La Utah Consumer Privacy Act (UCPA) es una normativa con un gran impacto en las empresas que tratan datos personales de los residentes de Utah. Las empresas deberán llevar a cabo los pasos necesarios para revisar sus prácticas de gobierno de datos y asegurar cumplimiento con la ley.
Diversos estados de Estados Unidos están aprobando leyes de privacidad para proteger a sus residentes. Tras los pasos de California, Virginia y Colorado, Utah ha aprobado se nueva ley, la UCPA. Se trata de una normativa integral enfocada a la protección los derechos de privacidad de los residentes de Utah, que regula cómo los responsables y encargados de tratamiento recopilan, utilizan y comparten datos personales. De esta forma, la UCPA otorga a los residentes de Utah un mayor control sobre sus datos personales. La Oficina del Abogado General aplicará la ley y también ofrecerá orientaciones de cumplimiento con la misma. La UCPA entrará en vigor el 31 de diciembre de 2023 y se recomienda a las empresas y consumidores que se familiaricen con sus provisiones para comprender los derechos y responsabilidades aplicables.
La UCPA define de forma clara las circunstancias en las que se aplica, y también las excepciones.
La UCPA se aplica a todos los responsables y encargados de tratamiento que operen en Utah u ofrezcan productos y servicios dirigidos a residentes de Utah. Para que la UCPA se aplique, las empresas deberán tener unos ingresos brutos que superen los 25 millones de dólares y, además, cumplir con uno de los siguientes criterios: comprar, recibir, vender o compartir los datos personales de 100.000 o más consumidores en un año; derivar el 50 % de sus ingresos brutos de la venta de datos personales y tratar los datos de más de 25.000 o más consumidores. Asimismo, la UCPA cuenta con multiples excepciones, incluidas algunas aplicables a organizaciones sin ánimo de lucro, compañías aéreas, instituciones financieras o filiales de las mismas recogidas en la Gramm-Leach-Bliley Act (GLBA), una ley estadounidense que permite a las instituciones financieras participar en diversas actividades de esta naturaleza, incluidas banca, valores y seguros, al derogar ciertas obligaciones y promover la consolidación de la industria. Las instituciones de educación superior y las entidades “encubiertas” y los “socios comerciales” en el sentido de la Health Insurance Portability and Accountability Act (HIPAA) también están exentas.
La UCPA no se aplica tampoco a las entidades gubernamentales o a terceras partes que contraten con las mismas. Por otro lado, algunos tipos de datos tratados por agencias de informes crediticios y consumidores tampoco estarían obligados por la UCPA. Las empresas y organizaciones deberán comprobar el ámbito de aplicación de la UCPA en cada caso para confirmar cuáles son las obligaciones y requisitos con los que deben cumplir. Por ejemplo, la UCPA no se aplica a datos de salud y documentos protegidos por la HIPAA y otras leyes médicas estatales o federales, lo cual incluye información de los pacientes, datos sobre seguridad en el trabajo, registros empleados con fines de investigación, etc. Los datos personales de empleados tampoco estarían regulados por la UCPA. En consecuencia, la UCPA cuenta con una aplicación mucho más limitada que otras leyes estatales.
La UCPA requiere que las empresas que traten datos personales de los residentes de Utah implementen medidas de protección de datos robustas y realicen los cambios que sean precisos.
La UCPA tiene implicaciones críticas para las empresas que traten datos personales de los residentes de Utah. Les require revisar y potencialmente modificar sus prácticas de tratamiento de datos para asegurar cumplimiento con las nuevas provisiones. Las empresas deberán ser transparentes en la recogida y uso de datos, implementar medidas de protección de datos robustas y respetar los derechos de los consumidores en relación a sus datos personales. Algunas empresas necesitarán aplicar cambios significativos en sus sistemas a fin de confirmar que cuenta con las medidas administrativas y técnicas precisas para proteger la confidencialidad, integridad y accesibilidad de los datos personales. Por ejemplo, en algunos casos, las empresas deberán notificar las brechas de datos personales.
La UCPA también exige que exista un contrato entre responsables y encargados para regular el tratamiento de datos entre ambos. Los encargados habrán de adherirse a las instrucciones del responsable y cooperar en lo que sea preciso, incluidas obligaciones de seguridad y notificación de brechas de datos personales.
Asimismo, se garantiza a los residentes de Utah numerosos derechos relaciones con sus datos personales, como los derechos de acceso, rectificación, supresión y portabilidad, junto a otros como el derecho de oposición, por ejemplo, en relación a la publicidad dirigida. Las empresas estarán obligadas a proporcionar una política de privacidad antes de recopilar datos personales. Este documento deberá incluir la finalidad con la que se tratan los datos y cómo los consumidores pueden ejercer sus derechos bajo la UCPA.
La UCPA no require que se recoja el consentimiento de los consumidores para tartar sus datos personales, y tampoco recoge ninguna otra forma de opt-in, pero los responsables sí deberán obtener consentimiento de los progenitores o responsables legales en caso de niños menores de 13 años.
La Oficina del Abogado General de Utah será la encargada de implementar la UCPA y se podrán imponer multas en caso de infracciones.
