El año pasado, la Legislatura de Florida aprobó el Proyecto de Ley Senatorial 262, conocido como Declaración de Derechos Digitales de Florida. A diferencia de muchas leyes estatales, que entran en vigor en julio del mismo año, esta ley entra en vigor el 1 de julio de 2024, lo que brinda a las empresas más tiempo para prepararse para los cambios significativos de la ley en materia de privacidad de datos. Pero esa fecha de inicio ya casi está cerca, y las empresas, especialmente las grandes empresas de tecnología que hacen negocios en Florida, deben prepararse ahora.

A diferencia de otras leyes de privacidad estatales, el estatuto de Florida se centra en entidades que generan más de la mitad de sus ingresos a partir de anuncios en línea (por ejemplo, Facebook, Google), aquellas que operan tiendas de aplicaciones en línea con un cuarto de millón de aplicaciones (por ejemplo, Apple, Google), aquellas que operan parlantes inteligentes conectados a la nube (por ejemplo, Amazon, Google) y empresas con más de mil millones de dólares en ingresos que realizan negocios en el Estado del Sol. A diferencia de las leyes de privacidad de muchos otros estados de EE.UU. y de Europa, el estatuto de privacidad de Florida parece tener como objetivo no sólo proteger la privacidad de los residentes de Florida, sino también proporcionar al estado un mecanismo para responsabilizar a las “grandes empresas tecnológicas”.

La Declaración de Derechos Digitales de Florida (FDBR) establece un marco integral para la privacidad de datos en Florida, brindando a los consumidores un mayor control sobre su información personal y responsabilizando a las empresas por prácticas responsables de manejo de datos.

Si bien inicialmente estaba dirigida a las grandes tecnologías, la FDBR tiene implicaciones más amplias para la comunidad empresarial de Florida y es el último avance en la evolución de la legislación de privacidad. Las empresas de Florida deberían adoptar la FDBR e interpretar esta ley como una señal para reevaluar sus prácticas de datos, particularmente en lo que respecta a los menores, y adoptar marcos ágiles para navegar en el cambiante panorama regulatorio. Al hacerlo, las empresas no sólo pueden confirmar el cumplimiento sino también asegurar el éxito a largo plazo en un mundo donde la privacidad es cada vez más primordial. Además, la nueva ley puede establecer el estándar para que otros reguladores de Florida, incluido el Procurador General o las agencias de protección al consumidor, hagan cumplir los principios generales de privacidad que la ley considera prácticas comerciales “injustas” o “engañosas”.

Las empresas que recopilan periódicamente información personal o información personal confidencial de residentes de Florida deben, como mínimo, considerar las siguientes recomendaciones:

Identifique los datos que recopila: Haga una lista completa de los datos personales que recopila de los consumidores, incluidos los que se recopilan directamente y los que provienen de terceros.

Comprenda cómo se utilizan los datos: Planifique cómo utiliza los datos. Alinear esto con el requisito de la FDBR de que la recopilación de datos se limite a lo necesario para los fines divulgados.

Elabore un aviso de privacidad claro: Desarrolle un aviso de privacidad claro y accesible que detalle las categorías de datos que recopila, cómo se utilizan, con quién se comparten y cómo los consumidores pueden ejercer sus derechos según la FDBR.

Obtener consentimiento para datos sensibles: Identifique cualquier dato confidencial que maneje (por ejemplo, información de salud) y confirme que tiene un mecanismo para obtener el consentimiento explícito de los consumidores antes de procesarlo.

Implementar salvaguardias sólidas: Evalúe y fortalezca sus medidas de seguridad de datos para proteger la información personal del acceso no autorizado, la divulgación o el uso indebido. Esto puede implicar capacitación de los empleados, cifrado de datos y auditorías de seguridad periódicas. También es fundamental establecer un plan de respuesta a incidentes y contratar a un profesional de ciberseguridad que pueda ayudarle a responder rápidamente a incidentes y eventos de seguridad de datos.

Establecer un proceso para solicitudes de derechos: Desarrollar un sistema para atender las solicitudes de los consumidores para acceder, corregir o eliminar sus datos personales. Esté preparado para responder a estas solicitudes dentro del plazo establecido en la FDBR.

Establecer límites de retención de datos: Establezca un cronograma de retención de datos que dicte cuánto tiempo almacenará…