UniConsent

The American Privacy Rights Act (APRA)

The American Privacy Rights Act (APRA) seeks to establish a comprehensive federal framework for consumer privacy, impose data protection obligations on entities, grant individuals specific rights over their data, and enhance the Federal Trade Commission’s enforcement capabilities.

FeaturesGet Started
Trusted by 5000+ of global publishers and marketers
  • sej
  • football365
  • sharethrough
  • districtm
  • pf1
  • tower cast

APRA

Que es la APRA? La Ley Estadounidense de Derechos de Privacidad?

La Ley Estadounidense de Derechos de Privacidad (APRA, por sus siglas en ingles) es un importante proyecto de ley bipartidista y bicameral presentado en el Congreso el 7 de abril. Fue liderado por la presidenta del Comite de Energia y Comercio de la Camara, Cathy McMorris Rodgers (R-WA), y la presidenta del Comite de Comercio, Ciencia y Transporte del Senado, Maria Cantwell (D-WA). La APRA esta disenada para:

  • Actuar como una ley federal integral de privacidad de datos, anulando la mayoria de las regulaciones de privacidad especificas de cada estado.
  • Proporcionar protecciones y derechos de privacidad para todos los ciudadanos estadounidenses, independientemente de su estado, industria o grupo demografico.
  • Implementar medidas de aplicacion solidas para garantizar el cumplimiento, incluyendo la supervision por parte de la Comision Federal de Comercio (FTC), los fiscales generales estatales y, notablemente, otorgando a las personas la capacidad de emprender acciones legales directamente contra los infractores.

Elementos clave de la Ley Estadounidense de Derechos de Privacidad (APRA)

  1. Derechos de privacidad para las personas

La APRA otorga a las personas el derecho a acceder, corregir, eliminar y exportar sus datos personales. Tambien les da la capacidad de optar por no participar en actividades de procesamiento de datos como la publicidad dirigida y el uso de algoritmos.

  1. Obligaciones para las entidades

Las empresas y organizaciones que recopilan, procesan o transfieren datos personales deben cumplir con estrictos principios de minimizacion de datos, requisitos de transparencia y estandares de seguridad de datos. La APRA tambien impone obligaciones adicionales a los grandes poseedores de datos y a los intermediarios de datos, incluyendo la necesidad de realizar evaluaciones de impacto en la privacidad y proporcionar opciones para que las personas opten por no participar en la recopilacion de datos.

  1. Requisitos de consentimiento

Para datos sensibles, como informacion biometrica o genetica, la APRA exige que las entidades obtengan el consentimiento afirmativo y expreso de las personas antes de recopilar, procesar o transferir dichos datos. Esto garantiza que las personas tengan un mayor control sobre su informacion personal mas sensible.

  1. Mecanismos de aplicacion

La APRA faculta a la Comision Federal de Comercio (FTC) para hacer cumplir la ley, con violaciones sujetas a sanciones civiles. Los fiscales generales estatales tambien estan autorizados a interponer acciones civiles en nombre de sus residentes. Notablemente, la APRA incluye un derecho de accion privada, que permite a las personas demandar por ciertas violaciones, como el uso no autorizado de sus datos sensibles.

  1. Prevalencia sobre las leyes estatales

La APRA prevaleceria sobre la mayoria de las leyes estatales de privacidad, estableciendo un conjunto uniforme de protecciones de privacidad a nivel nacional. Sin embargo, ciertas leyes estatales relacionadas con la proteccion del consumidor, la privacidad del empleado y la informacion de salud pueden estar exentas de esta prevalencia.

Consentimiento bajo la APRA

Bajo la APRA, el consentimiento desempena un papel critico en la proteccion de la privacidad de las personas. Las entidades deben obtener un consentimiento claro y afirmativo de las personas antes de procesar datos personales sensibles. Este requisito esta disenado para garantizar que las personas esten plenamente informadas sobre como se utilizaran sus datos y puedan tomar decisiones informadas sobre si permiten dicho procesamiento.

Adicionalmente, la APRA requiere que se ofrezca a las personas la opcion de optar por no participar en ciertas actividades de procesamiento de datos, como el uso de sus datos para publicidad dirigida o la toma de decisiones algoritmicas. Esto permite a las personas ejercer un mayor control sobre su informacion personal y como es utilizada por empresas y organizaciones.

Cronologia de la Ley Estadounidense de Derechos de Privacidad (APRA)

  1. 7 de abril de 2024: Presentacion de la APRA

La Ley Estadounidense de Derechos de Privacidad (APRA) fue presentada por la presidenta del Comite de Energia y Comercio de la Camara, Cathy McMorris Rodgers (R-WA), y la presidenta del Comite de Comercio, Ciencia y Transporte del Senado, Maria Cantwell (D-WA). El proyecto de ley fue presentado como un esfuerzo bipartidista y bicameral para establecer un marco federal integral de privacidad de datos en Estados Unidos.

  1. 23 de mayo de 2024: Revision del Comite de Energia y Comercio de la Camara

El Comite de Energia y Comercio de la Camara, particularmente el Subcomite de Innovacion, Datos y Comercio, reviso una version actualizada de la APRA. Esta version incluyo nuevas disposiciones como el Titulo II, que modifica la Ley de Proteccion de la Privacidad Infantil en Linea (COPPA) e introduce nuevas protecciones para menores.

  1. 31 de mayo de 2024: Discusion publica y actualizaciones adicionales

El Servicio de Investigacion del Congreso (CRS) publico una barra lateral legal actualizada que resume la APRA y destaca los cambios clave respecto al borrador original. Esta actualizacion incluyo comparaciones con otros proyectos de ley de privacidad, reacciones de las partes interesadas y posibles desafios legales.

  1. Desarrollos futuros:
  • Proceso legislativo: La APRA continuara el proceso legislativo, incluyendo debate, posibles enmiendas y votaciones en la Camara de Representantes y el Senado. Si el proyecto de ley es aprobado por ambas camaras, sera enviado al Presidente para su firma.
  • Fecha de implementacion: La fecha especifica de implementacion sera determinada por la version final del proyecto de ley y puede establecerse algun tiempo despues de su aprobacion para permitir a las entidades tiempo para cumplir con las nuevas regulaciones.

La APRA se aplica a las siguientes empresas

Entidades cubiertas:

La APRA se aplica a la mayoria de las empresas, organizaciones y organizaciones sin fines de lucro, definidas como "entidades cubiertas". Estas son entidades que, ya sea solas o en colaboracion con otras, determinan los propositos y medios de recopilacion, procesamiento, retencion o transferencia de datos personales.

Grandes poseedores de datos:

Las entidades con operaciones de datos significativas, particularmente aquellas con ingresos brutos anuales superiores a $250 millones y que cumplen ciertos umbrales de datos, estan sujetas a obligaciones adicionales bajo la APRA. Estos grandes poseedores de datos deben realizar evaluaciones de impacto de algoritmos, evaluaciones de impacto en la privacidad y hacer certificaciones anuales de cumplimiento ante la FTC.

Intermediarios de datos:

La APRA tambien se aplica a entidades cuyo ingreso principal proviene del procesamiento o transferencia de datos personales que no recopilaron directamente de las personas. Estos intermediarios de datos deben registrarse ante la FTC y cumplir con requisitos especificos de gestion de datos y transparencia.

Exenciones:

Ciertas pequenas empresas estan exentas de la definicion de "entidades cubiertas" bajo la APRA, lo que significa que no estan sujetas a las mismas regulaciones que las organizaciones mas grandes. Sin embargo, los criterios especificos para estas exenciones se detallarian en la legislacion final.

Personas y consumidores:

Aunque la APRA impone obligaciones a las entidades, otorga derechos a las personas y consumidores. Estos derechos incluyen acceder, corregir, eliminar y exportar sus datos personales, asi como optar por no participar en ciertos tipos de procesamiento de datos, como la publicidad dirigida.

Requisitos clave de la APRA

Exenciones de la APRA

A diferencia de muchas leyes de privacidad a nivel estatal, la APRA no se extiende a las pequenas empresas, que se definen como entidades que:

  • Tienen ingresos anuales de $40 millones o menos,
  • Recopilan, procesan, retienen o transfieren datos de 200,000 o menos personas, y
  • No generan ingresos por la venta de datos personales a terceros, como intermediarios de datos.

Adicionalmente, la APRA excluye a ciertas organizaciones y entidades, como organismos gubernamentales, contratistas que trabajan en nombre de los gobiernos, el Centro Nacional para Ninos Desaparecidos y Explotados (NCMEC) y organizaciones sin fines de lucro dedicadas a combatir el fraude.

Las entidades que ya cumplen con regulaciones federales especificas, como la Ley Gramm-Leach-Bliley o HIPAA, se consideran en cumplimiento con la APRA. Ademas, la Ley esta disenada para aplicarse solo a datos que puedan vincularse razonablemente a una persona, excluyendo asi datos desidentificados, datos de empleados, informacion disponible publicamente y categorias similares.

Requisitos principales de la APRA

Las organizaciones sujetas a la APRA encontraran que sus requisitos fundamentales se alinean con los que se encuentran en la mayoria de las leyes de privacidad de datos, aunque hay algunos elementos unicos que vale la pena destacar.

Derechos de los titulares de datos

La APRA otorga un conjunto de derechos a las personas, similar a otras leyes de privacidad de EE.UU., incluyendo:

  • El derecho a saber que datos personales se han recopilado,
  • El derecho a acceder a sus datos,
  • El derecho a corregir inexactitudes,
  • El derecho a eliminar sus datos,
  • El derecho a recibir sus datos en un formato portable, y
  • El derecho a optar por no participar en publicidad dirigida y elaboracion de perfiles.

Grandes poseedores de datos

Una de las caracteristicas distintivas de la APRA es la clasificacion de "Grandes Poseedores de Datos", definidos como entidades que:

  • Tienen ingresos anuales de $250 millones o mas,
  • Manejan los datos de mas de 5 millones de personas (o umbrales comparables para dispositivos), o
  • Gestionan los datos sensibles de mas de 200,000 personas.

Los Grandes Poseedores de Datos estan sujetos a regulaciones mas estrictas, incluyendo:

  • Publicar una decada de politicas de privacidad y ofrecer una version resumida,
  • Informar a la FTC sobre las solicitudes de derechos de los titulares de datos,
  • Mantener tanto un oficial de privacidad de datos como un oficial de seguridad de datos,
  • Realizar evaluaciones periodicas de impacto en la privacidad, particularmente para algoritmos.

Datos sensibles

Como es comun en las regulaciones de privacidad, la APRA designa una categoria especial para datos sensibles, definidos ampliamente para incluir:

  • Identificadores gubernamentales,
  • Informacion de salud y biometrica,
  • Datos geneticos,
  • Detalles financieros,
  • Geolocalizacion precisa,
  • Credenciales de inicio de sesion,
  • Comunicaciones privadas,
  • Datos que revelan comportamiento sexual, entre otros.

La APRA requiere que los consumidores opten afirmativamente por la recopilacion y uso de datos sensibles. Los datos no sensibles pueden procesarse siempre que los consumidores esten informados y puedan retirar su consentimiento.

Oficial de privacidad/seguridad de datos requerido

Reflejando aspectos del RGPD, la APRA exige que las empresas designen un oficial de privacidad o seguridad de datos. Aunque las responsabilidades del rol no estan completamente detalladas en el borrador actual, es un requisito para todas las entidades cubiertas, y los Grandes Poseedores de Datos necesitan designar tanto un oficial de privacidad como un oficial de seguridad.

Intermediarios de datos

La APRA introduce regulaciones especificas para los intermediarios de datos, requiriendoles registrarse ante la FTC si afectan los datos de mas de 5,000 personas. Este registro debe renovarse anualmente, y los intermediarios deben mantener un sitio web que facilite los derechos de los titulares de datos y las solicitudes de exclusion, vinculando al registro de intermediarios de datos de la FTC.

Aplicacion multiple con derecho de accion privada

La aplicacion de la APRA puede ocurrir a traves de multiples canales:

  • La FTC, que tratara las violaciones como practicas desleales o enganosas,
  • Los fiscales generales estatales, que pueden buscar diversas formas de reparacion, incluyendo sanciones civiles y restitucion, y
  • Los ciudadanos privados, que pueden demandar a las entidades que violen sus derechos bajo la Ley.

La inclusion de un derecho de accion privada es particularmente notable, ya que permite a las personas hacer valer directamente sus derechos, una disposicion que podria convertirse en un punto focal durante las discusiones legislativas.

Como cumplir con la Ley Estadounidense de Derechos de Privacidad (APRA)?

Utilice una plataforma de gestion de consentimiento como UniConsent para ofrecer a los consumidores un control total sobre la recopilacion de datos, con capacidades de exclusion que automatizan, agilizan y gestionan las comunicaciones de preferencias sin dedicar tiempo y esfuerzo adicionales.

Comply With Global Privacy Regulations

General Data Protection Regulation (GDPR)

Achieve seamless compliance with the General Data Protection Regulation (GDPR) – the cornerstone of data privacy in the European Union. Safeguard user data and build trust with our comprehensive GDPR compliance solutions.

California Consumer Privacy Act (CCPA)

Navigate the intricate landscape of the California Consumer Privacy Act (CCPA) effortlessly. Our CCPA compliance tools ensure that you adhere to the rigorous data protection standards required for California residents.

U.S. State Privacy Laws

Stay ahead of evolving privacy regulations in the United States. Our platform supports a range of state-specific laws, including CCPA, CPRA, CPA, VCDPA, UCPA, and COPPA, ensuring you remain compliant across all jurisdictions.

California Privacy Rights Act (CPRA)

Embrace the future of data privacy with the California Privacy Rights Act (CPRA). As a pioneering state-level legislation, CPRA empowers businesses to enhance their data protection practices and prioritize consumer privacy.

Colorado Privacy Act (CPA)

Prepare for the Colorado Privacy Act (CPA) with UniConsent CMP. Our solutions help you meet the stringent requirements of this forward-thinking state-level privacy law, ensuring the highest level of data security and compliance.

Virginia Consumer Data Protection Act (VCDPA)

Comply confidently with the Virginia Consumer Data Protection Act (VCDPA). UniConsent CMP provides the tools and expertise to ensure your organization aligns with VCDPA's robust data privacy framework, bolstering trust among Virginia residents.

Utah Consumer Privacy Act (UCPA)

Protect user data effectively with the Utah Consumer Privacy Act (UCPA). UniConsent CMP offers solutions that facilitate compliance with this emerging privacy law, ensuring your business is well-prepared for data privacy challenges in Utah.

Connecticut Data Protection Act (CTDPA)

Guard user information and uphold their privacy rights under the Connecticut Data Protection Act (CTDPA). UniConsent CMP's suite of compliance tools empowers you to navigate this state-level law seamlessly and responsibly.

Children’s Online Privacy Protection Act (COPPA)

Prioritize children's privacy with UniConsent CMP's COPPA compliance solutions. Complying with the Children’s Online Privacy Protection Act (COPPA) is simplified, allowing you to provide a safe online environment for young users.

General Data Protection in Thailand (PDPA)

Adhere to the Personal Data Protection Act 2019 (PDPA) in Thailand with UniConsent CMP. Our expertise in PDPA compliance ensures that your organization can operate confidently and securely in the Thai market while respecting user data privacy.

The General Data Protection Law in Brazil (LGPD)

UniConsent CMP facilitates compliance with Brazil's General Data Protection Law (LGPD). Our solutions empower businesses to meet LGPD's stringent requirements, safeguarding the personal data of individuals in Brazil.

China Personal Information Protection Law (PIPL)

Prepare for the China Personal Information Protection Law (PIPL) with UniConsent CMP. As data protection regulations evolve in China, our platform ensures your organization is well-equipped to handle personal information responsibly and securely.

Protection of Personal Information Act in South Africa (POPIA)

The Summary of Protection of Personal Information Act, POPI Act, POPIA, South African Privacy Law.

India’s Personal Data Protection (PDP)

The Personal Data Protection bill for India could require changes to your data management and is not directly solved with GDPR compliance.

Turkey Personal Data Protection Law (KVKK)

The Summary of Turkey’s Personal Data Protection Law: KVKK.

UK General Data Protection Regulation (UK GDPR)

Achieve seamless compliance with the General Data Protection Regulation (GDPR) – the cornerstone of data privacy in the UK. Safeguard user data and build trust with our comprehensive GDPR compliance solutions.

Texas Data Privacy and Security Act (TDPSA)

Comply with the Texas Data Privacy and Security Act (TDPSA), effective July 1, 2024. UniConsent CMP supports opt-out rights, universal opt-out signals, and data protection assessments for Texas residents.

Delaware Personal Data Privacy Act (DPDPA)

Meet the requirements of the Delaware Personal Data Privacy Act (DPDPA). UniConsent CMP provides opt-out and opt-in consent tools, consumer rights management, and sensitive data workflows for Delaware compliance.

New Hampshire Privacy Act (NHPA)

Comply with the New Hampshire Privacy Act (NHPA). UniConsent CMP provides consent banners, Global Privacy Control support, and consumer rights request management for New Hampshire residents.

Montana Consumer Data Privacy Act (MTCDPA)

Meet the requirements of the Montana Consumer Data Privacy Act (MTCDPA). UniConsent CMP helps businesses manage opt-out rights, sensitive data consent, and consumer requests for Montana residents.

Florida Digital Bill of Rights (FDBR)

Meet the requirements of the Florida Digital Bill of Rights (FDBR). UniConsent CMP provides opt-out consent tools, children's data protections, and consumer rights management for Florida compliance.

New Jersey Data Protection Act (NJDPA)

Comply with the New Jersey Data Protection Act (NJDPA). UniConsent CMP provides opt-out consent banners, Global Privacy Control signal recognition, and consumer rights request management for New Jersey residents.

Indiana Consumer Data Protection Act (INCDPA)

Meet the requirements of the Indiana Consumer Data Protection Act (INCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Indiana residents.

Iowa Consumer Data Protection Act (ICDPA)

Comply with the Iowa Consumer Data Protection Act (ICDPA). UniConsent CMP provides opt-out consent banners and consumer rights request management for Iowa residents.

Maryland Online Data Privacy Act (MODPA)

Meet the strict requirements of the Maryland Online Data Privacy Act (MODPA). UniConsent CMP supports data minimization, opt-in consent for sensitive data, and consumer rights management for Maryland residents.

Minnesota Consumer Data Privacy Act (MNCDPA)

Comply with the Minnesota Consumer Data Privacy Act (MNCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Minnesota residents.

Nebraska Data Privacy Act (NDPA)

Meet the requirements of the Nebraska Data Privacy Act (NDPA). UniConsent CMP provides opt-out and opt-in consent tools, Global Privacy Control support, and consumer rights management for Nebraska residents.

Oregon Consumer Privacy Act (OCPA)

Comply with the Oregon Consumer Privacy Act (OCPA). UniConsent CMP provides opt-out consent banners, sensitive data opt-in workflows, and consumer rights management for Oregon residents.

Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)

Meet the requirements of the Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA). UniConsent CMP provides consent banners, Global Privacy Control support, and consumer rights management for Rhode Island residents.

Tennessee Information Protection Act (TIPA)

Comply with the Tennessee Information Protection Act (TIPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and NIST Privacy Framework-aligned privacy management for Tennessee residents.

Oklahoma Computer Data Privacy Act (OKCDPA)

Meet the requirements of the Oklahoma Computer Data Privacy Act (OKCDPA). UniConsent CMP provides opt-out consent banners, sensitive data consent workflows, and consumer rights management for Oklahoma residents.

Nevada Privacy Law (NRS 603A)

Comply with Nevada privacy law (NRS 603A). UniConsent CMP supports opt-out of data sale rights and consent management for Nevada residents.

California Invasion of Privacy Act (CIPA)

Manage CIPA compliance for your website. UniConsent CMP provides opt-in consent tools that block third-party tracking scripts until consent is granted, supporting compliance with California wiretapping law.

California Delete Act (SB 362)

Comply with the California Delete Act (SB 362). UniConsent CMP helps businesses manage consumer deletion requests, data broker obligations, and opt-out preference signals.

Kentucky Consumer Data Protection Act (KCDPA)

Meet the requirements of the Kentucky Consumer Data Protection Act (KCDPA). UniConsent CMP provides opt-out consent tools, sensitive data workflows, and consumer rights management for Kentucky residents.

IAB registered consent manager for GDPRIAB TCF V2 registered consent manager for GDPRIAB TCF Canada registered consent managerGoogle-certified CMPGoogle-certified CMP
Trusted by 5000+ of global publishers and marketers
  • sej
  • football365
  • sharethrough
  • districtm
  • pf1
  • tower cast

Get started to make your website and application compliant for EU GDPR, US CPRA, CA PIPEDA etc

Sign up