Preguntas más frecuentes sobre la Ley de protección de datos del consumidor de Virginia (VCDPA)

1. La Ley de Protección de Datos del Consumidor de Virginia (VCDPA) es una ley de privacidad completa en el Estados Unidos, y la aplicará el Fiscal General de Virginia (AG) a partir del 1 de enero de 2023. El Fiscal General puede solicitar "daños por hasta $7,500 por cada violación".
2. El VCDPA proporciona una variedad de derechos de privacidad a los consumidores de Virginia. Las empresas reguladas por el VCDPA tendrán muchas obligaciones con esos consumidores, como proporcionar divulgaciones, responder de forma similar a las solicitudes de interesados (DSR) del Reglamento general de protección de datos (RGPD) y cumplir con ciertas obligaciones de procesamiento de datos (por ejemplo, minimización de datos, prácticas razonables de seguridad de datos).
3. Aunque las empresas con programas de cumplimiento de RGPD sólidos pueden disfrutar de un comienzo importante en el cumplimiento de VCDPA, hay diferencias clave entre el RGPD y VCDPA que es importante tener en cuenta. El cumplimiento no puede producirse de la noche a la mañana; se tarda tiempo en comprender las complejidades normativas del VCDPA e implementar herramientas y mecanismos internos para garantizar que los patrimonios de datos estén listos para el cumplimiento de VCDPA.
4. Como se describe con más detalle en la sección Preguntas más frecuentes completas, Microsoft proporciona productos y servicios para ayudar a los clientes a lograr el cumplimiento de VCDPA y proporcionar ciertas herramientas elementales para ayudar a los clientes a establecer, implementar y mantener "prácticas razonables de seguridad de datos administrativos, técnicos y físicos para proteger la confidencialidad, integridad y accesibilidad de los datos personales", según lo requiera el VCDPA.

El VCDPA se aplicará a empresas con fines de lucro que controlan o procesan datos personales de residentes de Virginia a mayor escala.

Más concretamente, el VCDPA se aplica a las organizaciones "que realizan negocios en la commonwealth de Virginia o producen productos o servicios dirigidos a residentes de la Commonwealth" y, durante el año natural, ya sea: (1) controlar o procesar datos personales de al menos 100 000 residentes de Virginia, o (2) derivar más del 50% de los ingresos brutos de la venta de datos personales (el VCDPA no aclara si el umbral de ingresos se aplica solo a los residentes de Virginia) y controlar o procesar datos personales de al menos 25.000 residentes de Virginia.

Como nota, aunque la VCDPA no define "dirigir negocios en Virginia", una empresa regulada puede suponer que la VCDPA se aplicará a ella si hay alguna actividad económica que desencadene la responsabilidad fiscal o la jurisdicción personal en Virginia.

No. Como se describe en ¿Hay otros términos de procesamiento de datos que necesiten estar en vigor? sección, los términos del Complemento de protección de datos de productos y servicios de Microsoft cumplirán los requisitos del VCDPA.

Muchos de los derechos del VCDPA concedidos a los consumidores de Virginia son similares a los derechos que proporciona el RGPD, incluidos los derechos de los consumidores, como los derechos de acceso, eliminación y portabilidad de los datos personales. Como tal, una empresa regulada puede buscar nuestras soluciones de RGPD existentes para ayudarles con sus esfuerzos de cumplimiento de VCDPA.

Dependiendo de las circunstancias únicas de su negocio y de dónde esté desarrollando su programa de privacidad de VCDPA, puede considerar centrarse en los cinco pasos clave siguientes para comenzar su recorrido de VCDPA:

• Detectar: identifique qué datos personales tiene su empresa y dónde residen.
• Mapa: determine cómo comparte su empresa datos personales con terceros.
• Administrar: controlar cómo se usan y se accede a los datos personales.
• Protección: establezca controles de seguridad para evitar, detectar y responder a vulnerabilidades y filtraciones de datos.
• Documento: Documente un programa de respuesta de vulneración de datos.

Además, el Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. Busque la plantilla para generar la evaluación en la página plantillas de evaluación en el Administrador de cumplimiento. Para obtener más información, consulte el artículo sobre las evaluaciones de compilación en el Administrador de cumplimiento .

Debe comprender cuáles son las obligaciones específicas de su organización bajo VCDPA y cómo las cumple, aunque Microsoft está aquí para ayudarle en su viaje.

La VCDPA fue firmada en ley el 2 de marzo de 2021. Sin embargo, la aplicación por parte del Fiscal General de Virginia (AG) no comenzará hasta el 1 de enero de 2023.

Algunas organizaciones están exentas del VCDPA, entre las que se incluyen:

• Agencias estatales de Virginia
• Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley
• Entidades cubiertas o asociados de negocios que se rigen por las reglas de privacidad, seguridad y notificación de infracciones establecidas de conformidad con la Ley de portabilidad y responsabilidad de seguros de salud
• Organizaciones sin fines de lucro; y las instituciones de educación superior.

La VCDPA también proporciona protección contra la discriminación si/cuando los consumidores eligen ejercer sus derechos y ofrece a los consumidores la capacidad de optar por no participar en la venta de sus datos personales, publicidad dirigida y determinados perfiles. Para obtener más información sobre cómo usar productos, servicios y herramientas administrativas de Microsoft para ayudar a buscar y "actuar" sobre datos personales, consulte Solicitudes de interesados y RGPD y CCPA.

La VCDPA requiere que las empresas reguladas respondan a las solicitudes para ejercer los derechos de los consumidores en un plazo de 45 días, y este período puede extenderse durante 45 días adicionales si se proporciona un aviso al consumidor solicitante explicando el motivo de dicho retraso. La VCDPA también proporciona a los consumidores el derecho a apelar la negativa de una empresa a tal solicitud a través de un proceso de apelación proporcionado por la empresa que debe estar "visiblemente disponible". Una empresa debe responder a una apelación por escrito en un plazo de 60 días; si se deniega la apelación, la empresa debe proporcionar al consumidor un "mecanismo en línea (si está disponible) u otro método" a través del cual un consumidor puede presentar una reclamación al grupo de disponibilidad.

Las obligaciones empresariales en virtud del VCDPA incluyen:

• Minimización de datos: limitar la recopilación de datos personales a lo que es adecuado, pertinente y razonablemente necesario (por ejemplo, los fines especificados y express para el procesamiento).
• Limitación de propósito: Procese datos personales solo para fines razonablemente necesarios o compatibles con los fines divulgados al consumidor (por ejemplo, en un aviso de privacidad).
• Controles de seguridad: establecer, implementar y mantener "prácticas razonables de seguridad de datos administrativos, técnicos y físicos" para proteger los datos personales de los consumidores.
• No discriminación: No procesar datos personales de forma que infrinja las leyes estatales o federales de antidiscriminación. Además, se prohíbe a las empresas discriminar a un consumidor por ejercer sus derechos bajo VCDPA (con algunas excepciones, incluidos los programas de fidelidad).
• Consentimiento: obtenga el consentimiento expreso de los consumidores cuando la empresa (1) procese datos confidenciales, o (2) se desvíe de los fines del procesamiento de datos divulgados al consumidor (por ejemplo, dentro del aviso de privacidad de la empresa).

"Datos personales" se define como cualquier información vinculada o razonablemente vinculable a una persona física identificada o identificable, pero no incluye datos des-identificados o información disponible públicamente. La definición de "datos personales" de VCDPA se alinea aproximadamente con los "datos personales" según el RGPD.

"Datos confidenciales" es una categoría de "datos personales" que incluye lo siguiente:

• Datos personales que revelan el origen racial o étnico, las creencias religiosas, el diagnóstico de salud mental o física, la orientación sexual, la ciudadanía o el estado de inmigración;
• El procesamiento de datos genéticos o biométricos con el fin de identificar de forma única a una persona física;
• Los datos personales recopilados de un niño conocido; O
• Datos de geolocalización precisos.

Como se mencionó anteriormente, el VCDPA requiere el "consentimiento" del consumidor antes de procesar los datos en determinadas circunstancias, incluso antes de procesar los datos confidenciales de un consumidor. «Consentimiento» se define como un «acto afirmativo claro que significa el acuerdo libremente dado, específico, informado e inequívoca de un consumidor para procesar datos personales relacionados con el cliente» y podría incluir «una declaración escrita, incluida una declaración escrita por medios electrónicos o cualquier otra acción afirmativa inequívoca».

La siguiente información debe incluirse en un aviso de privacidad razonablemente accesible y claro:

• Categorías de datos personales procesados;
• La finalidad del tratamiento de datos personales;
• Cómo los consumidores pueden ejercer sus derechos con respecto a sus datos personales (por ejemplo, el derecho a corregir la información personal);
• Las categorías de datos personales que se comparten con terceros (si los hubiera);
• Categorías de terceros con las que una empresa regulada comparte datos personales (si existe).
• El hecho de que los datos personales se vendan a terceros o se procesen para publicidad dirigida, y cómo optar por no participar (esta declaración solo es necesaria si un responsable vende o procesa datos para publicidad dirigida); Y
• Cómo los consumidores pueden apelar una decisión de solicitud de derechos tomada por la empresa.

La "venta de datos personales" se define como "intercambio de datos personales para consideración monetaria" por parte de una empresa a un tercero. La VCDPA proporciona a los consumidores el derecho de "no participar" en la venta de sus datos personales.

Como nota, el VCDPA indica que una empresa regulada no necesita respetar las solicitudes de venta de "exclusión" en las siguientes divulgaciones:

• (i) a un procesador (como una entidad que procesa datos personales en nombre de la empresa),
• (ii) a un tercero con el fin de proporcionar un producto o servicio solicitado por un consumidor,
• (iii) a un afiliado,
• (iv) de la información que un consumidor puso intencionadamente a disposición del público en general a través de un canal de medios de comunicación masivos y no restringió dicha información a una audiencia específica, y
• (v) como parte de una fusión, adquisición, etc., en la que un tercero asume el control de la totalidad o parte de los activos de la empresa.

Un DPA es una evaluación que identifica y pondera las ventajas frente a los posibles riesgos para los consumidores que resultan de cierto procesamiento de datos personales. Bajo VCDPA, un DPA debe realizarse para las siguientes actividades: la venta de datos personales, al procesar datos personales confidenciales, al procesar datos personales para publicidad dirigida, al procesar datos personales con determinados fines de generación de perfiles e instancias en las que el procesamiento presenta un mayor riesgo de daño a los consumidores. Para obtener información sobre cómo usar productos, servicios y herramientas administrativas de Microsoft para llevar a cabo un DPA, consulte Evaluación del impacto de la protección de datos para el RGPD.

El VCDPA requiere que un responsable (por ejemplo, la entidad que determina el propósito y los medios de procesamiento de datos personales) y un procesador de datos (por ejemplo, una entidad que procesa datos personales en nombre del responsable del tratamiento) entren en un contrato que incluya determinados términos de procesamiento de datos. Los términos de este contrato deben incluir ciertas disposiciones, como: instrucciones para el procesamiento de datos, tipos de datos sujetos al tratamiento, naturaleza y finalidad del tratamiento, duración del tratamiento y derechos y obligaciones de ambas partes. Además, el contrato debe incluir obligaciones relacionadas con la subcontratación, las evaluaciones, el deber de confidencialidad, la eliminación o la devolución de datos personales, y demostrar el cumplimiento del tratamiento con el VCDPA.

Microsoft puede considerarse un procesador de datos en algunas circunstancias al proporcionar servicios a nuestros clientes. Si ese es el caso, los términos del Anexo de protección de datos de productos y servicios de Microsoft (DPA) ya cumplen los requisitos del VCDPA, ya que estos requisitos son similares a los requisitos contractuales del RGPD; no es necesario actualizar el contrato de su organización con Microsoft. Como se establece en el DPA, Microsoft cumple con todas las leyes y regulaciones aplicables a su prestación de los Servicios en línea, que incluirían el VCDPA.

El VCDPA concede a la autoridad exclusiva del grupo de disponibilidad para aplicar su disposición, con sujeción a un período de curación de 30 días para las supuestas violaciones de la VCDPA. El grupo de disponibilidad puede solicitar medidas cautelares y daños de hasta $7,500 por cada violación y los "gastos razonables incurridos en investigar y preparar el caso, incluidos los honorarios del abogado".

Como nota, el VCDPA no concede a los consumidores un derecho de acción privado.

Entre otras cosas, Microsoft ha implementado los DSR relacionados con EL RGPD globalmente, por lo que ya estamos en una excelente posición para ayudarle a cumplir requisitos similares de VCDPA. También hemos revisado nuestros acuerdos de uso compartido de datos de terceros y hemos tomado medidas para establecer que se han establecido los términos contractuales y barreras contractuales necesarios para garantizar que no "vendemos" información personal.

Microsoft también le ayuda a cumplir sus obligaciones en virtud del VCDPA mediante la implementación de medidas técnicas y organizativas adecuadas destinadas a facilitar sus respuestas a los DSR de los consumidores, proporcionar herramientas o mecanismos de cumplimiento técnico y cumplir con las instrucciones de procesamiento de datos.

Debido a la naturaleza de la informática en la nube, Microsoft opera bajo un modelo de responsabilidad compartida para servicios en línea. La responsabilidad compartida es un tema importante, ya que tanto los proveedores de servicios en la nube como las empresas reguladas son responsables de partes de la seguridad en la nube. Para obtener más información sobre nuestras prácticas de seguridad y privacidad, visite el Centro de confianza de Microsoft.

• Empiece a usar la evaluación del RGPD en el Administrador de cumplimiento como parte del programa de privacidad de VCDPA de su organización.
• Establecer un proceso para responder de forma eficaz a las solicitudes de derechos de los consumidores.
• Configure directivas para detectar, clasificar, etiquetar y proteger datos confidenciales con Microsoft Purview Information Protection.
• Use las capacidades de cifrado de correo electrónico para controlar aún más la información confidencial.

El VCDPA define a un niño como cualquier individuo menor de 13 años de edad. Las empresas que cumplan con los requisitos de consentimiento verificables bajo la Regla de protección de la privacidad en línea de los niños (COPPA) se considerarán conformes con cualquier obligación de obtener el consentimiento parental bajo el VCDPA.

El VCDPA proporciona que los datos confidenciales de un niño deben procesarse de acuerdo con los requisitos de COPPA .

Las obligaciones de VCDPA no se aplican a los datos personales recopilados y utilizados en un contexto laboral.

Hay muchas diferencias. Es más fácil centrarse en las similitudes, entre las que se incluyen:

• Obligaciones de divulgación/transparencia.
• Derechos de los consumidores para acceder, eliminar y corregir sus datos personales.

Lo importante es que VCDPA requiere que las empresas permitan a los consumidores excluirse de las ventas de datos a terceros, la publicidad dirigida y cierta generación de perfiles. Se trata de obligaciones más estrictas y específicas que el amplio derecho del RGPD a oponerse al procesamiento, que abarca estos tipos de divulgaciones, pero no se limita específicamente a cubrir esas divulgaciones.

Además, la VCDPA también proporciona a los consumidores el derecho a apelar la negativa de una empresa a realizar una solicitud de interesado a través de un proceso de apelación proporcionado por la empresa que debe estar "visiblemente disponible". Dicho proceso de apelación no es requerido por el RGPD.