La Colorado Privacy Act refuerza los derechos y el control sobre los datos personales de los residentes de Colorado, y contribuye a la construcción de un marco de protección de datos en Estados Unidos.
La Colorado Privacy Act (CPA) se aprobó el 7 de julio de 2021 y comenzó a aplicarse el 1 de enero de 2023. Colorado se convirtió así en el tercer estado, tras California y Virginia, en aprobar una normativa de privacidad integral. La CPA pretende otorgar a los residentes de Colorado un mayor control sobre sus datos personales, contribuyendo así al marco regulatorio de privacidad de Estados Unidos. Estas leyes han reforzado los estándares de privacidad y obligan a las empresas a revisar e impulsar sus prácticas a este respecto.
Mientras que la CPA comparte objetivos con la CCPA y la VCDPA, también tiene algunos elementos únicos que definirán los procesos y prácticas de cumplimiento de las empresas que operen en Colorado.
La CPA es similar a la California Consumer Privacy Act (CCPA) y la Virginia Consumer Data Protection Act (VCDPA), pero también tiene elementos característicos propios. Se aplica a las empresas que o bien operan en Colorado o bien ofrecen productos y servicios dirigidos a los residentes de Colorado, y que controlan o tratan datos personales de más de 100.000 consumidores al año, o que controlan o tratan datos personales de al menos 25.000 consumidores y derivan beneficio de la venta de dichos datos. Al igual que la VCDPA, la CPA cuenta con provisiones específicas relacionadas con datos sensibles, y requiere que se recabe el consentimiento explícito de los consumidores para el tratamiento de datos en estos casos. Además, la CCPA otorga el derecho a oponerse a no solo la venta, sino también la publicidad dirigida y la elaboración de perfiles en ciertas circunstancias, de una forma similar a lo que hace la CCPA tras los cambios de la California Privacy Rights Act. Mientras que el objetivo de ambas gira en torno a la protección de los datos de los consumidores, los aspectos específicos varían, de manera que cumplir con una de ellas no garantiza cumplir con las demás.
Bajo la CPA, las empresas deberán proteger en particular los datos sensibles y llevar a cabo evaluaciones para las actividades de tratamiento de alto riesgo.
La CPA require a las empresas la obtención de consentimiento explícito para tartar datos sensibles, lo cual incluye información sobre el origen étnico o racial, las creencias religiosas, condiciones de salud físicas o mentales, orientación sexual, estado de ciudadanía, datos genéticos o biométricos y datos de menores. Las empresas también deberán tomar medidas para proteger los datos personales y evitar cualquier acceso no autorizado. No se podrá discriminar a nadie por ejercer los derechos de la CPA y el principio de minimización de datos deberá restringir la recogida de datos a lo que sea estrictamente necesario para la finalidad original con la que se recopilaron. Asimismo, las empresas deberán llevar a cabo evaluaciones de protección de datos para aquellas actividades que entrañen un alto riesgo para los consumidores, como publicidad dirigida, venta de datos personales, elaboración de perfiles y tratamientos sensibles. Bajo la CPA, un encargado sólo podrá tartar datos personales bajo la autorización e instrucciones del responsable. Por otro lado, es necesario que el responsable y el encargado definan sus respectivas responsabilidades y obligaciones en un acuerdo vinculante, que sería el equivalente de la CPA al acuerdo de encargado de tratamiento del artículo 28 del RGPD.
La CPA otorga a los residentes de Colorado derechos sobre sus datos personales, y las empresas deberán lidiar con las solicitudes en el plazo de 45 días o enfrentarse a sanciones de hasta $7,500 por infracción.
La CPA proporciona a los residentes de Colorado múltiples derechos sobre sus datos personales, los cuales incluyen el derecho de oposición, de acceso, de rectificación, de supresión y de portabilidad. Las empresas tendrán que responder a estas solicitudes en el plazo de 45 días. Por lo tanto, deberán desarrollar un procedimiento para gestionar las solicitudes de los consumidores, lo cual incluye un sistema para verificar la identidad del sujeto y responder dentro del plazo. Cada infracción de la CPA puede ser multada con $7,500. Además, se podrán imponer otras sanciones como requerimientos y órdenes de cese. Es importante recordar que el cumplimiento con la CPA no es sólo necesario para evitar sanciones, sino que también contribuye a reforzar la confianza de los consumidores.