La Ley de Protección de la Información de Tennessee
La Ley de Protección de la Información de Tennessee (TIPA) es una ley integral de privacidad de datos diseñada para proteger la privacidad de los residentes de Tennessee. El proyecto de ley fue aprobado por los legisladores en 2023 y forma parte de una tendencia creciente de legislación de regulación de privacidad a nivel estatal. En este artículo, profundizaremos en los detalles de TIPA, sus requisitos y sus implicaciones para las empresas en el nuevo paradigma de cumplimiento normativo.
La Tendencia de las Leyes de Privacidad Estatal en los Estados Unidos
La legislatura de Tennessee aprobó la Ley de Protección de la Información de Tennessee el 21 de abril de 2023. Esta legislación es parte de una tendencia entre un número creciente de estados que aprueban leyes de privacidad de datos para proteger la privacidad de sus ciudadanos. Cuatro estados han aprobado leyes de privacidad de datos solo esta primavera. Actualmente hay nueve estados con leyes de privacidad de datos, incluyendo California, Colorado, Connecticut, Indiana, Iowa, Montana, Virginia y Utah. Aunque TIPA no entrará en vigor hasta el 1 de julio de 2025, su aprobación marca otro paso significativo en los esfuerzos de los estados por proteger los derechos de privacidad de sus residentes.
¿Qué es la Ley de Protección de la Información de Tennessee (TIPA)?
La Ley de Protección de la Información de Tennessee exige a las empresas que tomen las medidas necesarias para proteger la información personal identificable (PII) de los residentes de Tennessee en caso de una violación de datos. TIPA se aplica a cualquier persona o entidad que posea, licencie o mantenga información personal de los residentes de Tennessee en el curso regular de los negocios. Cumplir con TIPA es esencial para las empresas que arriesgan daños financieros y reputacionales por una violación de datos, pero también puede ayudar a las empresas a construir confianza con sus clientes.
Cómo se Compara TIPA con la Ley de Protección de Datos del Consumidor de Virginia
TIPA se basa en gran medida en la recientemente promulgada Ley de Protección de Datos del Consumidor de Virginia (VCDPA). Ambos marcos comparten definiciones, obligaciones y derechos fundamentales del consumidor similares, como el requisito de obtener el consentimiento para el procesamiento de datos personales sensibles y el derecho de los consumidores a optar por no participar en la venta de datos, la publicidad dirigida y las decisiones de perfilado significativas.
Sin embargo, hay varias formas en que TIPA se desvía de la VCDPA, lo que la convierte en una regla de privacidad menos protectora en general. Estas incluyen umbrales de cobertura que probablemente se aplicarán a menos empresas, amplias excepciones para datos seudónimos que podrían limitar el impacto de los derechos de exclusión, y una exención para la industria de seguros.
Un área donde TIPA es más fuerte que la VCDPA es en proporcionar un derecho más largo a subsanar para las presuntas violaciones de la ley. TIPA también establece una defensa afirmativa pionera para las empresas que se ajustan razonablemente al Marco de Privacidad del Instituto Nacional de Estándares y Tecnología (NIST) u otras políticas, estándares y procedimientos documentados diseñados para proteger la privacidad del consumidor. Sin embargo, no está claro cómo funcionaría esta defensa en la práctica.
Otra distinción es que TIPA permite a los tribunales otorgar daños triples por violaciones intencionales o conscientes, mientras que la VCDPA solo permite una sanción civil máxima de $7,500 por violación.
Alcance de la Ley de Protección de la Información de Tennessee
TIPA se aplica a ciertas entidades que operan en Tennessee y manejan la información personal de los residentes de Tennessee. Para estar sujeto a TIPA, una entidad (referida como “controlador”) debe cumplir con los siguientes criterios:
- Tener un ingreso anual de más de $25,000,000
- Ya sea (a) procesar la información personal de 175,000 o más residentes de Tennessee durante un año calendario, o (b) procesar la información personal de al menos 25,000 consumidores y derivar más de la mitad de sus ingresos brutos de la venta de información personal
El término “ingreso” no está definido por TIPA, pero probablemente se refiere a los ingresos brutos anuales de la entidad a nivel mundial, como en California y Utah.
Además, TIPA define a un “consumidor” como una persona natural que es residente de Tennessee y actúa en una capacidad personal. Esto significa que los empleados y los contactos business-to-business no se consideran consumidores bajo TIPA.
Por último, TIPA también cubre a los proveedores y otras partes (conocidos como “procesadores”) que manejan información personal en nombre de un controlador. Esto puede incluir proveedores de servicios y proveedores de software.
Kiteworks presume de una larga lista de logros en cumplimiento y certificación.
¿Qué se Considera Información Personal Bajo TIPA?
TIPA define la información personal como una combinación del nombre o inicial del residente y el apellido, junto con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación emitida por el gobierno
- Número de cuenta, número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad requerido, código de acceso o contraseña que permita el acceso a la cuenta financiera de un residente
- Número de póliza de seguro de salud o número de identificación de suscriptor de seguro de salud en combinación con cualquier otro identificador único utilizado por un asegurador de salud para identificar al residente
- Nombre de usuario o dirección de correo electrónico, en combinación con una contraseña o pregunta de seguridad y respuesta que permita el acceso a una cuenta en línea
Derechos del Consumidor y Opt-outs Bajo TIPA
TIPA establece ciertos derechos para los consumidores cuya información personal es procesada por controladores sujetos a TIPA. Específicamente, los consumidores tienen los siguientes derechos bajo TIPA:
- El derecho a acceder a su información personal, incluido el derecho a confirmar si un controlador está procesando su información personal
- El derecho a solicitar la eliminación de la información personal proporcionada por ellos o obtenida sobre ellos
- El derecho a obtener una copia de su información personal en un formato portátil, pero solo en la medida en que los datos fueron proporcionados previamente por el consumidor
- El derecho a corregir inexactitudes en su información personal, pero solo en la medida en que los datos fueron proporcionados previamente por el consumidor
- El derecho a apelar cualquier denegación de una solicitud del consumidor relacionada con los derechos anteriores
Además, TIPA requiere que los controladores den a los consumidores la capacidad de optar por no participar en las siguientes prácticas:
- Perfilado que produce efectos legales o significativamente similares en relación con el consumidor
- Publicidad dirigida
- La venta de información personal
Sin embargo, es importante señalar que TIPA establece que estos derechos de exclusión no se aplican a los datos “seudónimos” (es decir, datos que están sujetos a controles que impiden que el controlador acceda a los identificadores), o a los datos desidentificados (es decir, datos que no pueden atribuirse a una persona natural específica o dispositivo vinculado a una persona).
Responsabilidades de Controladores y Procesadores Bajo TIPA
TIPA impone ciertas obligaciones a los controladores y procesadores que manejan la información personal de los residentes de Tennessee. Los controladores, por ejemplo, deben asegurarse de que el procesamiento de la información personal se limite a lo que sea razonablemente necesario y proporcional para los fines identificados en sus avisos de privacidad. También deben implementar medidas técnicas y organizativas razonables para proteger la seguridad de la información personal, evitar la discriminación ilegal contra los consumidores que ejercen sus derechos bajo TIPA, y ser transparentes en sus avisos de privacidad.
Además, los controladores deben asegurarse de que sus contratos con los procesadores incluyan disposiciones para controlar la relación y exigir al procesador que ayude al controlador a cumplir con sus obligaciones de responder a las solicitudes de los consumidores relacionadas con su información personal.
Los procesadores, por su parte, deben seguir las instrucciones de procesamiento del controlador y proporcionar la información necesaria para ayudar al controlador a cumplir con sus obligaciones bajo TIPA.
Los controladores deben obtener el consentimiento del consumidor para procesar datos sensibles, o en el caso de datos sensibles relacionados con un niño conocido, procesar los datos de acuerdo con la ley federal.
Además, TIPA requiere que los controladores realicen evaluaciones de protección de datos para las actividades de procesamiento creadas o generadas a partir del 1 de julio de 2024. Estas evaluaciones deben considerar los beneficios de la actividad de procesamiento para el controlador, los consumidores y otras partes interesadas, así como cualquier riesgo potencial para los derechos del consumidor. Las evaluaciones deben tener en cuenta el uso de datos desidentificados, las expectativas razonables de los consumidores y el contexto de la actividad de procesamiento. Los procesadores deben ayudar razonablemente a los controladores a realizar estas evaluaciones.
Es importante señalar que el requisito de evaluación de protección de datos no se aplica retroactivamente a las actividades de procesamiento realizadas antes del 1 de julio de 2024.
Disposiciones Notables en TIPA
TIPA contiene varias disposiciones notables, incluidas exclusiones específicas para ciertas entidades como instituciones financieras cubiertas por la Ley Gramm-Leach-Bliley (GLBA) y aquellas sujetas a la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y regulaciones de la Ley de Derechos Educativos y Privacidad Familiar (FERPA). El estatuto define a los “consumidores” como solo personas naturales que son residentes de Tennessee y que actúan en un contexto personal.
Los consumidores tienen el derecho de exigir la eliminación, acceso, corrección y portabilidad de datos de su información personal, así como el derecho a optar por no participar en la venta de datos personales y la publicidad dirigida.
Se requieren evaluaciones de protección de datos para ciertas actividades de procesamiento que involucran información personal, incluida la publicidad dirigida, la venta de datos personales y el procesamiento de datos sensibles, entre otros.
El estatuto permite sanciones civiles de hasta $7,500 por cada violación, con un período de subsanación de 60 días para las violaciones. Las empresas también deben crear y mantener un programa de privacidad escrito que se ajuste al Marco de Privacidad del NIST para recibir una defensa afirmativa contra las presuntas violaciones de TIPA.
Aplicación de TIPA
TIPA otorga la autoridad exclusiva para hacer cumplir sus disposiciones al Fiscal General de Tennessee (AG), y no se permite el derecho de acción privado. Si se alega una violación, los controladores y procesadores tienen un período de derecho a subsanar de 60 días para remediar cualquier incumplimiento. En comparación con otras leyes de privacidad estatales, este período de subsanación no caduca. Si el controlador o procesador no subsana, el AG puede imponer una sanción civil de hasta $7,500 por violación.
Un controlador o procesador acusado de violar TIPA puede afirmar una defensa afirmativa si han implementado y cumplido con un programa de privacidad escrito que cumpla con los requisitos del Marco de Privacidad del NIST titulado “Una Herramienta para Mejorar la Privacidad a través de la Gestión de Riesgos Empresariales Versión 1.0”, u “otras políticas, estándares y procedimientos documentados diseñados para proteger la privacidad del consumidor”. Si el NIST o un marco de privacidad comparable emite una versión revisada de su marco de privacidad, el controlador o procesador debe actualizar su programa de privacidad para conformarse con el marco revisado dentro de los dos años posteriores a la fecha de publicación.
Cumplimiento de TIPA
Las empresas que recopilan información personal sobre los residentes de Tennessee deben tomar varios pasos para cumplir con TIPA. Estos incluyen:
- Desarrollar e implementar un programa de seguridad de la información escrito que incluya salvaguardias administrativas, técnicas y físicas para proteger la información personal
- Realizar evaluaciones de riesgos periódicas para identificar y abordar posibles vulnerabilidades de seguridad
- Capacitar a los empleados sobre el manejo adecuado de la información personal
- Implementar procedimientos para disponer de manera segura de la información personal cuando ya no sea necesaria
- Responder rápidamente a incidentes de violación de datos y proporcionar notificaciones a los residentes de Tennessee afectados según lo requiera la ley
Las empresas que no cumplan con TIPA pueden enfrentar consecuencias legales y financieras significativas. Por lo tanto, es esencial que las empresas comprendan los requisitos de la ley y tomen medidas para garantizar el cumplimiento.
Demuestra Cumplimiento con TIPA Usando Kiteworks
Kiteworks ayuda a las empresas a demostrar cumplimiento con la Ley de Protección de la Información de Tennessee proporcionando una Red de Contenido Privado para el manejo e intercambio de la información personal de los habitantes de Tennessee. TIPA impone obligaciones significativas a las empresas al manejar información personal, y el incumplimiento puede resultar en severas sanciones y daños a la reputación.
Kiteworks utiliza un dispositivo virtual reforzado auto-contenido y preconfigurado para minimizar la superficie de ataque de los canales de comunicación de una organización. Kiteworks emplea extensos controles de seguridad, como autenticación multifactor, controles de políticas granulares, permisos basados en roles, integraciones de infraestructura de seguridad y cifrado de extremo a extremo para asegurar la privacidad de la información personal.
Al usar Kiteworks, las empresas pueden rastrear, controlar y asegurar adecuadamente las comunicaciones digitales de contenido sensible perteneciente a los ciudadanos de Tennessee cuando lo comparten con partes de confianza por correo electrónico, uso compartido de archivos, transferencia de archivos y otros canales.
Los registros de auditoría integrales de Kiteworks también permiten a las organizaciones demostrar cumplimiento con las regulaciones de privacidad de datos como la Ley de Protección de la Información de Tennessee, el Reglamento General de Protección de Datos (GDPR) y HIPAA.
Para obtener más información sobre cómo se puede usar Kiteworks para cumplir con la Ley de Protección de la Información de Tennessee, programa una demostración personalizada hoy.