Con la introducción de la Ley de Privacidad de Datos Personales de Delaware, Delaware se ha unido a los estados de EEUU con leyes propias de privacidad.
Desde la aprobación del RGPD, múltiples países están promulgando leyes de protección de datos para salvaguardar la información de consumidores y empleados y obligar a las empresas a implementar prácticas y procesos adecuados a tales efectos. La Ley de Privacidad de Datos Personales de Delaware (DPPA) es una normativa que tiene como objetivo garantizar la privacidad dentro del estado de Delaware, en Estados Unidos (EEUU). La DPPA fue promulgada el 11 de septiembre de 2023 y comenzará a aplicarse el 1 de enero de 2025. Delaware se une así a estados como California, Utah, Colorado, Connecticut, Virginia, Iowa, Indiana, Tennessee y Florida, entre otros, con leyes propias de privacidad.
La DPPA protege la información personal de los residentes de Delaware y se aplica a las empresas que tratan datos personales de los consumidores de Delaware, independientemente de su presencia física en el estado.
La DPPA es una ley de privacidad a nivel estatal que busca proteger la información personal de los residentes de Delaware y se aplica a las empresas que recopilan y tratan datos personales de los consumidores de Delaware, independientemente de si la empresa opera físicamente en Delaware o no. Esta ley tendrá efecto específicamente sobre las empresas que, durante el año anterior, trataron datos personales de al menos 35.000 residentes de Delaware (excluyendo aquellos datos tratados únicamente con la finalidad de completar una transacción de pago) o que trataron datos personales de al menos 10,000 residentes de Delaware y obtuvieron más del 20 por ciento de sus ingresos brutos por la venta de los mismos. A diferencia de algunas otras leyes de privacidad de datos de EEUU, la DPPA no incluye organizaciones sin ánimo de lucro y las instituciones de educación superior. En consecuencia, dichas organizaciones también están obligadas a cumplir con las disposiciones de la ley en cuanto a la protección de datos personales. Es por tanto crucial que las organizaciones sin ánimo de lucro y las instituciones de educación superior también se familiaricen con estos requisitos para evitar posibles infracciones.
La DPPA garantiza los derechos de los individuos de conocer, controlar y proteger los datos personales que tratan las empresas.
Bajo la DPPA, los datos personales se definen de manera amplia e incluyen información que puede identificar a un individuo, como nombres, direcciones, números de la seguridad social, información financiera y cookies u otras huellas digitales. El alcance de la DPPA incluye varios aspectos clave:
- Derechos del consumidor: la DPPA otorga a los residentes de Delaware ciertos derechos con respecto a sus datos personales, lo cual incluye el derecho a saber qué datos se están tratando, las finalidades de tratamiento y con quién se comparten. Los individuos tendrán derecho a acceder, rectificar, eliminar y obtener una copia de sus datos personales.
- Consentimiento: bajo la DPPA, las empresas deberán obtener el consentimiento explícito de los consumidores antes de tratar sus datos personales cuando estos sean sensibles. El consentimiento debe ser otorgado libremente, y ser específico e informado. Los consumidores también podrán retirar su consentimiento en cualquier momento.
- Notificación de brecha de datos personales: en caso de una brecha de datos personales, las empresas deberán notificar a las personas afectadas de manera inmediata y sin demora. La notificación habrá de incluir la naturaleza de la brecha, las categorías de datos personales comprometidas y los pasos que podrán tomarse para evitar mayores consecuencias.
- Derecho de oposición: La DPPA otorga a los consumidores el derecho de oponerse a la vente de sus datos personales a terceros. Las empresas deben proporcionar un método claro y conspicuo para que los consumidores ejerzan este derecho.
- No discriminación: La DPPA prohíbe a las empresas discriminar a los consumidores que ejercen sus derechos bajo la ley. No se podrá denegar la venta de productos o servicios, cobrar precios diferentes o proporcionar una calidad inferior de servicio basada en el ejercicio de los derechos bajo la DPPA.
En caso de infracción, se podrán aplicar diversas medidas de cumplimiento. La ley permite a los tribunales sancionar a la empresa infractora con multas civiles de hasta 10.000 dólares por cada infracción. Estas multas tienen como objetivo disuadir la falta de cumplimiento y subrayar la seriedad con la que se deberá tratar la privacidad de los datos.
Las empresas que operan en Delaware deben dar prioridad a la privacidad de los datos y tomar medidas proactivas para garantizar el cumplimiento con la DPPA.
La DPPA persigue que se garantice la privacidad de los datos. A estos efectos, las empresas deberán implementar un conjunto integral de medidas. Un aspecto crucial es proporcionar avisos de privacidad claros y concisos a los individuos. Estos avisos deberán ser fácilmente accesibles y estar redactados en un lenguaje sencillo. Al describir los tipos de datos tratados, cómo se utilizarán y cualquier tercero con el que se puedan compartir, las empresas fomentan la transparencia y permiten a los consumidores tomar decisiones informadas sobre sus datos. Además, las organizaciones podrán considerar designar a un asesor de privacidad que actúe como punto focal para todos los asuntos relacionados con los datos dentro de la organización, garantizando la responsabilidad y supervisando el cumplimiento con la DPPA. Este rol desempeñaría un papel esencial en la implementación de las políticas y procedimientos internos correctos, así como en el manejo de brechas de datos personales. Además, las empresas deberán mantenerse actualizadas sobre cualquier cambio o enmienda a la DPPA.
