La Ley de Privacidad de Colorado ha sido aprobada, lo que convierte a Colorado en el tercer estado de Estados Unidos en contar con normativa completa de privacidad. 

La Ley de Privacidad de Colorado (CPA), aprobada recientemente, ofrece un marco de privacidad completo a los residentes de Colorado por primera vez en su historia. Colorado se convierte así en el tercer estado de Estados Unidos en promulgar una ley de estas características, muy similar a las que le han precedido, con algunas diferencias mínimas. Por ejemplo, al contrario que la CCPA de California, la CPA ha adoptado un enfoque responsable/encargado, en lugar de la perspectiva empresa/prestador de servicios. Esta nueva ley comparte muchos elementos con la Ley de Protección de Datos Personales del Consumidor (CDPA) de Virginia, con un ámbito de aplicación ligeramente más amplio.  

La Ley de Privacidad de Colorado se aplica en el contexto de prestación de servicios o venta de productos a consumidores residentes en Colorado. 

La CPA se aplica a los responsables del tratamiento que operan en Colorado, así como a aquellos cuyos productos se dirigen a residentes de Colorado, siempre y cuando cumplan los siguientes requisitos: 

• Tratamiento de datos personales de al menos 100.000 consumidores durante un año. 
• Beneficio o descuento obtenido por la venta de datos personales y tratamiento de datos personales de al menos 25.000 consumidores. 

Conforme a la CPA, el concepto ‘consumidor’ se refiere a residentes en Colorado que actúan como personas naturales o en un contexto doméstico. Esta definición deja fuera a todos aquellos sujetos que actúan en su capacidad profesional, en un contexto comercial o laboral, de manera que la CPA no se aplica a los datos de los empleados, al igual que sucede con la CDPA. 

La CPA se aplica al intercambio de datos personales por una contraprestación monetaria o valor de otro tipo entre el responsable y un tercero. 

La CPA considera venta de datos personales tanto cuando existe una contrapartida monetaria como cuando se da cualquier otro intercambio de valor, en oposición a la CDPA que sólo contempla el primer caso. Entre las situaciones que se excluyen del concepto de venta, se encuentran las siguientes cesiones: aquellas realizadas al encargado por parte del responsable, las que recaen sobre terceros con la finalidad de ofrecer el producto o servicio solicitado por el consumidor, las efectuadas a otras entidades del responsable y aquellas que tienen lugar en el contexto de una fusión, adquisición, bancarrota u otra transacción en la que la tercera parte controle parte o la totalidad de los activos del responsable. 

Los datos anonimizados y la información disponible de manera pública no entran en el ámbito de aplicación de la CPA.

Al igual que la CDPA, la CPA no se aplica a los datos anonimizados ni a la información disponible de manera pública. La CPA define información disponible de manera pública como “cualquier información que se ha hecho pública a través de los registros gubernamentales y aquella sobre la que el responsable tiene una base razonable para creer que ha sido puesta a disposición pública por parte del consumidor”. La CPA incluye otras dos exenciones, bajo la categorías de tipo de entidad y tipos de datos. La primera es más amplia y excluye a los responsables de la obligación de cumplir con la CPA, por ejemplo, en el caso de entidades ya reguladas por la Gramm-Leach-Blilet Act, para las instituciones financieras. 

La CPA recoge cinco derechos principales para los consumidores.

La CPA recoge cinco derechos principales para los consumidores, los cuales incluyen el derecho de acceso, derecho de corrección, derecho de supresión, derecho de portabilidad y derecho de oposición. El derecho de acceso concede a los consumidores el derecho de confirmar si el responsable está tratando datos personales que les conciernen, y de acceder a los mismos. Bajo la CPA, los consumidores también pueden rectificar imprecisiones en sus datos personales, en consideración de la naturaleza de los mismos y la finalidad del tratamiento. En relación al derecho de portabilidad, los consumidores podrán recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, que permita la transmisión de datos a otra entidad, cuando sea posible.  Asimismo la CPA garantiza a los consumidores el derecho a oponerse al tratamiento de sus datos personales con la finalidad de publicidad dirigida, venta o elaboración de perfiles para toma automatizada de decisiones que produzca efectos legales o similares.

Se establecen varias obligaciones para los responsables y encargados bajo la CPA. 

La CPA impone varias obligaciones sobre los responsables, entre las que se incluyen deberes de transparencia, limitación de finalidad, minimización de datos, cuidado, evaluaciones de impacto, contratos de tratamiento de datos y garantías adicionales para los datos de categoría sensible, además de evitar usos secundarios de los datos y cualquier tipo de discriminación ilegítima. La CPA requiere que los responsables proporcionen una política de privacidad accesible, clara y completa. Si los datos se venden a un tercero o se tratan con finalidades de publicidad dirigida, el responsable deberá ofrecer la información relevante al respecto y habilitar medios para que los consumidores se opongan a ello. Se deberá también en el momento de la recogida de los datos personales, especificar las finalidades concretas para las que se estos se tratan. La CPA también instaura una política de minimización de datos por la cual los responsables solo podrán recoger datos que sean adecuados, relevantes y limitados a lo que es razonadamente necesario. Además, los responsables no pueden tratar los datos para fines que no sean especiales o compatibles con aquellos que se definieron en el momento de la recogida, y tampoco pueden tratar categorías sensibles de datos personales sin consentimiento. Las evaluaciones de impacto y los contratos son una parte fundamental de las obligaciones bajo la CPA. Por ejemplo, la relación entre responsable y encargado deberá estar regulada por un contrato entre ambos. 

¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy, RGPD, LSSI, CCPA y CPA? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD y servicios de derecho comparado, y también evaluaciones de impacto, evaluaciones de la ética de la IA, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.