Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Ley de Privacidad del Consumidor de Oregón: Una Mirada Completa a la Nueva Ley de Privacidad de Datos del Estado

Inicio Glosario Ley de Privacidad del Consumidor de Oregón: Una Mirada Integral a la Nueva Ley de Privacidad de Datos del Estado

La privacidad de los datos sigue siendo una preocupación apremiante, y los estados de todo Estados Unidos están tomando medidas para proteger la información personal identificable (PII) de sus residentes. Oregón es el último estado que se prepara para unirse a una lista creciente de estados con legislación integral de privacidad de datos. La Ley de Privacidad del Consumidor de Oregón (OCPA) entrará en vigor el 1 de julio de 2024. Esto convierte a Oregón en el undécimo estado en promulgar una legislación integral de privacidad de datos del consumidor y el sexto estado en hacerlo en 2023. Cabe destacar que Oregón es el primer estado controlado por demócratas en aprobar un proyecto de ley de privacidad de datos del consumidor en 2023, destacando la creciente preocupación bipartidista por proteger los derechos de privacidad de los individuos.

Este artículo profundizará en las disposiciones clave de la OCPA y explorará cómo se compara con leyes similares en otros estados.

Ley de privacidad del consumidor de Oregón

¿La Ley de Privacidad de Datos Estatales Más Fuerte Hasta Ahora?

La introducción de todas estas nuevas leyes de privacidad a nivel estatal refleja una tendencia más amplia de creciente énfasis en la privacidad y protección de los datos del consumidor. Estas regulaciones tienen como objetivo proporcionar a los individuos un mayor control sobre su información personal e imponer obligaciones a las empresas para manejar los datos de manera responsable.

Según el Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible de Kiteworks 2023, la mayoría de los encuestados en EE. UU. (53%) ya han establecido un proceso formal para cumplir con las nuevas regulaciones de privacidad a nivel estatal, mientras que el 36% está trabajando activamente en desarrollar uno. Estos hallazgos indican que las empresas reconocen la importancia de adherirse al panorama de privacidad en evolución y están tomando medidas para cumplir con los requisitos impuestos por estas nuevas regulaciones.

La OCPA se inspira en la Ley de Privacidad de Datos de Connecticut y la Ley de Privacidad de Colorado, pero incluye disposiciones únicas que la distinguen de otras leyes estatales.

Si bien es difícil determinar la ley de privacidad estatal “más fuerte”, la legislación de Oregón puede considerarse en el mismo nivel superior que Colorado y Connecticut, lo que significa que han implementado una ley más amigable para el consumidor en varios temas en comparación con otros estados.

¿Quién Está Protegido Bajo la Ley de Privacidad del Consumidor de Oregón?

La Ley de Privacidad del Consumidor de Oregón se aplica a una amplia gama de empresas que operan en Oregón o que proporcionan productos o servicios a residentes de Oregón. La aplicabilidad de la OCPA se basa en criterios específicos descritos en la legislación.

Por ejemplo, la OCPA cubre a las personas que realizan negocios en Oregón o proporcionan productos o servicios a residentes de Oregón. Se aplica a entidades que, durante un año calendario, controlan o procesan los datos personales de un cierto número de consumidores. El umbral para la aplicabilidad se define de la siguiente manera:

  1. Umbral de Datos Personales: La OCPA se aplica a las personas que controlan o procesan los datos personales de 100,000 o más consumidores, excluyendo los datos personales controlados o procesados únicamente para completar una transacción de pago.
  2. Umbral de Ingresos: Alternativamente, la OCPA se aplica a las personas que controlan o procesan los datos personales de 25,000 o más consumidores, mientras obtienen el 25% o más de sus ingresos brutos anuales de la venta de datos personales.

Para poner los umbrales en perspectiva, Oregón tiene una población de aproximadamente 4.24 millones de personas. Con el umbral de 100,000 datos personales, abarca aproximadamente el 2.35% de la población del estado.

Además, es importante señalar que el término “consumidor” en la OCPA se refiere a personas naturales que residen en Oregón y se relacionan con empresas en cualquier capacidad que no sea en un contexto comercial o laboral. Esto significa que los datos de empleados y los datos business-to-business generalmente están excluidos del alcance de la OCPA.

Exenciones y Alcance de Aplicabilidad Bajo la OCPA

La OCPA también proporciona exenciones para ciertos tipos de datos y organizaciones. Los datos personales sujetos a la Ley Gramm-Leach-Bliley (GLBA), por ejemplo, están exentos de las disposiciones de la OCPA. La OCPA tampoco incluye una exención específica para entidades cubiertas por HIPAA, sin embargo, sí incluye exenciones para los datos cubiertos por HIPAA.

La OCPA no proporciona una exención general para organizaciones sin fines de lucro tampoco, sin embargo, sí incluye exenciones específicas para ciertos tipos de actividades sin fines de lucro. La OCPA, por ejemplo, no se aplica a organizaciones sin fines de lucro establecidas para detectar y prevenir el fraude de seguros. Tampoco se aplica a las actividades no comerciales de organizaciones sin fines de lucro que proporcionan programación a redes de radio o televisión.

Al establecer umbrales claros y definir la aplicabilidad, la OCPA asegura que las empresas que operan en Oregón o que sirven a residentes de Oregón estén sujetas a las obligaciones de privacidad descritas en la legislación. Esto ayuda a proteger los derechos de privacidad de los consumidores mientras proporciona un marco para que las empresas manejen los datos personales de manera responsable y transparente.

Entendiendo la Definición de Datos Personales de la OCPA

Bajo la OCPA, la definición de “datos personales” es amplia y abarca varios tipos de información, incluidos datos, datos derivados o identificadores únicos que son razonablemente vinculables a un consumidor o un dispositivo que identifica a uno o más consumidores en un hogar.

La definición de datos personales de la OCPA es intencionalmente integral para tener en cuenta la naturaleza evolutiva de la recopilación de datos y las posibles implicaciones de privacidad asociadas con ella. Reconoce que los datos personales pueden ir más allá de los identificadores tradicionales como nombres y direcciones e incluye datos que, cuando se combinan o analizan, pueden revelar información sobre un individuo.

Es importante señalar que la OCPA excluye explícitamente los datos desidentificados de la definición de datos personales. “Datos desidentificados” se refiere a información que ha sido procesada o modificada de tal manera que ya no puede usarse para identificar a un individuo directa o indirectamente. Esta exclusión reconoce que los datos que han sido efectivamente desidentificados y no pueden ser reidentificados no caen dentro del alcance de los datos personales bajo la OCPA.

Consideraciones de Cumplimiento para Entidades Cubiertas

Las entidades cubiertas, que son empresas sujetas a los requisitos de la OCPA, deben revisar cuidadosamente sus procedimientos de recopilación y procesamiento de datos para asegurar el cumplimiento con la definición de datos personales. Deben evaluar los tipos de datos que recopilan, ya sea directamente de los consumidores o a través de otras fuentes, y determinar si la información cumple con los criterios descritos en la definición de la OCPA.

Además, las entidades cubiertas también deben evaluar sus divulgaciones públicas, como políticas de privacidad y avisos, para asegurar que reflejen con precisión los tipos de datos personales que recopilan y procesan. La transparencia y la comunicación clara con los consumidores sobre las prácticas de recopilación de datos son esenciales bajo la OCPA, y las organizaciones deben proporcionar a los individuos una comprensión integral de los datos personales que recopilan y cómo se utilizan.

Derechos Clave del Consumidor Bajo la OCPA

La Ley de Privacidad del Consumidor de Oregón (OCPA) empodera a los consumidores de Oregón al otorgarles varios derechos con respecto a sus datos personales. Estos derechos aseguran que los individuos tengan control sobre su información y puedan tomar decisiones informadas sobre su recopilación y uso. Aquí están los derechos clave del consumidor proporcionados por la OCPA.

Derecho de Acceso

Los consumidores de Oregón tienen el derecho de solicitar y obtener confirmación de los controladores de datos sobre el procesamiento de sus datos personales. También pueden solicitar una copia de sus datos personales procesados para entender cómo se está utilizando su información.

Derecho de Corrección

La OCPA también proporciona a los habitantes de Oregón el derecho de corrección. Si los individuos descubren inexactitudes o errores en sus datos personales mantenidos por los controladores de datos, tienen la autoridad para solicitar la corrección o rectificación de esa información. Esto empodera a los individuos para asegurar que sus registros sean precisos y estén actualizados, promoviendo la integridad y confiabilidad de los datos.

Derecho de Eliminación

Otro derecho importante del consumidor bajo la OCPA es el derecho de eliminación. Los consumidores tienen la capacidad de solicitar la eliminación de sus datos personales de los registros de los controladores de datos. Este derecho permite a los individuos tener su información eliminada cuando ya no es necesaria para los propósitos para los cuales fue recopilada o cuando retiran su consentimiento para su procesamiento. Les da a los individuos control sobre sus datos y la capacidad de gestionar su retención de acuerdo con sus preferencias.

Derecho a Optar por No Participar

La OCPA reconoce y respeta el derecho de los consumidores a tomar decisiones con respecto a sus datos personales. Otorga a los individuos el derecho a optar por no participar en ciertas actividades relacionadas con su información. Esto incluye la capacidad de optar por no participar en la publicidad dirigida, donde los datos personales son utilizados por los anunciantes para enviar anuncios personalizados. Además, los consumidores pueden optar por no participar en la venta de sus datos personales, evitando que sean transferidos o vendidos a terceros sin su consentimiento. Este derecho empodera a los individuos para proteger su privacidad y controlar cómo se utiliza su información.

Derecho a la Portabilidad de Datos

Bajo la OCPA, los consumidores disfrutan del derecho a la portabilidad de datos. Esto significa que los individuos tienen el derecho de recibir sus datos personales en un formato portátil y utilizable. Esto les permite transferir fácilmente su información entre diferentes servicios o plataformas, mejorando la movilidad y flexibilidad del consumidor y permitiendo a los individuos cambiar de proveedor o utilizar sus datos para propósitos personales de manera fluida.

Mecanismos Universales de Exclusión para el Control del Consumidor

Un requisito notable introducido por la OCPA es el reconocimiento de mecanismos universales de exclusión por parte de los controladores de datos a partir del 1 de enero de 2026. Esto significa que las empresas deben honrar mecanismos universales que permitan a los consumidores optar por no participar en la venta o el intercambio de sus datos personales en múltiples plataformas o servicios. Esta disposición tiene como objetivo proporcionar a los consumidores una forma consistente y simplificada de ejercer sus preferencias de exclusión.

Estos derechos del consumidor bajo la OCPA están diseñados para asegurar la transparencia, el control y la responsabilidad en el manejo de los datos personales. Al otorgar a los individuos la capacidad de acceder, corregir, eliminar, optar por no participar y obtener sus datos, la OCPA empodera a los consumidores para tomar un papel activo en la gestión de su privacidad y proteger su información personal.

Responsabilidades y Deberes de los Controladores Bajo la OCPA

Los controladores sujetos a la OCPA tienen varias obligaciones para asegurar la protección y el manejo responsable de los datos personales de los habitantes de Oregón. Estas obligaciones incluyen:

  1. Provisión de Aviso de Privacidad: Los controladores deben proporcionar un aviso de privacidad que incluya contenido específico según lo requerido por la OCPA. El aviso debe informar a los consumidores sobre los propósitos del procesamiento de datos y las categorías de terceros con los que el controlador comparte datos personales.
  2. Limitación del Procesamiento: Los controladores deben limitar el procesamiento de datos personales a lo que sea razonablemente necesario y relevante para los propósitos declarados.
  3. Derechos de Privacidad del Consumidor: Los controladores deben establecer un medio seguro y confiable para que los consumidores ejerzan sus derechos de privacidad bajo la OCPA.
  4. Consentimiento para Datos Sensibles: Los controladores deben obtener el consentimiento del consumidor antes de procesar datos sensibles. Los datos sensibles generalmente incluyen información como datos de salud, origen racial o étnico, creencias religiosas o información biométrica.
  5. Contratos con Procesadores: Los controladores deben celebrar contratos con sus procesadores. Estos contratos describen las responsabilidades y obligaciones de los procesadores al manejar datos personales en nombre del controlador.
  6. Evaluaciones de Protección de Datos: Los controladores deben realizar y documentar evaluaciones de protección de datos para actividades de procesamiento específicas que representen un riesgo elevado de daño para los consumidores.

Al imponer estas obligaciones a los controladores, la OCPA tiene como objetivo salvaguardar la privacidad del consumidor, mejorar la transparencia y promover prácticas responsables de datos. El cumplimiento de estos requisitos permite a los controladores construir confianza con los consumidores y demostrar su compromiso con la protección de datos personales de acuerdo con la ley.

Tabla de Cumplimiento y Certificación

Kiteworks presume de una larga lista de logros en cumplimiento y certificación.

El Papel de las Evaluaciones de Protección de Datos Bajo la OCPA

La OCPA, en línea con las leyes de privacidad de datos de otros estados, exige que los controladores de datos realicen evaluaciones de protección de datos para ciertas actividades de procesamiento que representan un riesgo aumentado para la privacidad de los consumidores. Estas evaluaciones sirven como un mecanismo para evaluar y mitigar los riesgos potenciales asociados con el manejo de datos personales. Los aspectos clave de las evaluaciones de protección de datos bajo la OCPA incluyen:

  1. Requisito de Evaluación: Los controladores de datos están obligados a realizar evaluaciones de protección de datos para actividades de procesamiento que involucren datos personales sensibles o datos personales utilizados para publicidad dirigida, venta o perfilado. Las evaluaciones tienen como objetivo identificar y abordar cualquier riesgo previsible para la privacidad de los consumidores que surja de estas actividades de procesamiento específicas.
  2. Riesgo Elevado: El requisito de evaluaciones de protección de datos se centra en actividades que representan un riesgo aumentado para la privacidad de los individuos. Esto incluye el procesamiento de datos personales sensibles, que generalmente incluye información que, si se maneja incorrectamente, podría resultar en daño o discriminación para el individuo. Además, las evaluaciones son necesarias para actividades de procesamiento que involucren datos personales utilizados para publicidad dirigida, venta o perfilado, lo que puede impactar potencialmente los derechos e intereses de los individuos.
  3. Período de Retención: Los controladores de datos están obligados a retener los resultados de las evaluaciones de protección de datos por un mínimo de cinco años. Este período de retención asegura que las evaluaciones puedan ser referidas, si es necesario, para propósitos como verificación de cumplimiento o consultas regulatorias.

Al implementar evaluaciones de protección de datos, la OCPA alienta a los controladores de datos a evaluar las implicaciones de privacidad de sus actividades de procesamiento y tomar medidas apropiadas para salvaguardar los datos personales de los consumidores. Estas evaluaciones promueven la gestión proactiva de riesgos, permitiendo a las organizaciones identificar y mitigar riesgos potenciales de privacidad antes de que conduzcan a consecuencias adversas para los individuos.

Es crucial que los controladores de datos cumplan con los requisitos de evaluación de protección de datos de la OCPA realizando evaluaciones exhaustivas, documentando los hallazgos e implementando salvaguardas apropiadas basadas en los resultados de la evaluación. Al hacerlo, las organizaciones pueden demostrar su compromiso con la protección de la privacidad del consumidor y alinearse con los principios de manejo responsable de datos y mejores prácticas de privacidad.

Defendiendo los Derechos de Privacidad: Medidas de Cumplimiento y Remedios de la OCPA

La OCPA establece un marco de cumplimiento y remedios para las violaciones de la ley. La autoridad de cumplimiento recae en el Fiscal General de Oregón, quien es responsable de defender las disposiciones de la OCPA. Aquí están los elementos clave con respecto al cumplimiento y los remedios bajo la OCPA:

  1. Autoridad de Cumplimiento: El Fiscal General de Oregón tiene el poder de hacer cumplir la OCPA y tomar medidas contra los infractores. Esta autoridad permite al Fiscal General investigar posibles violaciones, asegurar el cumplimiento de la ley y responsabilizar a aquellos que no cumplan con los requisitos de la OCPA.
  2. Multas Civiles: La OCPA otorga al Fiscal General la capacidad de imponer multas civiles a las entidades que se encuentren en violación de la ley. Estas multas pueden ascender a un máximo de $7,500 por violación, proporcionando un fuerte disuasivo para el incumplimiento y reforzando la importancia de adherirse a las obligaciones de privacidad descritas en la OCPA.
  3. Medidas Cautelares y Remedios Equitativos: Además de las multas civiles, el Fiscal General puede buscar medidas cautelares o perseguir otros remedios equitativos contra los infractores. Esto permite al Fiscal General tomar medidas legales para detener violaciones en curso, hacer cumplir el cumplimiento o proporcionar remedios apropiados a los individuos afectados.
  4. Derecho a Corregir: La OCPA incluye una disposición de derecho a corregir, que permite a las entidades rectificar violaciones dentro de un período especificado. Hasta el 1 de enero de 2026, las entidades que se encuentren en violación de la OCPA tienen la oportunidad de corregir el incumplimiento y alinearse con la ley.
  5. No Hay Derecho Privado de Acción: A diferencia de algunas otras leyes de privacidad, la OCPA no otorga a los consumidores un derecho privado de acción para demandar por violaciones. Esto significa que los individuos no pueden iniciar directamente procedimientos legales contra entidades por presuntas violaciones de la OCPA. Las acciones de cumplimiento y los remedios son manejados principalmente por la oficina del Fiscal General de Oregón.

Al otorgar autoridad de cumplimiento al Fiscal General de Oregón, la OCPA asegura que las violaciones de la ley sean abordadas adecuadamente y que las entidades enfrenten consecuencias por el incumplimiento. La disponibilidad de multas civiles, medidas cautelares y remedios equitativos proporciona una gama de herramientas de cumplimiento para promover la adherencia a los requisitos de privacidad de la OCPA. La ausencia de un derecho privado de acción enfatiza el papel de la oficina del Fiscal General en defender las disposiciones de la OCPA y salvaguardar los derechos de privacidad de los consumidores.

Kiteworks Ayuda a las Organizaciones a Cumplir con la OCPA

La Red de Contenido Privado de Kiteworks (PCN) ayuda a las organizaciones a demostrar cumplimiento con la OCPA. Kiteworks unifica todos los canales de comunicación de contenido—correo electrónico, intercambio de archivos, transferencia de archivos administrada, formularios web, y más—en una sola plataforma para que las organizaciones puedan rastrear, controlar y asegurar los datos privados de los consumidores.

La Red de Contenido Privado de Kiteworks está protegida por un dispositivo virtual reforzado, que está diseñado con un firewall de red integrado y un firewall de aplicaciones web. Asegura acceso de confianza cero y privilegio mínimo y minimiza la superficie de ataque.

La PCN de Kiteworks proporciona una protección robusta contra la fuga de datos y amenazas de malware a través de sus capacidades de integración con soluciones de prevención de pérdida de datos y protección avanzada contra amenazas. Las integraciones de DLP de Kiteworks aseguran que la PII se prevenga de filtrarse fuera de la organización. Los archivos se escanean en tiempo real para detectar datos sensibles, y las políticas aplicadas previenen el acceso no autorizado o la transmisión de PII. Del mismo modo, las integraciones de ATP de Kiteworks ayudan a las organizaciones a prevenir que el malware ingrese a la organización y comprometa la PII. Cada archivo entrante se escanea en busca de código malicioso y los archivos infectados se eliminan y ponen en cuarentena para una inspección adicional.

Cada archivo se cifra en tránsito y en reposo para proporcionar una capa adicional de protección contra el acceso no autorizado. El cifrado automatizado de extremo a extremo asegura que incluso si los datos son interceptados, permanezcan seguros e ilegibles. Además, Kiteworks emplea capacidades de gestión de derechos digitales para controlar el acceso a la PII. Las organizaciones aprovechan Kiteworks para definir y hacer cumplir permisos de acceso basados en roles de trabajo, asegurando que solo el personal interno autorizado pueda ver o manejar información sensible.

Toda la actividad de archivos se rastrea, registra y se ingresa en un registro de auditoría integral, incluyendo quién ha accedido, modificado, descargado, subido o compartido un archivo. Este registro de auditoría no solo permite a las organizaciones rastrear y monitorear las actividades de los usuarios, sino que también facilita el cumplimiento con varias regulaciones de privacidad de datos. La integración del registro de auditoría de Kiteworks con soluciones de gestión de información y eventos de seguridad (SIEM) permite un monitoreo y análisis centralizados, ayudando a las organizaciones a demostrar cumplimiento con regulaciones como la OCPA, el Reglamento General de Protección de Datos (GDPR), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), y muchas más.

Además, Kiteworks proporciona a las organizaciones formularios web seguros, que son esenciales para abordar los requisitos de consentimiento bajo la OCPA. Estas herramientas empoderan a las organizaciones para establecer mecanismos de opt-in y procedimientos de consentimiento confiables, asegurando el cumplimiento con la OCPA y otras disposiciones de consentimiento de regulaciones de privacidad de datos. Como resultado, las empresas pueden gestionar y rastrear con confianza el consentimiento del usuario para el procesamiento de información personal, manteniendo la transparencia y la responsabilidad.

Con Kiteworks como tu solución de confianza, las empresas pueden navegar efectivamente las complejidades de la Ley de Privacidad del Consumidor de Oregón, asegurando el cumplimiento mientras priorizan la privacidad y seguridad de los datos.

Para obtener más información sobre cómo la Red de Contenido Privado de Kiteworks permite a las organizaciones demostrar cumplimiento con la OCPA y otras regulaciones de privacidad, puedes programar una demostración personalizada hoy mismo.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談
Compartir
Twittear
Compartir
Explore Kiteworks