Virginia
Lista de Verificacion de Cumplimiento de la VCDPA para Empresas (2026)

Las empresas que procesan datos personales de residentes de Virginia enfrentan un conjunto detallado de obligaciones como responsables del tratamiento bajo la Ley de Proteccion de Datos del Consumidor de Virginia (VCDPA), Va. Code Ann. secciones 59.1-575 a 59.1-585. Esta lista de verificacion de nueve pasos recorre cada obligacion, desde la autoevaluacion de umbral hasta los contratos con encargados del tratamiento y la exposicion ante la aplicacion de la ley, para que pueda identificar vacios antes de que llegue la carta de notificacion de 30 dias del Fiscal General.
Para una descripcion en lenguaje sencillo de lo que exige la VCDPA, consulte la guia complementaria.
Paso 1: Realice la Autoevaluacion de Aplicabilidad
Usted es un responsable del tratamiento cubierto bajo la VCDPA si su empresa opera en Virginia y supera uno de dos umbrales numericos. El primer umbral es procesar los datos personales de al menos 100,000 consumidores de Virginia durante un ano calendario. El segundo umbral, de menor volumen, se aplica a empresas que procesan datos de al menos 25,000 consumidores Y obtienen mas del 50 por ciento de sus ingresos brutos de la venta de datos personales. Va. Code Ann. seccion 59.1-576(A).
Observe lo que la VCDPA no incluye: no existe un piso minimo de ingresos anuales. Una empresa de cualquier tamano puede estar cubierta si supera los umbrales de cantidad de consumidores. Si ninguno de los dos umbrales se aplica hoy, repita la prueba anualmente a medida que crece su huella de datos, porque superar un umbral a mitad de ano no genera responsabilidad retroactiva, pero si significa que las obligaciones se activan para el procesamiento posterior.
Preguntas clave que debe hacerse
- ¿Cuantos residentes unicos de Virginia aparecen en sus sistemas durante el ano calendario (en todos los productos, servicios y visitantes del sitio web)?
- ¿Vende datos personales a terceros? Si es asi, ¿que porcentaje de los ingresos brutos totales representa eso?
- ¿Hace negocios en Virginia, incluso si su empresa esta constituida o tiene su sede en otro lugar?
Si sus respuestas honestas lo ubican por encima de 100,000 consumidores, o por encima de 25,000 con una mayoria de ingresos provenientes de la venta de datos, continue con los pasos restantes. De lo contrario, la VCDPA no se aplica, pero documente esa conclusion por si el Fiscal General o un socio comercial lo consultan alguna vez.
Paso 2: Confirme si Aplica una Exencion de Entidad o de Datos
Incluso si su empresa supera el umbral numerico, categorias enteras de entidades estan expresamente exentas de la VCDPA bajo Va. Code Ann. seccion 59.1-576(B). Las entidades exentas incluyen organizaciones sin fines de lucro; instituciones financieras o datos sujetos al Titulo V de la Ley Gramm-Leach-Bliley; entidades cubiertas por HIPAA y sus asociados comerciales; instituciones de educacion superior; y organismos gubernamentales.
Ademas de las exenciones a nivel de entidad, categorias especificas de datos quedan excluidas de los requisitos de la VCDPA bajo la seccion 59.1-576(C), sin importar quien las posea. Esas exclusiones de categorias de datos incluyen: informacion de salud protegida regulada por HIPAA; datos de credito al consumidor regulados por la Ley de Informe Justo de Credito (FCRA); registros educativos protegidos bajo FERPA; datos personales recopilados o procesados bajo COPPA para menores de 13 anos; informacion de licencia de conducir y de registro de vehiculos regulada por la Ley de Proteccion de Privacidad del Conductor (DPPA); y datos de empleo procesados unicamente en el contexto laboral.
Como aplicar la doble verificacion
La exencion de entidad y la exencion de datos son independientes. Un hospital cubierto por HIPAA esta exento como entidad en todos los aspectos. Una empresa de tecnologia que no esta cubierta por HIPAA aun asi puede manejar algunos flujos de datos regulados por HIPAA (si procesa datos en nombre de entidades cubiertas como asociado comercial), los cuales estan exentos a nivel de datos aunque la empresa en si no este exenta como entidad.
El paso practico: para cada flujo de datos que procese, pregunte (a) ¿una exencion de entidad elimina a toda la organizacion? y (b) incluso si la organizacion esta cubierta, ¿una exencion de categoria de datos elimina este tipo de dato especifico? Aplique ambas verificaciones antes de tratar cualquier flujo como regulado por la VCDPA.
Paso 3: Audite sus Practicas de Minimizacion de Datos y Seguridad
Dos obligaciones fundamentales del responsable del tratamiento se aplican una vez que la VCDPA rige su procesamiento. Primero, debe limitar la recopilacion de datos personales a lo que sea adecuado, pertinente y razonablemente necesario en relacion con los fines para los cuales se procesan, tal como esos fines fueron divulgados al consumidor. Va. Code Ann. seccion 59.1-578(A)(1). No puede recopilar mas de lo que necesita, y no puede luego reutilizar los datos de formas materialmente incompatibles con el proposito original de recopilacion sin obtener un nuevo consentimiento.
Segundo, debe establecer, implementar y mantener practicas razonables de seguridad de datos administrativas, tecnicas y fisicas apropiadas al volumen y la naturaleza de los datos personales que procesa. Va. Code Ann. seccion 59.1-578(A)(3). El estatuto no prescribe controles especificos, pero el estandar de razonabilidad se calibra segun la escala: una empresa que procesa cinco millones de registros sensibles enfrenta una carga mayor que una que maneja 110,000 registros de contacto basicos.
Pasos practicos de auditoria
- Mapee todos los flujos de datos personales: que recopila, donde se almacena, quien puede acceder y por cuanto tiempo los conserva.
- Compare el alcance de la recopilacion con los fines divulgados en su aviso de privacidad actual. Cierre cualquier brecha.
- Revise su programa de seguridad frente al volumen y la sensibilidad de los datos que posee. Documente la evaluacion.
- Establezca un cronograma de retencion de datos para que estos se eliminen cuando ya no sean necesarios para los fines divulgados.

Paso 4: Identifique los Datos Sensibles y Obtenga Consentimiento Previo (Opt-In)
La desviacion mas importante de la VCDPA frente a un marco puramente de exclusion voluntaria es su requisito de consentimiento previo y expreso (opt-in) antes de procesar datos sensibles. Este consentimiento debe obtenerse antes de que comience el procesamiento, no ofrecerse como una exclusion posterior a la recopilacion. Va. Code Ann. seccion 59.1-578(A)(5).
La VCDPA define los datos sensibles en la seccion 59.1-575 e incluye: datos que revelan origen racial o etnico; creencias religiosas; diagnosticos de salud mental o fisica; orientacion sexual o identidad de genero; ciudadania o estatus migratorio; datos geneticos; datos biometricos procesados con el fin de identificar de manera unica a una persona natural; datos personales recopilados de un menor conocido; y datos de geolocalizacion precisa (generalmente definidos como latitud y longitud dentro de un radio suficiente para identificar una direccion residencial u otra ubicacion especifica).
Pasos para el cumplimiento con datos sensibles
Revise cada categoria sensible y pregunte si alguno de sus productos, herramientas de analitica, plataformas publicitarias, cuestionarios de salud o perfiles de usuario tocan esa categoria. La lista es mas amplia de lo que muchas empresas esperan: una aplicacion de bienestar que pide a los usuarios registrar sintomas de salud mental, un programa de lealtad minorista que recopila coordenadas GPS precisas, y un sistema de RR.HH. que registra la identidad de genero, todos involucran datos sensibles.
Para cada flujo de datos sensibles que identifique, necesita un mecanismo de consentimiento previo, granular e informado que: (1) describa claramente que datos sensibles se estan recopilando; (2) explique el proposito del procesamiento; y (3) ofrezca una opcion genuina de rechazar sin perder el servicio principal (en la medida de lo posible). El consentimiento agrupado o las casillas premarcadas no cumpliran con el estandar de consentimiento previo afirmativo.
Para los datos personales recopilados de menores conocidos por ser menores de 13 anos, la VCDPA exige el cumplimiento de las reglas de consentimiento parental verificable de COPPA, no simplemente un consentimiento previo generico.
Paso 5: Actualice su Aviso de Privacidad
Los responsables del tratamiento deben hacer que su aviso de privacidad sea razonablemente accesible y claro. Va. Code Ann. seccion 59.1-578(C) especifica que el aviso debe divulgar: (1) las categorias de datos personales que procesa el responsable; (2) el proposito o propositos de ese procesamiento; (3) como los consumidores pueden ejercer sus cinco derechos bajo la VCDPA y como apelar una solicitud denegada; (4) las categorias de datos personales que el responsable comparte con terceros; y (5) las categorias de terceros con quienes el responsable comparte datos personales.
Si vende datos personales a terceros o los procesa para publicidad dirigida, tambien debe agregar una divulgacion clara y visible de esa practica y la manera en que un consumidor puede ejercer su derecho de exclusion voluntaria. Va. Code Ann. seccion 59.1-578(D). Una frase enterrada en una politica de privacidad de 10,000 palabras probablemente no satisfaga el estandar de "clara y visible".
Lista de verificacion del aviso de privacidad
| Elemento requerido | ¿Cubierto? |
|---|---|
| Categorias de datos personales procesados | |
| Fines del procesamiento | |
| Como enviar una solicitud de derechos del consumidor | |
| Como apelar una solicitud denegada (con contacto del Fiscal General) | |
| Categorias de datos compartidos con terceros | |
| Categorias de terceros que reciben datos | |
| Divulgacion de venta o publicidad dirigida (si aplica) | |
| Mecanismo de exclusion voluntaria para venta y publicidad dirigida (si aplica) |
Revise su aviso frente a cada fila anterior. Si alguna celda esta en blanco, actualice el aviso antes de su proxima fecha de revision de cumplimiento.
Para un recorrido detallado de cada derecho del consumidor, incluyendo acceso, correccion, eliminacion, portabilidad y exclusion voluntaria, consulte la seccion sobre derechos del consumidor bajo la VCDPA.
Paso 6: Realice y Documente Evaluaciones de Proteccion de Datos
Las Evaluaciones de Proteccion de Datos (DPA, por sus siglas en ingles) por escrito son obligatorias para cinco categorias de procesamiento bajo Va. Code Ann. seccion 59.1-580(A):
- Procesamiento de datos personales para publicidad dirigida
- Venta de datos personales
- Procesamiento de datos personales para elaboracion de perfiles que produzca efectos legales u otros efectos igualmente significativos sobre los consumidores
- Procesamiento de datos sensibles
- Cualquier otro procesamiento que presente un riesgo razonablemente previsible y elevado de dano para los consumidores
Cada evaluacion debe documentar los beneficios derivados de la actividad de procesamiento, los riesgos potenciales para los derechos e intereses de los consumidores, y las salvaguardas implementadas para reducir esos riesgos. El estatuto indica a los responsables del tratamiento que sopesen los beneficios frente a los riesgos considerando el uso de datos desidentificados, las expectativas del consumidor y el contexto de la relacion de procesamiento. Va. Code Ann. seccion 59.1-580(C).
Reglas de alcance y momento
Una sola evaluacion puede cubrir un conjunto comparable de operaciones de procesamiento en lugar de requerir un documento separado para cada campana o acuerdo individual de intercambio de datos. Sin embargo, el requisito de DPA se aplica unicamente a las actividades de procesamiento creadas o generadas despues del 1 de enero de 2023. Va. Code Ann. seccion 59.1-580(G). No necesita evaluar de forma retroactiva las actividades de procesamiento que estaban completamente establecidas antes de esa fecha, pero cualquier procesamiento nuevo o modificado sustancialmente desde entonces requiere una evaluacion.
Solicitud del Fiscal General y confidencialidad
El Fiscal General puede solicitar las evaluaciones completadas mediante una citacion de investigacion civil para evaluar el cumplimiento. Va. Code Ann. seccion 59.1-580(D). Las evaluaciones completadas son confidenciales bajo la Ley de Libertad de Informacion de Virginia y conservan cualquier privilegio abogado-cliente o proteccion de trabajo preparado que de otro modo aplicaria. Conserve las DPA completadas archivadas y tratelas como documentos sensibles desde el principio, con participacion de asesoria legal.
Que debe contener una DPA
Una DPA defendible tipicamente incluye: una descripcion de la actividad de procesamiento y los datos involucrados; el proposito o beneficio comercial legitimo; un analisis de riesgo que identifique los tipos de dano al consumidor que podrian resultar (financiero, reputacional, fisico, discriminatorio); las salvaguardas y controles mitigantes implementados; y una conclusion que sopese si los beneficios superan los riesgos residuales. No hay un formato prescrito en el estatuto, pero la capacidad del Fiscal General para solicitar estos documentos significa que las evaluaciones vagas o genericas conllevan un riesgo real.

Paso 7: Formalice los Contratos con Encargados del Tratamiento
Todo proveedor, prestador de servicios u otro tercero que procese datos personales en su nombre debe estar regido por un contrato escrito y vinculante entre responsable y encargado del tratamiento antes de comenzar a procesar. Va. Code Ann. seccion 59.1-579(B).
Como minimo, el contrato debe especificar: las instrucciones para el procesamiento de datos personales; la naturaleza y el proposito del procesamiento; y el tipo de datos personales sujetos al procesamiento. Esos tres elementos definen el alcance de la actividad autorizada del encargado del tratamiento.
Disposiciones contractuales obligatorias
Ademas de los elementos de alcance, el contrato debe exigir que el encargado del tratamiento:
- Mantenga la confidencialidad: Todo el personal que acceda a datos personales debe estar sujeto a obligaciones vinculantes de confidencialidad.
- Elimine o devuelva los datos: Al finalizar el contrato o ante una solicitud, el encargado del tratamiento debe eliminar o devolver todos los datos personales al responsable.
- Demuestre cumplimiento: El encargado del tratamiento debe proporcionar informacion suficiente para que el responsable verifique su cumplimiento con la VCDPA.
- Coopere con auditorias: El encargado del tratamiento debe someterse a auditorias razonables o evaluaciones independientes de terceros sobre sus practicas y cooperar con ellas.
- Traslade las obligaciones a subencargados: Cualquier subencargado que contrate el encargado del tratamiento debe estar vinculado por un contrato escrito que cumpla con obligaciones equivalentes.
Inventario de proveedores
Antes de redactar o actualizar contratos, elabore un inventario completo de proveedores. Enumere a todos los terceros que tienen contacto con datos personales que usted controla: proveedores de infraestructura en la nube, proveedores de analitica, plataformas de marketing, procesadores de pagos, herramientas de CRM y cualquier plataforma SaaS que reciba datos de sus sistemas. Cada relacion califica como encargado del tratamiento (que actua bajo sus instrucciones) o como tercero (con su propio rol de responsable), y esa distincion determina si una DPA o un acuerdo de intercambio de datos es el instrumento correcto.
Paso 8: Construya Flujos de Trabajo para Solicitudes de Consumidores y Mecanismos de Apelacion
Los consumidores de Virginia tienen cinco derechos bajo la VCDPA: el derecho a saber que datos personales posee un responsable sobre ellos; el derecho a corregir imprecisiones; el derecho a eliminar sus datos; el derecho a obtener una copia portatil de sus datos; y el derecho a excluirse de la venta, la publicidad dirigida y cierta elaboracion de perfiles. Va. Code Ann. seccion 59.1-577.
Los responsables del tratamiento deben responder a las solicitudes autenticadas dentro de 45 dias. Se permite una extension de hasta 45 dias adicionales si el responsable notifica al consumidor dentro del periodo inicial que se necesita mas tiempo y explica por que.
El requisito de apelacion
Si deniega una solicitud, debe informar al consumidor del motivo y proporcionarle un proceso para apelar la decision. Si la apelacion tambien es denegada, debe proporcionar al consumidor informacion sobre como contactar al Fiscal General para presentar una queja. Esta cadena de apelacion de dos niveles debe describirse en su aviso de privacidad bajo la seccion de "como ejercer los derechos" exigida por la seccion 59.1-578(C).
El mecanismo de apelacion no es opcional y no se satisface con una direccion de correo electronico generica de "contactenos". Construya un proceso de apelacion dedicado y documentado, con denegaciones por escrito, razonamiento documentado y un paso claro de derivacion al Fiscal General.
Para conocer todos los detalles sobre cada derecho, los plazos de solicitud y como autenticar solicitudes sin recopilar en exceso datos de identidad, consulte la seccion complementaria sobre derechos del consumidor bajo la VCDPA.
Paso 9: Comprenda la Aplicacion, el Periodo de Subsanacion y la Exposicion a Sanciones
La VCDPA es aplicada exclusivamente por el Fiscal General de Virginia. No existe un derecho de accion privada. Va. Code Ann. seccion 59.1-584(A) y (E). Ningun consumidor individual, bufete de abogados de demandantes o accion colectiva puede demandar a su empresa por una infraccion de la VCDPA. Dicho esto, la aplicacion exclusiva del Fiscal General no es un refugio seguro.
El periodo de subsanacion de 30 dias
Antes de presentar una accion de aplicacion, el Fiscal General debe dar al responsable o encargado del tratamiento un aviso escrito de 30 dias que identifique las disposiciones especificas presuntamente infringidas. Va. Code Ann. seccion 59.1-584(B). Si subsana la infraccion dentro de esa ventana de 30 dias y proporciona confirmacion escrita de la subsanacion, el Fiscal General no puede iniciar una accion de aplicacion por esa infraccion especifica.
El periodo de subsanacion no tiene fecha de vencimiento en el texto actual del estatuto. A diferencia de otras leyes estatales de privacidad que eliminan gradualmente los periodos de subsanacion tras un numero fijo de anos, el periodo de subsanacion de Virginia sigue disponible segun el texto actual de la ley.
Exposicion a sanciones
Si el periodo de subsanacion de 30 dias expira sin una subsanacion satisfactoria, el Fiscal General puede solicitar: mandatos judiciales que exijan cumplimiento; sanciones civiles de hasta $7,500 por infraccion; y recuperacion de gastos razonables, incluidos honorarios de abogados. Va. Code Ann. seccion 59.1-584(C) y (D).
La estructura por infraccion es significativa. Una sola campana de marketing que procesa datos sensibles sin consentimiento previo para 50,000 consumidores de Virginia no genera una sola infraccion; dependiendo de como el Fiscal General cuente las infracciones, podria generar 50,000. Construya el cumplimiento antes de recibir el aviso, no despues.
Elementos de un programa de cumplimiento
- Designe un responsable interno para el cumplimiento de la VCDPA con autoridad y presupuesto documentados.
- Mantenga un calendario de cumplimiento: revision anual del umbral de aplicabilidad, revision del aviso de privacidad, revision de DPA para nuevas actividades de procesamiento y auditoria de contratos con proveedores.
- Capacite al personal que maneja datos personales sobre las reglas de consentimiento para datos sensibles, los flujos de trabajo de solicitudes de consumidores y los procedimientos de escalamiento.
- Mantenga todas las DPA, contratos con encargados del tratamiento y registros de consentimiento en un sistema documentado y recuperable. Si el Fiscal General envia una citacion de investigacion civil, necesita presentarlos en una ventana corta de tiempo.
Para la guia completa de descripcion general de la ley de privacidad de datos de Virginia, incluyendo como se compara la VCDPA con otras leyes estatales de privacidad, consulte la pagina principal.
Mas Leyes de Virginia
- Leyes de Grabacion con IA en Reuniones de Virginia
- Leyes de Pension Alimenticia de Virginia
- Leyes de Empleo a Voluntad de Virginia
- Leyes de Accidentes de Auto de Virginia
- Leyes de Asientos para Auto de Virginia
- Leyes de Custodia de Menores de Virginia
- Leyes de Manutencion Infantil de Virginia
- Leyes de Matrimonio de Hecho de Virginia
- Leyes de Deepfake de Virginia
- Leyes de Divorcio de Virginia
- Leyes de Choque y Fuga de Virginia
- Leyes de Emancipacion de Virginia
- Leyes de Eliminacion de Antecedentes de Virginia
- Leyes de Choque y Fuga de Virginia
- Leyes de Propietarios e Inquilinos de Virginia
- Leyes del Limon de Virginia
Guias relacionadas
- ¿Que es la VCDPA? La Ley de Proteccion de Datos de Virginia Explicada
- Derechos del Consumidor Bajo la VCDPA: Ejerza sus Derechos de Privacidad en Virginia
- Leyes de Privacidad de Datos de Virginia: Guia de Derechos del Consumidor de la VCDPA (2026)
- Leyes de Privacidad Biometrica de Virginia: Recopilacion, Consentimiento y Sanciones (2026)
- Tabla Comparativa de Leyes Estatales de Privacidad en EE. UU. (2026)
Preguntas frecuentes
¿La VCDPA se aplica a organizaciones sin fines de lucro?
No. Las organizaciones sin fines de lucro estan expresamente exentas de la VCDPA bajo Va. Code Ann. seccion 59.1-576(B). Una organizacion sin fines de lucro que procesa datos personales de 500,000 residentes de Virginia no tiene obligaciones bajo el estatuto. Sin embargo, tenga en cuenta que una organizacion sin fines de lucro aun puede tener obligaciones bajo HIPAA, COPPA u otras leyes federales, dependiendo de los datos que maneje.
¿Cual es la diferencia entre un responsable y un encargado del tratamiento bajo la VCDPA?
Un responsable del tratamiento (controller) es la entidad que determina los fines y medios del procesamiento de datos personales. Un encargado del tratamiento (processor) maneja datos personales unicamente en nombre y bajo las instrucciones de un responsable. La distincion importa porque los responsables cargan con la principal responsabilidad de cumplimiento: redactar el aviso de privacidad, obtener consentimiento para datos sensibles, realizar evaluaciones de proteccion de datos y atender las solicitudes de los consumidores. Los encargados del tratamiento deben estar regidos por un contrato escrito que cumpla con Va. Code Ann. seccion 59.1-579(B) y solo pueden procesar datos segun lo indique el responsable.
¿Cuando exige la VCDPA consentimiento previo (opt-in) frente a exclusion voluntaria (opt-out)?
Se requiere consentimiento previo y expreso (opt-in) antes de procesar datos sensibles, tal como se definen en Va. Code Ann. seccion 59.1-575 (origen racial o etnico, diagnosticos de salud, biometria, geolocalizacion precisa, datos de menores y varias otras categorias). Los derechos de exclusion voluntaria (opt-out) se aplican a tres usos especificos: publicidad dirigida, venta de datos personales y elaboracion de perfiles que produzca efectos legales o igualmente significativos. Para el resto del procesamiento, no se requiere ni consentimiento previo ni exclusion voluntaria siempre que el procesamiento sea coherente con los fines divulgados.
¿Existe un derecho de accion privada bajo la VCDPA?
No. Va. Code Ann. seccion 59.1-584(E) establece que la VCDPA no debe interpretarse como una base para un derecho de accion privada. Solo el Fiscal General de Virginia puede iniciar acciones de aplicacion. Esta es una diferencia estructural significativa frente a algunas leyes estatales de biometria (como la BIPA de Illinois), que permiten a las personas demandar directamente y han generado cientos de millones de dolares en acuerdos de acciones colectivas.
¿Cuanto dura el periodo de subsanacion de la VCDPA y expirara?
El periodo de subsanacion es de 30 dias desde el aviso escrito del Fiscal General sobre una infraccion. Segun el texto actual del estatuto, el periodo de subsanacion no tiene una fecha de vencimiento programada. Esto distingue a Virginia de algunos estados (como Connecticut y Colorado) cuyas leyes de privacidad incluyeron periodos de subsanacion solo por un numero limitado de anos. El periodo de subsanacion de Virginia sigue vigente a menos que la Asamblea General enmiende el estatuto.
¿Que registros debo conservar para una evaluacion de proteccion de datos de la VCDPA?
La VCDPA no prescribe un formato especifico de DPA. Como minimo, una evaluacion debe documentar la actividad de procesamiento, los beneficios del procesamiento, los riesgos potenciales para los consumidores, las salvaguardas aplicadas y una conclusion escrita que sopese los beneficios frente a los riesgos residuales. El Fiscal General puede solicitar evaluaciones mediante una citacion de investigacion civil bajo la seccion 59.1-580(D). Las evaluaciones completadas son confidenciales bajo la Ley de Libertad de Informacion de Virginia y conservan el privilegio abogado-cliente aplicable, por lo que es aconsejable la participacion de asesoria legal durante su redaccion.
¿Estan exentos los registros de empleados de la VCDPA?
Si. Los datos personales procesados unicamente en el contexto de una relacion laboral, incluidos los datos de solicitantes de empleo, los datos de empleados actuales, la informacion de contacto de emergencia y los datos necesarios para la administracion de beneficios, se encuentran dentro de las exenciones por categoria de datos de Va. Code Ann. seccion 59.1-576(C). Los empleadores no deben a sus empleados de Virginia los derechos de la VCDPA (acceso, correccion, eliminacion, portabilidad o exclusion voluntaria) para los datos procesados en ese contexto laboral.
¿Los requisitos de evaluacion de proteccion de datos se aplican al procesamiento que comenzo antes de 2023?
No. Va. Code Ann. seccion 59.1-580(G) establece que los requisitos de DPA no son retroactivos y se aplican unicamente a las actividades de procesamiento creadas o generadas despues del 1 de enero de 2023. Si una actividad de procesamiento se establecio completamente antes de esa fecha y no ha sido modificada sustancialmente, no se requiere una DPA para esa actividad preexistente. Las actividades de procesamiento nuevas o modificadas sustancialmente despues del 1 de enero de 2023 requieren una evaluacion sin importar cuando se recopilaron los datos subyacentes.
Fuentes y referencias
- Va. Code Ann. seccion 59.1-575 (Definiciones de la VCDPA)(law.lis.virginia.gov).gov
- Va. Code Ann. seccion 59.1-576 (Alcance y Exenciones de la VCDPA)(law.lis.virginia.gov).gov
- Va. Code Ann. seccion 59.1-577 (Derechos del Consumidor)(law.lis.virginia.gov).gov
- Va. Code Ann. seccion 59.1-578 (Obligaciones del Responsable; Transparencia)(law.lis.virginia.gov).gov
- Va. Code Ann. seccion 59.1-579 (Obligaciones del Encargado del Tratamiento; Contratos)(law.lis.virginia.gov).gov
- Va. Code Ann. seccion 59.1-580 (Evaluaciones de Proteccion de Datos)(law.lis.virginia.gov).gov
- Va. Code Ann. seccion 59.1-584 (Aplicacion; Sancion Civil)(law.lis.virginia.gov).gov