¡Su navegador no admite JavaScript!

Anuncios especiales

Cambios en la Ley de Privacidad de Datos de Virginia (GDCDPA)

La Ley de Prácticas de Recogida y Difusión de Datos del Gobierno de Virginia (GDCDPA) fue actualizada a través del HB1161, que el gobernador Spanberger firmó en 4/13/2026. Estos cambios refuerzan las protecciones de privacidad para los residentes de Virginia y agregan nuevas restricciones sobre cuándo las agencias estatales y locales pueden compartir información personal. 

¿Qué es la Ley de Prácticas de Recogida y Difusión de Datos del Gobierno? 

La Ley de Prácticas de Recogida y Difusión de Datos del Gobierno de Virginia fue el marco legal que regula cómo las agencias estatales y locales recopilan, manten, emplean y comparten información personal desde 1976. La ley establece protecciones básicas de privacidad y requisitos operativos para cualquier agencia que gestione datos personales sobre residentes de Virginia. 

La Ley define la información personal de forma amplia para incluir cualquier dato que pueda identificar a una persona: números de la Seguridad Social, licencias de manejar, tarjetas de identificación estatales, historiales médicos, historial laboral, información financiera, registros educativos e incluso afiliaciones políticas o religiosas.  

Los requisitos fundamentales de la Ley incluyen recopilar únicamente información que sea legalmente permitida o necesaria para las funciones adecuadas de la agencia, mantener la información con precisión y puntualidad, implementar medidas de seguridad y controles de acceso adecuados, establecer procedimientos para que las personas revisen y corrijan su información, documentar las prácticas de difusión y mantener listas de quién tiene acceso regular, así como evitar que la información recogida para un propósito se emplee para otro Sin autorización legal. 

¿Qué cambió con HB1161? 

HB1161 realiza varios cambios significativos para reforzar las protecciones de privacidad y aumentar la responsabilidad. Los cambios más notables son: 

  1. Definición ampliada de información personal - La ley actualizada ahora incluye explícitamente la siguiente información personal: números de registro de extranjeros de USCIS, número de identificación fiscal, origen nacional, historial de votación, estatus migratorio, datos biométricos como huellas faciales, retinas oculares y escaneos de iris, así como fotografías físicas o digitales, videos y grabaciones de audio. 
  2. No se permite vender información personal (§ 2.2-3800(A)(11))  - Ahora se prohíbe explícitamente a las agencias vender información personal bajo ninguna circunstancia. 
  3. Difusión limitada -(§ 2.2-3803.11(a)-(f)) - La ley establece límites claros para cuándo las agencias pueden compartir información personal, pasando de principios generales a condiciones específicas enumeradas.  Las agencias solo pueden difundir información personal en estas seis circunstancias: 
    • Cumplimiento legal - En la medida necesaria para cumplir con la legislación estatal o federal, incluyendo HIPAA y otros requisitos regulatorios 
    • Administración del programa - En la medida necesaria para llevar a cabo la administración de un programa estatal o federal conforme a la ley estatal o federal 
    • Proceso legal - Cumplir con una citación, orden judicial o procedimiento administrativo 
    • Acuerdos de adquisición y educativos - En la medida necesaria para cerciorar el cumplimiento de obligaciones bajo contratos celebrados de acuerdo con la Ley de Contratación Pública de Virginia O memorándums de entendimiento o acuerdos de gestión celebrados bajo la Ley de Operaciones Financieras y Administrativas Reestructuradas de la Educación Superior 
    • Consentimiento individual - Cuando el sujeto dio su consentimiento (ahora definido como "un acto afirmativo claro que significa el acuerdo libre, específico, informado e inequívoco del sujeto")
    • Propósito adecuado de la agencia - En la medida necesaria para cumplir un propósito adecuado de la agencia (que incluye actividades específicas como optimizar servicios, prevenir fraudes, realizar investigaciones y análisis de datos) 
  4. Estándar más estricto para la autorización individual- HB1161 introduce un cambio terminológico importante a lo largo de toda la ley, sustituyendo la palabra "licencia" por "consentimiento" y estableciendo una definición formal. Según la ley anterior, las agencias podían difundir información con el "licencia documentada" de un sujeto de datos. La nueva ley exige "consentimiento", que ahora se define como "un acto afirmativo claro que significa el consentimiento libre, específico, informado e inequívoco de un sujeto para difundir información personal." 

La ley también refuerza la aplicación. Los tribunales pueden ahora imponer sanciones civiles a funcionarios públicos, designados o empleados que violen deliberada y conscientemente las restricciones de difusión. Por violaciones de las disposiciones de difusión, las sanciones individuales van de500 a2dólares,500 por primera infracción, y2dólares,500 a10dólares,000 por infracciones posteriores. Esto genera una responsabilidad individual directa más allá del cumplimiento a nivel de agencia. 

Excepción importante de intercambio de datos : Commonwealth Data Trust 

Sección 2.2-203.2:4(E) del Código de Virginia establece que ODGA se considera un agente de cualquier agencia del poder ejecutivo que comparta información con la Oficina, y los datos interinstitucionales compartidos a través de este mecanismo no constituyen una divulgación ni divulgación bajo la ley legal o administrativa que rige los datos. 

Esto significa que las agencias pueden seguir participando en iniciativas del Commonwealth Data Trust para la colaboración interinstitucional, el análisis y la toma de decisiones basada en datos sin activar las restricciones de difusión previstas en HB1161.  

Qué significa esto para tu agencia 

Estos cambios exigen que las agencias evalúen cuidadosamente las prácticas y políticas actuales de intercambio de datos. El intercambio de datos que podría ser habitual bajo interpretaciones anteriores debe ahora encajar en una de las seis categorías listadas, y las agencias deben estar preparadas para documentar la base legal de cualquier difusión. 

Consideraciones operativas clave: 

  • Revisar los acuerdos y prácticas existentes de intercambio de datos para cerciorar que se alinean con una de las seis categorías de difusión permitidas 
  • Documenta la base legal Para cualquier difusión, especialmente los arreglos rutinarios de compartir 
  • Entiende la excepción del Commonwealth Data Trust - compartir a través de ODGA no se considera difusión y sigue siendo una herramienta valiosa para la colaboración interinstitucional 
  • Actualizar los formularios de consentimiento y avisos para reflejar la nueva definición de consentimiento y los requisitos de notificación reforzados 
  • Revisar las políticas de privacidad en los sitios web de las agencias para reflejar la prohibición de vender información personal y el marco de difusión limitada 
  • Actualizar materiales de formación para cerciorar que el personal comprenda tanto las nuevas restricciones como las participaciones de responsabilidad individual de las violaciones intencionadas 
  • Consulta con un asesor legal antes de establecer nuevos acuerdos de intercambio de datos, especialmente con agencias federales o entidades privadas, o al responder a solicitudes de datos que quedan fuera de las seis categorías 

La ley no elimina el intercambio de datos necesario para fines gubernamentales legítimos: simplemente exige que el intercambio se ajuste a parámetros definidos y que las agencias puedan articular cuál de las seis condiciones se aplica. La categoría de "propósito adecuado" (condición 6) mantiene flexibilidad para la colaboración interinstitucional con el fin de mejorar los servicios, prevenir fraudes y realizar investigaciones, pero las agencias deben documentar cómo los acuerdos específicos de reparto logran estos fines. 

¿Preguntas? 

Nuestra oficina está disponible para ayudar a las agencias a entender cómo estos cambios afectan a sus prácticas específicas de gobernanza de datos y a sus sistemas de información. Para preguntas sobre la aplicación de HB1161a las operaciones de tu agencia, ponte en contacto con odga@odga.virginia.gov