Inicio ' Recursos ' Artículos ' VCDPA: El consumidor de Virginia...

VCDPA: Explicación de la Ley de Protección de Datos de los Consumidores de Virginia

Cubierto por Termly

Por: Anokhy Desai CIPP/US, CIPT, CIPM Anokhy Desai CIPP/US, CIPT, CIPM | Actualizado el: 17 de enero de 2025

Solución de cumplimiento gratuita
CDPA-Virginia-Consumer-Data-Protection-Act-Explained-01

La Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) es una ley integral de privacidad de datos que protege a las personas en Virginia y fue promulgada en 2021. 

En esta guía, explico los requisitos de la VCDPA y cómo afecta a empresas y consumidores, y le proporciono recursos que le ayudarán a simplificar el cumplimiento.

Índice
  1. ¿Qué es la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)?
  2. Términos clave y definiciones de VCDPA
  3. ¿Cuándo entró en vigor la Ley de Protección de Datos de los Consumidores de Virginia?
  4. ¿A quién protege la VCDPA?
  5. ¿Quién debe cumplir la VCDPA?
  6. Derechos de los consumidores
  7. Requisitos empresariales de VCDPA
  8. Sanciones por infringir la VCDPA
  9. Utilización de Termly para el cumplimiento de VCDPA
  10. Resumen

¿Qué es la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)?

La Ley de Protección de Datos de los Consumidores de Virginia(VCDPA) es una ley de protección de datos de ámbito estatal que protege la información personal de los residentes en Virginia.

Esboza los requisitos que deben seguir las entidades para recoger, procesar y utilizar legalmente los datos personales, concede diversos derechos a los consumidores y describe las sanciones por infringir la ley.

Virginia fue uno de los cuatro primeros estados de EE.UU. en aprobar una ley de privacidad del consumidor, de alcance similar a la Ley de Privacidad del Consumidor de California (CCPA).

Términos clave y definiciones de VCDPA

A continuación, he recopilado una lista de términos y definiciones clave tal y como aparecen en el texto de la VCDPA para ayudarle a comprender mejor el alcance de la ley.

¿Cuándo entró en vigor la Ley de Protección de Datos de los Consumidores de Virginia?

La VCDPA entró en vigor el 1 de enero de 2023.

El 1 de enero de 2025 entró en vigor una enmienda a la VCDPA que refuerza la protección de la intimidad de los niños.

¿A quién protege la VCDPA?

La VCDPA se aplica a cualquier residente de Virginia que actúe a título individual o doméstico.

No se aplica a las personas del Estado que actúan en contextos comerciales o laborales.

¿Quién debe cumplir la VCDPA?

Su empresa debe cumplir con la VCDPA si realiza negocios en Virginia o dirige sus productos y servicios a residentes de Virginia y cumple cualquiera de los dos umbrales:

  • Controla o trata los datos personales de 100.000 consumidores durante un año natural, o
  • Controla o procesa los datos personales de 25.000 consumidores y obtiene el 50% de los ingresos brutos de la venta de datos personales.

No obstante, las siguientes entidades están exentas de la VCDPA:

  • Bancos o instituciones financieras
  • Agencias estatales
  • Organizaciones sin ánimo de lucro
  • Colegios y universidades

También existen exenciones para determinados tipos de información, entre los que se incluyen los siguientes:

Derechos de los consumidores

La VCDPA concede a los consumidores derechos específicos relacionados con la recogida y uso de sus datos personales, entre los que se incluyen los siguientes:

  • Confirmar si un responsable del tratamiento está tratando sus datos
  • Acceder a sus datos personales
  • Corregir inexactitudes en sus datos
  • Solicitud de supresión por parte de las empresas
  • Obtener una copia de los datos personales
  • Exclusión voluntaria del tratamiento de datos personales para publicidad dirigida
  • Optar por no vender sus datos personales
  • Exclusión voluntaria de la elaboración de perfiles
  • No discriminación por ejercer derechos
  • Presentar una denuncia por violación de derechos

Requisitos empresariales de VCDPA

A continuación, he resumido los principales requisitos empresariales esbozados por la ley de privacidad de Virginia.

Tratamiento lícito de datos

Según la VCDPA, las empresas deben limitar su recogida de datos personales a los que sean adecuados, pertinentes y razonablemente necesarios en relación con la finalidad del tratamiento comunicada al consumidor.

Las entidades cubiertas tampoco pueden tratar datos sensibles de los consumidores sin obtener previamente su consentimiento expreso.

Generador de Política de Privacidad

La VCDPA exige a las empresas que presenten a los usuarios un aviso de privacidad claro, razonablemente accesible y significativo que incluya la siguiente información:

  • Finalidad del tratamiento de datos personales
  • Categorías de datos tratados
  • Categorías de datos compartidos con terceros
  • Categorías de datos vendidos a terceros
  • Revela las categorías de los propios terceros
  • Explica cómo pueden presentarse las solicitudes de los consumidores
  • Proporciona un mecanismo para recurrir las decisiones relacionadas con las solicitudes de los consumidores
  • Revela claramente el tratamiento de datos personales con fines de publicidad dirigida.
  • Derecho a excluirse voluntariamente del tratamiento de datos

gestión del consentimiento

La VCDPA exige a las empresas obtener el consentimiento explícito y afirmativo de los consumidores para determinados tipos de tratamiento de datos, incluida la recogida de datos sensibles.

El consentimiento en virtud de la VCDPA debe ser afirmativo, informado e inequívoco.

Pero también debe ofrecer a los consumidores la posibilidad de rechazar los anuncios dirigidos, la venta de su información y la elaboración de perfiles.

Las empresas acogidas a esta ley deben implantar soluciones en gestión del consentimiento para que los residentes de Virginia puedan hacer valer fácilmente estos derechos.

Obligaciones contractuales

Todo responsable del tratamiento que recurra a un tercero como encargado del tratamiento debe elaborar y hacer firmar a ambas partes un contrato que recoja las siguientes estipulaciones:

  • Garantizar que toda persona que trate datos esté sujeta al deber de confidencialidad,
  • Suprimir o devolver todos los datos al final del contrato por orden del responsable del tratamiento,
  • Poner a disposición del responsable del tratamiento, a petición razonable de éste, toda la información que obre en su poder para demostrar el cumplimiento de la ley,
  • Cooperar y permitir evaluaciones razonables por parte del controlador o de un tercero evaluador,
  • Contrate por escrito a los subcontratistas siguiendo estas mismas directrices.

Respuesta a las peticiones de los consumidores

Las empresas acogidas a la VCDPA deben responder a las solicitudes de los consumidores para hacer valer sus derechos en un plazo de 45 días.

Ese plazo puede ampliarse 45 días más si es necesario, en función de la complejidad y el número de solicitudes que reciba la empresa.

En virtud de la VCPDA, las empresas deben responder gratuitamente a las solicitudes de los consumidores hasta dos veces al año.

Las empresas son responsables de verificar la identidad del consumidor que ha presentado una solicitud antes de enviar una respuesta. En caso necesario, se les permite solicitar a la persona la información adicional que sea necesaria para confirmar su identidad.

Procedimiento de recurso

La VCDPA exige a las empresas que pongan en marcha un proceso para que los consumidores presenten recursos basados en su decisión de negarse a responder a una solicitud de seguimiento de los derechos de privacidad.

El proceso debe ser tan fácil para el consumidor como presentar originalmente una solicitud, y usted debe responder a ella en un plazo de 60 días a partir de su recepción.

Evaluaciones de protección de datos

Las empresas sujetas a la VCDPA deben realizar evaluaciones de protección de datos para las siguientes actividades de tratamiento de datos:

  • Tratamiento de datos personales para publicidad dirigida
  • Venta de datos personales
  • Tratamiento de datos personales para la elaboración de perfiles
  • Tratamiento de datos personales sensibles
  • Cualquier actividad de tratamiento que presente un mayor riesgo de perjuicio para los consumidores

A partir del 1 de enero de 2025, cualquier controlador que ofrezca servicios, productos o funciones en línea dirigidos a niños conocidos también deberá realizar estas evaluaciones.

La evaluación debe identificar y sopesar los beneficios directos e indirectos del tratamiento para el responsable del tratamiento, el consumidor y otras partes interesadas frente a los riesgos para los derechos de los consumidores.

El fiscal general puede pedir a los responsables del tratamiento que revelen sus evaluaciones de protección de datos cuando sean pertinentes para investigaciones sobre el cumplimiento de la ley.

Si su empresa está sujeta a varias leyes con un requisito de evaluación de la protección de datos, la VCDPA le permite utilizar una única evaluación siempre que aborde conjuntos comparables de operaciones de tratamiento e incluya actividades similares.

Directrices de seguridad de los datos

La VCDPA exige a las empresas que establezcan, apliquen y mantengan medidas razonables de seguridad administrativa, técnica y física de los datos para mantenerlos a salvo.

Las medidas de seguridad deben proteger la confidencialidad, integridad y accesibilidad de los datos.

Las medidas de seguridad deben ser adecuadas al volumen y la naturaleza de la información.

Entre los métodos habituales figuran el cifrado de datos, la autenticación multifactor y la limitación del acceso a los datos personales recopilados.

Sanciones por infringir la VCDPA

Las sanciones por infringir la VCDPA incluyen multas de hasta 2.500 dólares por cada infracción no intencionada y de hasta 7.500 dólares por cada infracción intencionada.

El Fiscal General tiene autoridad para hacer cumplir la VCDPA.

Los consumidores no tienen derecho a emprender acciones privadas en virtud de esta ley.

Utilización de Termly para el cumplimiento de VCDPA

Las empresas pueden utilizar Termly para ayudar a simplificar el cumplimiento de varios aspectos de la VCDPA, incluidas las directrices de notificación de privacidad, gestión del consentimiento, y ayudar a los usuarios a realizar fácilmente el seguimiento de sus derechos de privacidad.

Termly's Generador de política de privacidad incluye todas las cláusulas necesarias que exige el texto de la VCDPA. Formula preguntas básicas sobre su empresa y sus actividades de tratamiento y, a partir de sus respuestas, elabora una política única y completa para usted.

Con el respaldo de nuestro equipo jurídico y de expertos en privacidad de datos, incluye consejos útiles para que responder a las preguntas sea aún más fácil.

Además, las empresas pueden utilizar la plataforma gestión del consentimiento (CMP) deTermly para cumplir los requisitos de consentimiento establecidos por la VCDPA. Incluye un banner de consentimiento personalizable y un política de cookies que se actualiza cada vez que se realiza un análisis del sitio web.

También incluye un formulario gratuito de solicitud de acceso a los datos, para que sus usuarios puedan enviar fácilmente solicitudes de seguimiento de sus diversos derechos de privacidad en virtud de la legislación de Virginia.

Resumen

La VCDPA es una ley integral de privacidad de datos que afecta a empresas y consumidores de varias maneras.

Si su empresa está sujeta a esta ley, asegúrese de actualizar su política de privacidad e implantar una plataforma gestión del consentimiento para cumplir los requisitos de notificación y transparencia que establece la ley.

Añada a su sitio web una o varias formas sencillas para que los residentes de Virginia puedan ejercer fácilmente sus derechos de privacidad.

Facilite aún más el cumplimiento de la normativa y utilice el conjunto de soluciones de Termlypara cumplir fácilmente las directrices de leyes como la VCDPA y otras.

Anokhy Desai CIPP/US, CIPT, CIPM
Más sobre el autor

Escrito por Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Solución de conformidad GRATUITA

Nuestro gestor Generador de política de privacidad y consentimiento de cookies le ayuda a obtener la conformidad en MINUTOS.
Cumplir la legislación sobre protección de datos

Artículos Relacionados

  1. Qué es una política de privacidad-01
    ¿Qué es una política de privacidad? Todo lo que las empresas deben saber
    Artículos

    21 de febrero de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  2. 9-Asuntos comunes de la política de privacidad que deben evitarse - Copy-01
    9 problemas comunes de la política de privacidad que hay que evitar
    Artículos

    21 de febrero de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Cómo-Navegar-CCPA-DSAR-Requerimientos-01
    Requisitos DSAR del CCPA: Cómo navegar en 6 sencillos pasos
    Guías

    20 de febrero de 2025
    Anokhy Desai CIPP/US, CIPT, CIPM
  4. Política de privacidad - Actualización-01
    Actualizaciones de la política de privacidad: Por qué y cómo actualizarla
    Artículos

    20 de febrero de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. Cómo redactar una política de privacidad-01
    Cómo redactar una política de privacidad en 9 sencillos pasos
    Guías

    20 de febrero de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  6. Necesito un abogado para una política de privacidad-01
    ¿Necesito un abogado para una política de privacidad?
    Artículos

    19 de febrero de 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  7. Política de privacidad para WordPress
    Política de privacidad de WordPress: Cómo crear una
    Artículos

    19 de febrero de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  8. Política de privacidad de las aplicaciones de Facebook
    Política de privacidad de las aplicaciones de Facebook
    Artículos

    18 de febrero de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  9. Termly
    Termly vs. OneTrust: Comparación de características y servicios
    Comparaciones

    14 de febrero de 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM

Explore más recursos