Leyes de privacidad digital de EE. UU.

Cuando Estados Unidos estornuda, el mundo se resfría. Esta afirmación es particularmente cierta en el mundo de la tecnología digital. Estados Unidos es, después de todo, el hogar de muchas de las empresas en línea líderes y más exitosas del mundo (aunque algunos podrían argumentar que China le está pisando los talones). Sin embargo, un área en la que nuestros primos europeos lideran la carga es la privacidad digital.

GDPR cambió la forma en que el mundo ve la privacidad

Si piensas en 2018, recordarás cómo la Unión Europea sacudió al mundo entero con el Reglamento General de Protección de Datos (RGPD) .

En ese momento, GDPR era único porque era una regulación integral diseñada para proteger la privacidad de los ciudadanos europeos, independientemente de con quién o dónde compartieran sus datos. Esta regulación significaba que si las organizaciones estadounidenses querían continuar operando en Europa o con ciudadanos europeos independientemente de su ubicación, tenían que cumplir con GDPR.

A diferencia de las regulaciones de privacidad anteriores, GDPR tenía fuerza y ​​​​el peso de la Comisión Europea lo respaldaba para imponer multas enormes por infracciones.

Se gastaron millones de dólares e innumerables horas de personal en todo el mundo para garantizar el cumplimiento. En muchos sentidos, esta inversión ayudó a limpiar los últimos restos de las prácticas comerciales del "Salvaje Oeste" adoptadas en un sector comercial digital en proceso de maduración pero que aún no está regulado en gran medida. Sin embargo, a pesar de esto, innumerables empresas estadounidenses han infringido el RGPD.

¿Aún no crees que el RGPD se aplica a ti? Consulte esta lista de las mayores multas impuestas por incumplimiento : se lee como "¿Quién es quién?" de grandes empresas estadounidenses, con Amazon, Meta (Facebook) y Alphabet (Google) dominando el top ten de las multas más significativas.

La cara cambiante de las leyes de privacidad de EE. UU.

Se podría argumentar que antes de GDPR, los EE. UU. esencialmente estaban pateando la lata (CAN-SPAM) en términos de privacidad.

En muchos sentidos, GDPR obligó a las empresas estadounidenses a limpiar sus actos sin necesidad de regulaciones estadounidenses. Pero esto no significa que Estados Unidos no se tome en serio la privacidad. Actualmente existen varias leyes de privacidad vigentes y muchas otras se están implementando en los EE. UU. Sin embargo, debido a la forma en que los estados individuales crean la legislación, estas leyes están menos conectadas o abarcan todo que el RGPD. Para las empresas que operan a lo largo de la frontera estatal, esto puede resultar confuso.

CCPA/CPRA

La Ley de Privacidad del Consumidor de California (CCPA) y la posterior Ley de Derechos de Privacidad de California (CPRA) , que entrará en vigor el 1 de julio de 2023, se han descrito como lo más parecido al RGPD.

La CPRA se basa en la base establecida por el RGPD, que sentó las bases para varias reglas no incluidas en la CCPA. Estas reglas incluyen:

• Minimización de datos: garantizar que la recopilación de datos sea necesaria para cumplir con un propósito específico.
• Limitación del propósito: garantizar que los datos recopilados no se puedan usar para propósitos nuevos e incompatibles.
• Limitación de almacenamiento: garantizar que los datos no se puedan almacenar durante más tiempo del necesario.

El RGPD también ha influido en cómo la CPRA maneja la información personal confidencial (SPI), como la raza o el origen étnico, las opiniones políticas, las creencias religiosas o filosóficas, la orientación sexual, la genética y los datos relacionados con la salud.

A pesar de las similitudes, existen algunas diferencias clave entre GDPR y CPRA.

El RGPD se aplica a cualquier organización que recopile y procese datos de ciudadanos de la UE, independientemente del tamaño, la ubicación o el propósito de la empresa. GDPR tampoco diferencia entre datos personales y comerciales.

Mientras tanto, la Ley de Derechos de Privacidad de California (CPRA) solo se aplica a las empresas que recopilan y procesan la información personal de los residentes de California y cumplen uno o más de los siguientes criterios:

• Tener un ingreso bruto anual de más de $25 millones;
• Comprar, vender o compartir la información personal de 100 000 o más consumidores u hogares anualmente; o
• Derivar el 50% o más de sus ingresos anuales de la venta de información personal de los consumidores.

En comparación con el RGPD, hay mucho espacio para que las empresas vuelen bajo el radar de CCPA/CCPR. Esto quizás refleje una actitud más relajada hacia las organizaciones en los EE. UU. que acceden y almacenan información personal en comparación con Europa. Sin embargo, luego de varias violaciones de datos de alto perfil que han incomodado a miles de ciudadanos estadounidenses, estas actitudes se están volviendo menos laxas y más estados de EE. UU. se están subiendo al carro de la privacidad.

La Ley de Protección de Datos del Consumidor de Virginia (VCPDA)

La Ley de Protección de Datos del Consumidor de Virginia (VCDPA) es una ley de privacidad similar a la CCPA/CPRA y al RGPD y entró en vigor el 1 de enero de 2023.

El VCDPA se aplica a las empresas que realizan negocios en Virginia o se dirigen a los residentes de Virginia y cumplen con los requisitos de umbral específicos. Estos requisitos incluyen el procesamiento de los datos personales de al menos 100 000 consumidores de Virginia al año o la obtención de más del 50 % de los ingresos brutos de la venta de datos personales y el procesamiento de los datos personales de al menos 25 000 consumidores de Virginia al año.

Según la VCDPA, los consumidores de Virginia tienen derecho a saber qué datos personales se recopilan sobre ellos, el derecho a acceder a sus datos, el derecho a corregir imprecisiones en esos datos, el derecho a eliminar sus datos en determinadas circunstancias y el derecho a optar por la venta de sus datos.

La Ley de Privacidad de Colorado (CPA)

El CPA entrará en vigencia el 1 de julio de 2023.

Al igual que la CCPA/CPRA y el RGPD, la CPA se aplica a las empresas que realizan negocios en Colorado o se dirigen a los residentes de Colorado y cumplen ciertos requisitos mínimos. Estos requisitos incluyen el procesamiento de los datos personales de al menos 100 000 consumidores de Colorado al año o la obtención de más del 50 % de los ingresos brutos de la venta de datos personales y el procesamiento de los datos personales de al menos 25 000 consumidores de Colorado al año.

Una vez más, según la CPA, los consumidores de Colorado tienen derecho a saber qué datos personales se recopilan sobre ellos, derecho a acceder a sus datos personales, derecho a corregir errores en sus datos personales, derecho a eliminar sus datos personales en determinadas circunstancias. , y el derecho a rechazar la venta de sus datos personales.

Un movimiento creciente por una mayor privacidad en los EE. UU.

Si bien la CCPA/CCPR, la VCDPA y la CPA son todas regulaciones locales, existe un movimiento creciente que conduce a que un número cada vez mayor de estados introduzcan regulaciones de privacidad que contribuirán de alguna manera a conectar los puntos y crear un compromiso "nacional" para salvaguardar la privacidad.

Connecticut, Iowa y Utah tienen regulaciones que se aplicarán en los próximos dos años. Según el rastreador de la Asociación Internacional de Profesionales de la Privacidad (IAPP) , muchos otros estados están en proceso de introducir regulaciones.

Sin embargo, existen algunas leyes de privacidad estadounidenses heredadas que cruzan las fronteras estatales y protegen a las personas a nivel federal.

HIPAA – Ley Federal

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) es una ley federal promulgada en 1996, anterior al RGPD e incluso al uso generalizado de Internet.

HIPAA fue diseñado para proporcionar estándares de privacidad y seguridad para proteger la información de salud personal del paciente. La ley establece estándares nacionales para la privacidad y seguridad de la información de salud protegida (PHI) y se aplica a los planes de salud, proveedores de atención médica y cámaras de compensación de atención médica que realizan ciertas transacciones electrónicas.

Bajo HIPAA, las entidades cubiertas deben implementar salvaguardas para proteger la confidencialidad, integridad y disponibilidad de la PHI. Estas medidas de seguridad incluyen medidas administrativas, físicas y técnicas para garantizar la privacidad y seguridad de la PHI.

HIPAA también otorga a las personas ciertos derechos con respecto a su PHI, incluido el derecho a acceder a su PHI, el derecho a solicitar correcciones a su PHI y el derecho a presentar quejas si creen que se han violado sus derechos de privacidad.

¿Cómo están reaccionando las empresas?

En general, las empresas están reaccionando positivamente a la creciente ola de regulaciones de privacidad. Sabiendo que esta tendencia no va a desaparecer, muchas empresas están adaptando sus servicios para incorporar la privacidad en sus modelos comerciales. Ya hemos visto las actualizaciones de Protección de privacidad de correo de Apple , y Google está reinventando la forma en que rastrea la participación de los usuarios en GA4, la última versión de Google Analytics.

Sin embargo, este puede ser un momento confuso para las pequeñas y medianas empresas que no tienen los recursos para realizar un seguimiento y seguir el ritmo de las exigencias de las normas de privacidad. Esto es especialmente cierto cuando los datos se recopilan y procesan a través de múltiples plataformas tecnológicas. Para esas empresas, tiene sentido salvaguardar la privacidad de sus clientes y el futuro de su organización hablando con un experto que pueda ayudarlos a cumplir.

Aprende más

Para obtener más información sobre cómo los expertos en marketing de emfluence pueden ayudar a su empresa a mantenerse en el lado correcto de las regulaciones de privacidad actuales y futuras, contáctenos hoy en [email protected] .