La Virginia Consumer Data Protection Act (VCDPA) es una normativa de clave de privacidad enfocada a la protección de los datos de los consumidores.
La VCDPA fue aprobada el 2 de marzo de 2021 y comenzó a aplicarse el 1 de enero de 2023, con el objetivo de proteger los datos personales de los consumidores. La VCDPA es una ley de protección de datos integral que refleja aspectos del RGPD y la CCPA y protege los derechos de los consumidores y sus datos personales, con claras indicaciones para las empresas sobre el tratamiento de datos personales.
La VCDPA se aplica a las empresas que traten grandes volúmenes de datos personales bajo determinadas circunstancias y proporciona a los consumidores control sobre sus datos personales, y excluye a ciertas entidades como instituciones gubernamentales y aquellas sin ánimo de lucro.
La VCDPA se aplica a las empresas que tratan datos personales de al menos 100.000 residentes de Virginia o que tratan datos personales de al menos 25.000 consumidores y derivan más del 50% de su beneficio bruto de la venta de datos personales. Sin embargo, ciertas entidades están exentas, como las instituciones gubernamentales, las organizaciones sin ánimo de lucro, los centros de educación avanzada y datos personales cubiertos por normativa sectorial específica. La VCDPA garantiza a los consumidores una serie de derechos que les otorga control sobre sus datos, como el derecho de acceso, rectificación, supresión y portabilidad de los datos. Los consumidores también tienen el derecho de oponerse a la publicidad dirigida, a la venta de datos personales y a la elaboración de perfiles que puede derivar en efectos legales o similares.
La VCDPA establece que deberá recabarse consentimiento explícito para el tratamiento de diversos tipos de datos personales.
La VCDPA contiene diversas provisiones, entre ellas una dedicada a los datos sensibles. Esta categoría de datos personales es amplia e incluye aquellos datos que podrían exponer a los sujetos a discriminación o daño en caso de no tratarse adecuadamente. El ámbito de datos sensibles incluye aquellos vinculados con el origen racial y étnico, las creencias religiosas, diagnósticos mentales o físicos, la orientación sexual, el estado de nacionalidad o inmigración, datos genéticos y biométricos y cualquier dato sobre menores. Estos elementos pueden revelar aspectos delicados de la identidad de las personas, lo cual aumenta el riesgo del tratamiento de los mismos. Se subraya en concreto la importancia de proteger los datos de los menores dado su limitada capacidad para comprender o consentir las implicaciones del tratamiento de sus datos personales. En consecuencia, la VCDPA require que se obtenga el consentimiento claro, informado e inequívoco del consumidor. Este requisito es un paso significativo para reforzar el control de los consumidores sobre sus datos personales.
Bajo la VCDPA, los encargados de tratamiento deben cumplir con una serie de requisitos. Deberán tartar los datos personales únicamente bajo las instrucciones del responsable, implementar medidas de seguridad adecuadas como cifrado y controles de acceso, y proporcionar asistencia a los responsables en relación con sus propias obligaciones bajo la VCDPA, como las evaluaciones de impacto o las notificaciones de brechas de datos personales. Los encargados de tratamiento también necesitan autorización escrita del responsable antes de subcontratar cualquier actividad a terceros. Por otro lado, deberán eliminar o devolver todos los datos personales al responsable una vez finalizada la prestación de servicios, salvo que la ley indique lo contrario. Cuando sea necesario, los encargados habrán de cooperar con las autoridades de control para el desarrollo de sus funciones, incluidas auditorías u otras solicitudes.
Bajo la VCDPA, las empresas deben adoptar prácticas de protección de datos robustas y responder con celeridad a las solicitudes de los consumidores, pues el no cumplimiento puede resultar en multas de hasta $7,500 por infracción.
Las empresas deberán cumplir con la VCDPA mediante la adaptación a todos sus requisitos, incluida la realización de evaluaciones de riesgo, la obtención de consentimientos, la implementación de prácticas de minimización de datos y la aplicación de medidas de seguridad. También deberán establecer procedimientos para responder a las solicitudes de los consumidores y proporcionar políticas de privacidad claras que detallen las actividades de tratamiento. Todo ello puede incluir la revisión y actualización de otras políticas, y bases de tratamiento y el desarrollo de procedimientos específicos bajo la VCDPA. La falta de cumplimiento puede derivar en importantes sanciones, incluidas multas de hasta $7,500 por infracción. Mientras que no existe un derecho privado de acción bajo la VCDPA de manera que los sujetos no pueden denunciar las violaciones, las empresas deberán rectificar en 30 días una vez que hayan recibido la notificación de infracción.
Si necesitas cumplir con la VCDPA u otra normativa de protección de datos, Aphaia puede ayudarte. Nuestro equipo de expertos te ofrecerá asistencia personalizada para mejorar tus políticas, prácticas y procesos. Contacta con nosotros y consúltanos.
