Gramm-Leach-Bliley Act (GLBA), instituciones de educación superior y entidades bajo la Health Insurance Portability and Accountability Act (HIPAA) y la Health Information Technology for Economic and Clinical Health Act (HITECH). En concreto, la TIPA es la primera ley de privacidad estatal que exime de manera específica a todas las compañías de seguros con licencia bajo la ley de Tenessee. 

 

La TIPA también contempla exenciones basadas en los datos. De manera similar a las leyes de Utah, Virginia y Iowa, la TIPA no se aplica a la información personal que se trata en un contexto laboral, incluida aquella proporcionada por los candidatos de ofertas de trabajo, agentes o contratistas independientes, la información personal que constituya un contacto de emergencia y datos empleados para la gestión de beneficios. La definición de ‘consumidor’ excluye a aquellos individuos que actúen en un contexto comercial o laboral. Además, los datos que están disponibles públicamente y los datos anónimos o agregados tampoco se consideran ‘información personal’. También se dan exenciones concretas para los datos de salud, incluidas aquellas enfocadas a proteger la información bajo la Health Insurance Portability and Accountability Act (HIPAA), y la información y documentos creados por la HealthCare Quality Improvement Act (HCQIA). Los productos de seguridad del paciente bajo la Patient Safety and Quality Improvement Act (PSQIA) y la información empleada únicamente para actividades de salud pública autorizadas por la HIPAA están también exentas. Por otro lado, la TIPA contiene excepciones específicas para la información personal recogida, tratada o vendida en relación con ciertos tipos de investigación, como investigación con seres humanos o investigación científica o estadística realizada en el interés público. 

 

La falta de cumplimiento con la TIPA puede resultar en grandes multas, lo que refuerza la necesidad de que las organizaciones comprendan la ley, lleven a cabo auditorías, refuercen la seguridad, desarrollen políticas y formen a su personal. 

 

La falta de cumplimiento con la TIPA puede derivar en importantes sanciones. El Abogado General de Tennessee puede imponer multas de hasta $2.500 por infracción negligente y hasta $7.500 por infracción intencionada. Además, las empresas pueden enfrentarse a medidas cautelares o incluso sanciones civiles conforme a la Ley de Protección del Consumidor de Tennessee. Las potenciales repercusiones financieras y reputacionales por falta de cumplimiento subrayan la importancia de comprender y adherirse a los requisitos de la TIPA.  

 

A fin de prepararse para el cumplimiento con la TIPA, las empresas pueden seguir los siguientes consejos:

  • Familiarizarse con la TIPA, lo cual incluye comprender los requisitos de la ley como cuál es la información personal cubierta, cómo debe recopilarse y utilizarse y cómo debe protegerse.
  • Llevar a cabo una auditoría para determinar qué elementos caen bajo el alcance de la TIPA. Esto ayudará a identificar la información personal que la empresa recoge, utiliza y almacena para poder llevar a cabo los pasos necesarios para protegerla. 
  • Implementar medidas de seguridad para proteger la información personal y definir las medidas a aplicar, como cifrado, controles de acceso y copias de seguridad.
  • Desarrollar políticas y procedimientos para alinearse con los requisitos de la TIPA. Estas políticas y procedimientos deben documentar cómo la organización cumple con la ley y deberían comunicarse a todos los empleados. 
  • Formar al personal y controlar el cumplimiento. Los empleados deberán conocer la ley y los procedimientos y políticas y el cumplimiento deberá controlarse de manera frecuente. 

Con la implementación de estos pasos, las empresas pueden iniciar los procedimientos necesarios para cumplir con la TIPA y proteger la información personal que traten. 

Si necesitas cumplir con la Tennessee Information Protection Act y otras leyes de privacidad estatales en Estados Unidos, en Aphaia ahora cubrimos este servicio como un extra a nuestro servicio de DPO externo , y también como servicio independienteContacta con nosotros y descubre cómo podemos ayudarte.

Prev post
El acuerdo entre Reino Unido y Estados Unidos marca una nueva era en el flujo transatlántico de datos
octubre 12, 2023
Next post
Ley de Datos europea: nueva actualización en el texto de la ley
noviembre 2, 2023