Ley de privacidad de la información

Ley que regula el tratamiento de datos personales

Las leyes de privacidad de la información, privacidad de datos o protección de datos proporcionan un marco legal sobre cómo obtener, usar y almacenar datos de personas físicas. Las distintas leyes en todo el mundo describen los derechos de las personas físicas a controlar quién usa sus datos. Esto incluye generalmente el derecho a obtener detalles sobre qué datos se almacenan, con qué propósito y a solicitar la eliminación en caso de que el propósito ya no se cumpla.

Más de 80 países y territorios independientes, incluidos casi todos los países de Europa y muchos de América Latina y el Caribe , Asia y África , han adoptado leyes integrales de protección de datos. ^[1] La Unión Europea tiene el Reglamento General de Protección de Datos (RGPD) [ ^2] en vigor desde el 25 de mayo de 2018. Estados Unidos se destaca por no haber adoptado una ley integral de privacidad de la información , sino más bien por haber adoptado leyes sectoriales limitadas en algunas áreas como la Ley de Privacidad del Consumidor de California (CCPA). ^[3]

Por jurisdicción

El estado alemán de Hessia promulgó la primera ley de privacidad de datos del mundo el 30 de septiembre de 1970. [ ^4] En Alemania, el término autodeterminación informativa se utilizó por primera vez en el contexto de una sentencia constitucional alemana relacionada con la información personal recopilada durante el censo de 1983 .

Asia

India

India aprobó su Ley de Protección de Datos Personales Digitales de 2023 en agosto de 2023.

Porcelana

China aprobó su Ley de Protección de Información Personal (PIPL) a mediados de 2021 y entró en vigor el 1 de noviembre de 2021. Se centra en gran medida en el consentimiento , los derechos del individuo y la transparencia del procesamiento de datos. La PIPL se ha comparado con el RGPD de la UE, ya que tiene un alcance similar y muchas disposiciones similares. ^[5]

Filipinas

En Filipinas , la Ley de Privacidad de Datos de 2012 ordenó la creación de la Comisión Nacional de Privacidad , que supervisaría y mantendría políticas relacionadas con la privacidad de la información y la protección de datos personales en el país. Siguiendo el modelo de la Directiva de Protección de Datos de la UE y el Marco de Privacidad de la Cooperación Económica Asia-Pacífico (APEC), el organismo independiente garantizaría el cumplimiento del país con los estándares internacionales establecidos para la protección de datos. ^[6] La ley requiere que las organizaciones gubernamentales y privadas compuestas por al menos 250 empleados o aquellas que tengan acceso a la información personal e identificable de al menos 1000 personas designen un Oficial de Protección de Datos que ayude a regular la gestión de la información personal en dichas entidades. ^[7]

En resumen, la ley identifica puntos importantes respecto al manejo de información personal como los siguientes:

1. La información personal debe recopilarse por motivos específicos, legítimos y razonables.
2. La información personal debe manejarse adecuadamente. La información debe mantenerse precisa y relevante, usarse solo para los fines establecidos y conservarse solo durante el tiempo que sea razonablemente necesario. La ley exige que las entidades se comprometan a garantizar que terceros no autorizados no tengan acceso a la información de sus clientes.
3. La información personal debe eliminarse de manera que terceros no autorizados no puedan acceder a los datos descartados.

Sri Lanka

A principios de 2022, Sri Lanka se convirtió en el primer país del sur de Asia en promulgar una legislación integral sobre privacidad de datos. La Ley de Protección de Datos Personales N.º 9 de 2022, vigente desde el 19 de marzo de 2022, se aplica al procesamiento dentro de Sri Lanka y se extiende extraterritorialmente a los controladores o procesadores que ofrecen bienes y servicios a personas en Sri Lanka y/o monitorean su comportamiento en el país. ^[8]

Europa

El derecho a la privacidad de los datos está regulado de forma relativamente estricta y se aplica activamente en Europa. El artículo 8 del Convenio Europeo de Derechos Humanos (CEDH) establece el derecho al respeto de la "vida privada y familiar, el domicilio y la correspondencia" de una persona , sujeto a ciertas restricciones. El Tribunal Europeo de Derechos Humanos ha dado a este artículo una interpretación muy amplia en su jurisprudencia . Según la jurisprudencia del Tribunal, la recopilación de información por parte de funcionarios del Estado sobre una persona sin su consentimiento siempre entra dentro del ámbito de aplicación del artículo 8. Así, se ha juzgado que la recopilación de información para el censo oficial , el registro de huellas dactilares y fotografías en un registro policial, la recopilación de datos médicos o detalles de gastos personales y la implementación de un sistema de identificación personal plantean problemas de privacidad de datos. Lo que también se incluye en los "datos sensibles a la privacidad" según el RGPD es información como el origen racial o étnico , las opiniones políticas, las creencias religiosas o filosóficas y la información sobre la vida sexual o la orientación sexual de una persona . ^[9]

Cualquier interferencia estatal en la privacidad de una persona sólo es aceptable para el Tribunal si se cumplen tres condiciones:

1. La interferencia se ajusta a la ley
2. La injerencia persigue un objetivo legítimo
3. La interferencia es necesaria en una sociedad democrática

El gobierno no es la única entidad que puede suponer una amenaza para la privacidad de los datos. Otros ciudadanos, y sobre todo empresas privadas, también pueden participar en actividades amenazantes, especialmente desde que se generalizó el procesamiento automático de datos. El Convenio para la protección de las personas con respecto al procesamiento automático de datos personales se firmó en el Consejo de Europa en 1981. Este convenio obliga a los signatarios a promulgar legislación relativa al procesamiento automático de datos personales, lo que muchos hicieron debidamente.

Como todos los Estados miembros de la Unión Europea son signatarios del Convenio Europeo de Derechos Humanos y del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal , la Comisión Europea temía que surgieran legislaciones divergentes en materia de protección de datos que impidieran la libre circulación de datos dentro de la zona de la UE. Por ello, la Comisión Europea decidió proponer la armonización de la legislación en materia de protección de datos dentro de la UE. La Directiva de protección de datos resultante fue adoptada por el Parlamento Europeo y los ministros de los gobiernos nacionales en 1995 y tuvo que ser transpuesta a la legislación nacional a finales de 1998.

La Directiva contiene una serie de principios clave que los Estados miembros deben respetar. Cualquier persona que procese datos personales debe cumplir los ocho principios de buenas prácticas aplicables. ^[10] En ellos se establece que los datos deben:

1. Procesado de manera justa y legal.
2. Procesado para fines limitados.
3. Adecuado, pertinente y no excesivo.
4. Preciso.
5. No se conserva más tiempo del necesario.
6. Procesado de acuerdo con los derechos del interesado.
7. Seguro.
8. Transferido únicamente a países con protección adecuada.

Los datos personales abarcan tanto hechos como opiniones sobre el individuo. ^[10] También incluyen información sobre las intenciones del responsable del tratamiento de datos con respecto al individuo, aunque en algunas circunstancias limitadas se aplicarán excepciones. En el caso del tratamiento, la definición es mucho más amplia que antes. Por ejemplo, incorpora los conceptos de "obtención", "retención" y "divulgación". ^[11]

Todos los Estados miembros de la UE han adoptado legislación en virtud de esta Directiva o han adaptado sus leyes existentes. Cada país cuenta también con su propia autoridad supervisora ​​para supervisar el nivel de protección. ^[12]

Por este motivo, en teoría, la transferencia de información personal de la UE a los EE. UU. está prohibida cuando no existe una protección de privacidad equivalente en los EE. UU. Las empresas estadounidenses que trabajen con datos de la UE deben cumplir con el marco de Safe Harbor . Los principios básicos de la protección de datos son la recopilación limitada, el consentimiento del sujeto, la precisión, la integridad, la seguridad, el derecho del sujeto a revisar y eliminar la información. Como resultado, los clientes de organizaciones internacionales como Amazon y eBay en la UE tienen la capacidad de revisar y eliminar la información, mientras que los estadounidenses no. En los Estados Unidos, la filosofía rectora equivalente es el Código de Prácticas Justas de Información (FIP).

La diferencia de lenguaje es importante: en Estados Unidos el debate gira en torno a la privacidad, mientras que en la Comunidad Europea gira en torno a la protección de datos. Algunos filósofos consideran que trasladar el debate de la privacidad a la protección de datos es un mecanismo para avanzar en el ámbito práctico sin que sea necesario llegar a un acuerdo sobre cuestiones fundamentales sobre la naturaleza de la privacidad.

Francia

Francia adaptó su ley existente, " n° 78-17 del 6 de enero de 1978 relativa a la informática, los archivos y las libertades" ^[13] .

Alemania

En Alemania , tanto el gobierno federal como los estados promulgaron leyes. ^[14]

Suiza

Si bien Suiza no es miembro de la Unión Europea (UE) ni del Espacio Económico Europeo (EEE), ha implementado parcialmente la Directiva de la UE sobre la protección de datos personales en 2006 al adherirse al acuerdo STE 108 del Consejo de Europa y a una enmienda correspondiente de la Ley Federal de Protección de Datos. Sin embargo, la legislación suiza impone menos restricciones al procesamiento de datos que la Directiva en varios aspectos. ^[15]

En Suiza, el derecho a la privacidad está garantizado en el artículo 13 de la Constitución Federal Suiza . La Ley Federal de Protección de Datos (LPD) ^[16] y la Ordenanza Federal de Protección de Datos (OPD) entraron en vigor el 1 de julio de 1993. Las últimas modificaciones de la LPD y la OPD entraron en vigor el 1 de enero de 2008.

La DPA se aplica al tratamiento de datos personales por parte de particulares y organismos del gobierno federal. A diferencia de la legislación de protección de datos de muchos otros países, la DPA protege tanto los datos personales de personas físicas como de entidades jurídicas. ^[17]

El Comisionado Federal de Protección de Datos e Información de Suiza supervisa, en particular, el cumplimiento de la DPA por parte de las agencias del gobierno federal, asesora a particulares en materia de protección de datos, realiza investigaciones y formula recomendaciones sobre prácticas de protección de datos.

Algunos archivos de datos deben registrarse ante el Comisionado Federal de Protección de Datos e Información de Suiza antes de su creación. En caso de transferencia de datos personales fuera de Suiza , deben cumplirse requisitos especiales y, según las circunstancias, debe informarse al Comisionado Federal de Protección de Datos e Información de Suiza antes de que se realice la transferencia. ^[17]

La mayoría de los cantones suizos han promulgado sus propias leyes de protección de datos que regulan el procesamiento de datos personales por parte de los organismos cantonales y municipales.

Reino Unido

En el Reino Unido, la Ley de Protección de Datos de 1998 (c 29) ( Information Commissioner ) implementó la Directiva de la UE sobre la protección de datos personales . ^[18] Reemplazó a la Ley de Protección de Datos de 1984 (c 35). El Reglamento General de Protección de Datos de 2016 reemplaza las Leyes de Protección anteriores. La Ley de Protección de Datos de 2018 (c 12) actualiza las leyes de protección de datos en el Reino Unido. Es una ley nacional que complementa el Reglamento General de Protección de Datos (GDPR) de la Unión Europea .

América del norte

Canadá

En Canadá , la Ley de Protección de la Información Personal y de los Documentos Electrónicos (PIPEDA, por sus siglas en inglés) entró en vigor el 1 de enero de 2001 y es aplicable a los organismos privados regulados por el gobierno federal. Todas las demás organizaciones se incluyeron en la ley el 1 de enero de 2004. ^{[19] [20]} La PIPEDA hizo que Canadá cumpliera con la ley de protección de datos de la UE , ^[21] aunque la sociedad civil, los reguladores y los académicos han afirmado que no aborda los desafíos modernos de la ley de privacidad tan bien como lo hace el RGPD, y han pedido una reforma. ^[22]

La Ley PIPEDA especifica las normas que rigen la recopilación, el uso y la divulgación de información personal en el marco del reconocimiento del derecho a la privacidad de las personas con respecto a su información personal. También especifica las normas que deben cumplir las organizaciones para recopilar, utilizar y divulgar información personal.

La LPRPDE se aplica a:

1. Las organizaciones recopilan, utilizan o divulgan información con fines comerciales.
2. Las organizaciones y los empleados de la organización recopilan, utilizan o divulgan información en el curso de la operación de una obra, empresa o negocio federal.

La LPRPDE no se aplica a:

1. Instituciones gubernamentales a las que se aplica la Ley de Privacidad.
2. Personas que recopilan, utilizan o divulgan información personal para fines y usos personales.
3. Organizaciones que recopilan, utilizan o divulgan información personal únicamente con fines periodísticos, artísticos o literarios.

Como se especifica en la Ley PIPEDA:

" Información personal " significa información sobre un individuo identificable, pero no incluye el nombre, título, dirección comercial o número de teléfono de un empleado de una organización.

" Organización " significa una asociación, una sociedad, una persona y un sindicato.

"Obra, empresa o negocio federal" significa cualquier obra, empresa o negocio que esté dentro de la autoridad legislativa del Parlamento, incluyendo:

1. una obra, empresa o negocio que se opera o lleva a cabo para o en conexión con la navegación y el transporte marítimo, ya sea interior o marítimo, incluida la operación de buques y el transporte por barco en cualquier lugar de Canadá;
2. un ferrocarril, canal, telégrafo u otra obra o empresa que conecte una provincia con otra, o que se extienda más allá de los límites de una provincia;
3. una línea de barcos que conecta una provincia con otra provincia, o que se extiende más allá de los límites de una provincia;
4. un transbordador entre una provincia y otra provincia o entre una provincia y un país distinto de Canadá;
5. aeródromos, aeronaves o una línea de transporte aéreo;
6. una estación de radiodifusión;
7. un banco;
8. una obra que, aunque esté situada íntegramente dentro de una provincia, sea declarada por el Parlamento, antes o después de su ejecución, como de beneficio general para Canadá o de beneficio para dos o más provincias;
9. una obra, empresa o negocio fuera de la autoridad legislativa exclusiva de las legislaturas de las provincias; y
10. una obra, empresa o negocio al que se aplican las leyes federales, en el sentido del artículo 2 de la Ley de Océanos, de conformidad con el artículo 20 de esa Ley y cualquier reglamento elaborado de conformidad con el párrafo 26(1)(k) de esa Ley.

La Ley PIPEDA otorga a las personas el derecho a:

1. comprender las razones por las que las organizaciones recopilan, utilizan o divulgan información personal.
2. esperar que las organizaciones recopilen, utilicen o divulguen información personal de manera razonable y apropiada.
3. Comprender quién en las organizaciones tiene la responsabilidad de proteger la información personal de los individuos.
4. esperar que las organizaciones protejan la información personal de una manera razonable y segura.
5. esperar que la información personal en poder de las organizaciones sea precisa, completa y actualizada.
6. tener acceso a su información personal y solicitar cualquier corrección o tener derecho a presentar quejas ante las organizaciones.

La ley PIPEDA exige que las organizaciones:

1. obtener el consentimiento antes de recopilar, usar y divulgar cualquier información personal.
2. recopilar información personal de manera razonable, apropiada y legal.
3. Establecer políticas de información personal que sean claras, razonables y listas para proteger la información personal de los individuos.

Estados Unidos

La privacidad de los datos no está muy legislada ni regulada en los EE . UU . ^[23] En los Estados Unidos, el acceso a datos privados contenidos, por ejemplo, en informes crediticios de terceros puede solicitarse cuando se busca empleo o atención médica, o cuando se realizan compras de automóviles, vivienda u otras compras a crédito. Aunque existen regulaciones parciales, no hay una ley que regule en su totalidad la adquisición, el almacenamiento o el uso de datos personales en los EE. UU. En términos generales, en los EE. UU., quienquiera que se moleste en ingresar los datos, se considera que posee el derecho a almacenarlos y usarlos, incluso si los datos se recopilaron sin permiso, excepto en la medida regulada por leyes y reglas como las disposiciones de la Ley Federal de Comunicaciones y las reglas de implementación de la Comisión Federal de Comunicaciones, que regulan el uso de información de red de propiedad del cliente (CPNI). Por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), la Ley de Protección de la Privacidad Infantil en Línea de 1998 (COPPA) y la Ley de Transacciones de Crédito Justas y Precisas de 2003 (FACTA) son todos ejemplos de leyes federales de Estados Unidos con disposiciones que tienden a promover la eficiencia del flujo de información.

La Corte Suprema interpretó la Constitución para otorgar un derecho de privacidad a las personas en Griswold v. Connecticut . ^[24] Sin embargo, muy pocos estados reconocen el derecho a la privacidad de un individuo, una excepción notable es California . Un derecho inalienable a la privacidad está consagrado en el artículo 1, sección 1 de la Constitución de California , y la legislatura de California ha promulgado varias leyes destinadas a proteger este derecho. La Ley de Protección de la Privacidad en Línea de California (OPPA) de 2003 requiere que los operadores de sitios web comerciales o servicios en línea que recopilan información personal sobre residentes de California a través de un sitio web publiquen de manera visible una política de privacidad en el sitio y cumplan con su política.

Un primer intento de crear normas en torno al uso de la información en los EE.UU. fueron las directrices de prácticas justas en materia de información desarrolladas por el Departamento de Salud, Educación y Bienestar (HEW) (posteriormente rebautizado como Departamento de Salud y Servicios Humanos (HHS)), por un Comité Asesor Especial sobre Sistemas Automatizados de Datos Personales, bajo la presidencia del pionero de la informática y de la privacidad Willis H. Ware . El informe presentado por el Presidente al Secretario del HHS titulado "Registros, Computadoras y Derechos de los Ciudadanos (07/01/1973)", ^{[25] [26]} propone principios universales para la privacidad y la protección de los datos de los consumidores y los ciudadanos:

• Para todos los datos recopilados debe haber un propósito establecido.
• La información recopilada de un individuo no puede divulgarse a otras organizaciones o individuos a menos que esté específicamente autorizado por la ley o con el consentimiento del individuo.
• Los registros que se mantienen sobre un individuo deben ser precisos y actualizados.
• Deberían existir mecanismos para que las personas puedan revisar los datos que se les refieren, a fin de garantizar su exactitud. Esto podría incluir la presentación de informes periódicos.
• Los datos deben eliminarse cuando ya no sean necesarios para el propósito indicado.
• Se prohíbe la transmisión de información personal a lugares donde no se pueda garantizar una protección "equivalente" de datos personales.
• Algunos datos son demasiado sensibles para ser recopilados, a menos que existan circunstancias extremas (por ejemplo, orientación sexual, religión).

El acuerdo de puerto seguro fue desarrollado por el Departamento de Comercio de los Estados Unidos con el fin de proporcionar un medio para que las empresas estadounidenses demuestren su cumplimiento de las directivas de la Comisión Europea y, de esa manera, simplificar las relaciones entre ellas y las empresas europeas. ^[27]

HIPAA

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) fue promulgada por el Congreso de los Estados Unidos en 1996. La HIPAA también se conoce como la Ley de Portabilidad y Responsabilidad del Seguro Médico Kennedy-Kassebaum (HIPAA-Ley Pública 104-191), vigente desde el 21 de agosto de 1996. La idea básica de la HIPAA es que una persona que es objeto de información médica individualmente identificable debe tener:

• Procedimientos establecidos para el ejercicio de los derechos de privacidad de la información de salud individual.
• El uso y la divulgación de información de salud individual deben ser autorizados o requeridos.

Una dificultad de la HIPAA es que debe existir un mecanismo para autenticar al paciente que solicita acceso a sus datos. Como resultado, los centros médicos han comenzado a pedirles a los pacientes sus números de seguridad social, lo que podría reducir la privacidad al simplificar el acto de correlacionar los registros médicos con otros registros. ^[28] La cuestión del consentimiento es problemática en virtud de la HIPAA, porque los proveedores médicos simplemente condicionan la atención a la aceptación de las normas de privacidad vigentes.

Ley federal de responsabilidad civil (FCRA)

La Ley de Informes Crediticios Justos aplica los principios del Código de Prácticas Justas de Información a las agencias de informes crediticios. La FCRA permite a las personas optar por no recibir ofertas de crédito no deseadas:

• Equifax (888) 567-8688 Opciones de Equifax, PO Box 740123 Atlanta GA 30374-0123.
• Experian (800) 353-0809 o (888) 5OPTOUT Apartado Postal 919, Allen, TX 75013
• TransUnion (800) 680-7293 o (888) 5OPTOUT P.O. Box 97328, Jackson, MS 39238.

Gracias a la Ley de Transacciones Crediticias Justas y Precisas , cada persona puede obtener un informe crediticio anual gratuito . ^[29]

La Ley de Informes Crediticios Justos ha sido eficaz para prevenir la proliferación de las llamadas guías crediticias privadas, engañosas. Antes de 1970, ^{[ ¿cuándo? ] [30]} las guías crediticias privadas ofrecían información detallada, aunque poco fiable, sobre individuos fácilmente identificables. ^{[31] [32]} Antes de la Ley de Informes Crediticios Justos, se podía incluir material escabroso y sin fundamento; de hecho, los chismes se incluían ampliamente en los informes crediticios. ^[33] EPIC tiene una página de la FCRA. La Asociación de la Industria de Datos del Consumidor, que representa a la industria de informes crediticios, también tiene un sitio web con información de la FCRA.

La Ley de Informes Crediticios Justos (FCRA, por sus siglas en inglés) otorga a los consumidores la capacidad de ver, corregir, impugnar y limitar los usos de los informes crediticios. La FCRA también protege a la agencia crediticia de la acusación de divulgación negligente en caso de tergiversación por parte del solicitante. Las agencias crediticias deben preguntar al solicitante el propósito de la divulgación de la información solicitada, pero no necesitan hacer ningún esfuerzo para verificar la veracidad de las afirmaciones del solicitante. De hecho, los tribunales han dictaminado que "la Ley claramente no proporciona un remedio para un uso ilícito o abusivo de la información sobre los consumidores" (Henry v Forbes, 1976). Se cree ampliamente que, para evitar la FCRA, Equifax creó ChoicePoint, momento en el que la empresa matriz copió todos sus registros a su filial recién creada. ChoicePoint no es una agencia de informes crediticios y, por lo tanto, la FCRA no se aplica. ^[34]

La Ley de Prácticas Justas en el Cobro de Deudas limita de manera similar la difusión de información sobre las transacciones financieras de un consumidor. Impide que los acreedores o sus agentes revelen el hecho de que una persona está en deuda con un tercero, aunque permite a los acreedores y sus agentes intentar obtener información sobre la ubicación de un deudor. Limita las acciones de quienes buscan el pago de una deuda. Por ejemplo, las agencias de cobro de deudas tienen prohibido acosar o contactar a las personas en el trabajo. La Ley de Prevención del Abuso de Quiebras y Protección del Consumidor de 2005 (que en realidad destripó las protecciones del consumidor, por ejemplo en caso de quiebra resultante de costos médicos) limitó algunos de estos controles sobre los deudores.

ECPMA

La Ley de Privacidad de las Comunicaciones Electrónicas (ECPA, por sus siglas en inglés) establece sanciones penales por la interceptación de comunicaciones electrónicas. Sin embargo, la legislación ha sido criticada por su falta de impacto debido a las lagunas legales que contiene. ^[35]

Seguridad informática, privacidad y derecho penal

A continuación se resumen algunas de las leyes, reglamentos y directivas relacionadas con la protección de los sistemas de información:

• Ley de informes crediticios justos de EE. UU. de 1970
• Ley de 1970 sobre organizaciones corruptas e influenciadas por el crimen organizado (RICO) de EE. UU.
• Ley de Derechos Educativos y Privacidad de la Familia de 1974 (FERPA)
• Ley de Privacidad de los Estados Unidos de 1974
• Directrices de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) de 1980
• Ley de delitos informáticos médicos de Estados Unidos de 1984
• Ley federal de delitos informáticos de Estados Unidos de 1984 (reforzada en 1986 y 1994)
• Ley de 1986 sobre fraude y abuso informático de los Estados Unidos (modificada en 1986, 1994, 1996 y 2001)
• Ley de Privacidad de las Comunicaciones Electrónicas de los Estados Unidos de 1986 (ECPA)
• Ley de Seguridad Informática de los Estados Unidos de 1987 (derogada por la Ley de Gestión de Seguridad de la Información Federal de 2002 )
• Ley de Protección de la Privacidad de los Vídeos de los Estados Unidos de 1988
• Ley de 1990 sobre uso indebido de computadoras del Reino Unido
• Directrices federales de sentencias de los Estados Unidos de 1991
• Directrices de la OCDE de 1992 para que sirvan como marco de seguridad total
• Ley de 1994 sobre asistencia en materia de comunicaciones para el cumplimiento de la ley
• Directiva del Consejo de 1995 sobre protección de datos para la Unión Europea (UE)
• Ley de 1996 sobre información económica y protección de la propiedad intelectual de los Estados Unidos
• Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) (requisito agregado en diciembre de 2000)
• Ley de Derechos de Autor de la Era Digital (DMCA) de los Estados Unidos de 1998
• Ley de Transacciones Uniformes de Información Informática de los Estados Unidos de 1999 (UCITA)
• Ley de Firmas Electrónicas en el Comercio Nacional Global ("ESIGN") del Congreso de los Estados Unidos de 2000
• Ley de 2001 para unir y fortalecer a los Estados Unidos mediante la provisión de herramientas adecuadas para restringir, interceptar y obstruir el terrorismo (USA Patriot)
• Ley de Seguridad Nacional de 2002 (HSA)
• Ley de Gestión de la Seguridad de la Información Federal de 2002

Varias agencias federales de los Estados Unidos tienen estatutos de privacidad que cubren la recopilación y el uso de información privada. Entre ellas se encuentran la Oficina del Censo, el Servicio de Impuestos Internos y el Centro Nacional de Estadísticas de Educación (conforme a la Ley de Reforma de las Ciencias de la Educación). Además, el estatuto CIPSEA protege la confidencialidad de los datos recopilados por las agencias estadísticas federales.

Leyes específicas de cada estado

Los legisladores de varios estados han propuesto leyes para cambiar la forma en que las empresas en línea manejan la información de los usuarios. Entre las que han generado una atención significativa se encuentran varias leyes Do Not Track y la Ley de Derecho a Saber (Proyecto de Ley AB 1291 de California). Si se aprueba la Ley de Derecho a Saber de California, exigiría a todas las empresas que guardan información de los usuarios que proporcionen a estos una copia de la información almacenada cuando se la soliciten. ^[36] El proyecto de ley enfrentó una fuerte oposición de los grupos comerciales que representan a empresas como Google, Microsoft y Facebook, y no logró aprobarse. ^[37]

Arkansas

Arkansas tiene una ley de privacidad de datos biométricos. ^[38]

California

El 28 de junio de 2018, la legislatura de California aprobó la AB 375, la Ley de Privacidad del Consumidor de California de 2018, que entró en vigencia el 1 de enero de 2020. ^[39] En noviembre de 2020, la Proposición 24 , también conocida como la Ley de Derechos de Privacidad de California , modificó y amplió la CCPA. ^[40] La ley protege específicamente los datos de los empleados. ^[41]

Florida

El 6 de junio de 2023, Florida promulgó el Proyecto de Ley 262 del Senado de Florida, que entrará en vigor el 1 de julio de 2024. Otorga a los consumidores el derecho a confirmar si las empresas con más de mil millones de dólares en ingresos brutos anuales que obtienen más de la mitad de sus ingresos de anuncios en línea recopilaron datos sobre ellos y el control sobre los datos, incluida la corrección y eliminación. La ley también prohíbe a las agencias gubernamentales pedir a las empresas de redes sociales que censuren contenido o eliminen usuarios de su plataforma. ^[42]

Illinois

El 3 de octubre de 2008, Illinois promulgó la Ley de Privacidad de la Información Biométrica . La ley fue la primera en la nación en regular los datos biométricos. ^[43] La ley exige que las empresas privadas obtengan el consentimiento para recopilar o divulgar los identificadores biométricos de los consumidores. La ley también exige que los datos se almacenen de forma segura y se destruyan de manera oportuna. ^[44] La ley protege específicamente los datos de los empleados. ^[41]

Nueva York

En 2021, Nueva York promulgó una ley de privacidad de datos biométricos comerciales que exige que las empresas notifiquen de forma visible a los consumidores sobre la recopilación de datos. La ley prohíbe a los empleadores recopilar datos biométricos de los empleados. ^[38]

Texas

En 2009, Texas promulgó una ley de protección al consumidor que exige el consentimiento para el arrendamiento, la venta o la divulgación de datos biométricos con fines comerciales. La ley también exige que los datos se destruyan en el plazo de un año desde su recopilación. ^{[43] [38]}

Washington

En 2017, Washington promulgó una ley específica de privacidad de datos biométricos de los consumidores que cubre el uso comercial. ^{[43] [38]}

El 27 de abril de 2023, Washington promulgó la Ley Mi Salud, Mis Datos, que entrará en vigor el 31 de marzo de 2024. ^[45] La ley fue la primera del país en regular los datos de salud de los consumidores no protegidos por la HIPAA. ^[46] La ley exige que las empresas obtengan autorización previa para obtener, compartir o vender datos de salud, incluidos los datos que se pueden utilizar para inferir o vincular con el estado de salud, como la compra de medicamentos o el seguimiento de la digestión. La ley garantiza el derecho a retirar el consentimiento y solicitar la eliminación. La ley también prohíbe las geocercas alrededor de los centros de atención médica. ^{[46] [47]}

Sudamerica

Brasil

La Ley General de Protección de Datos Personales (LGPD) de Brasil se convirtió en ley el 18 de septiembre de 2020. El objetivo principal de la ley es unificar 40 leyes brasileñas diferentes que regulan el procesamiento de datos personales . El proyecto de ley tiene 65 artículos y tiene muchas similitudes con el RGPD. ^[48]

Marco de privacidad de "puerto seguro"

A diferencia del enfoque estadounidense en materia de protección de la privacidad , que se basa en leyes, reglamentaciones y autorregulaciones específicas para cada sector, la Unión Europea se basa en una legislación integral en materia de privacidad. La Directiva Europea sobre Protección de Datos , que entró en vigor en octubre de 1998, incluye, por ejemplo, el requisito de crear agencias gubernamentales de protección de datos, el registro de bases de datos en dichas agencias y, en algunos casos, la aprobación previa antes de que pueda comenzar el procesamiento de datos personales. Para tender un puente entre estos diferentes enfoques de la privacidad y proporcionar un medio simplificado para que las organizaciones estadounidenses cumplan con la Directiva, el Departamento de Comercio de los Estados Unidos, en consulta con la Comisión Europea, desarrolló un marco de "puerto seguro". Para que el marco se aplique, las empresas deben publicar una política de privacidad. ^[49]

Véase también

• Ley canadiense de privacidad
• Centro para la Democracia y la Tecnología
• Cuidado de datos
• Localización de datos
• Soberanía de datos
• Legislación de No Rastrear
• Comisionado de Privacidad de Canadá
• Privacidad Internacional
• Leyes de privacidad de los Estados Unidos
• Derecho al olvido

Referencias

1. Greenleaf, Graham (6 de febrero de 2012). "Leyes globales de privacidad de datos: 89 países y en aumento". SSRN  2000034.
2. Adopción de un Delegado de Protección de Datos Virtual Archivado el 23 de febrero de 2019 en Wayback Machine Publicado por Dativa, 7 de junio de 2018, consultado el 11 de junio de 2018
3. "Ley de Privacidad del Consumidor de California (CCPA)". Estado de California - Departamento de Justicia - Oficina del Fiscal General . 15 de octubre de 2018. Consultado el 2 de julio de 2020 .
4. "Protección de datos en Alemania".
5. "La Ley de Protección de Información Personal: ¿la versión china del RGPD?". Columbia Journal of Transnational Law . 2022-02-14 . Consultado el 2023-10-17 .
6. "La Ley de Privacidad de Datos de Filipinas se convierte en ley". HL Chronicle of Data Protection. 23 de agosto de 2012. Archivado desde el original el 14 de septiembre de 2019. Consultado el 4 de abril de 2019 .
7. "Ley de la República Nº 10173: Ley de Protección de Datos Personales de 2012". 15 de agosto de 2012.
8. "Nueva ola de leyes de privacidad en la región APAC". Morrison Foerster . Consultado el 26 de enero de 2024 .
9. Qué datos personales se consideran sensibles?
10. "Ley de Protección de Datos de 1998". www.legislation.gov.uk . Consultado el 16 de marzo de 2017 .
11. "Negocios internacionales, comercio e impuestos". intersticeconsulting.com . Archivado desde el original el 29 de abril de 2014.
12. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE), 2016-05-04 , consultado el 2020-10-10
13. Más información está disponible en el sitio web de la CNIL (sólo en francés).
14. "Internetauftritt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit - Startseite". www.bfd.bund.de. ​Archivado desde el original el 22 de abril de 2009 . Consultado el 25 de noviembre de 2011 .
15. Véase el Mensaje del Consejo Federal al Parlamento, BBl 2003 2101 p. 2117 y siguientes.
16. "Ley Federal de Protección de Datos (LPD) de Suiza". admin.ch .
17. "dataprotection.ch: dataprotection.ch - Walder Wyss AG". www.dataprotection.ch .
18. Oficina del Comisionado de Información - ICO Archivado el 16 de mayo de 2008 en Wayback Machine .
19. "Oficina del Comisionado de Privacidad de Canadá" . Consultado el 16 de febrero de 2014 .
20. "Ley de protección de la información personal y de los documentos electrónicos - Comisionado de privacidad de Canadá". privcom.gc.ca . Archivado desde el original el 2009-02-27 . Consultado el 2011-11-25 .
21. "La Comisión considera que los flujos de datos personales de la UE pueden continuar con 11 terceros países y territorios".
22. "Informe sobre propuestas de políticas para la reforma de la Ley PIPEDA para abordar la inteligencia artificial". Noviembre de 2020.
23. "Las diferencias entre las leyes de datos de la UE y de EE. UU." Frontier Technology . 2015-10-12 . Consultado el 2018-06-25 .
24. Johnson, John W (2005). Griswold v. Connecticut: control de la natalidad y el derecho constitucional a la privacidad . Prensa Universitaria de Kansas.
25. Ware, Willis H. "Registros, computadoras y los derechos de los ciudadanos" (PDF) . Rand.org .
26. "Registros, computadoras y derechos de los ciudadanos (HHS)". 14 de junio de 2016.
27. "Emisión de los principios de puerto seguro y transmisión a la Comisión Europea". 24 de julio de 2000.
28. Noticias recientes sobre casos de violación de la HIPAA, 26 de diciembre de 2013, archivado del original el 22 de febrero de 2014 , consultado el 16 de febrero de 2014
29. Datos para consumidores, Comisión Federal de Comercio, marzo de 2008
30. Furletti, Mark (2002). Una visión general e historia de los informes crediticios . philadelphiafed. págs. 1–16.{{cite book}}: Mantenimiento de CS1: falta la ubicación del editor ( enlace )
31. Hoofnagle, Chris Jay (10 de septiembre de 2013). "Cómo la Ley de Informes Crediticios Justos regula los macrodatos". SSRN  2432955.
32. McNamara Jr, Robert M (1973). "La Ley de Informes Crediticios Justos: Una Visión General Legislativa". J. Pub. L . 22 : 67 – vía Hein Online.
33. Hunt, Robert (2002). "¿Qué hay en el expediente? La economía y la legislación de las agencias de crédito al consumidor" (PDF) . Federal Reserve Bank of Philadelphia Business Review . Q2 : 17–24.
34. "Centro de privacidad electrónica e información: Choicepoint". EPIC . Consultado el 19 de noviembre de 2008 .
35. Reitman, rainey (6 de diciembre de 2012). "Análisis profundo: actualización de la Ley de privacidad de las comunicaciones electrónicas". Electronic Frontier Foundation . Consultado el 18 de enero de 2018 .
36. Lowenthal, Bonnie. "AB-1291 Privacy: Right to Know Act of 2013: divulgación de información personal de un cliente" . Consultado el 19 de febrero de 2014 .
37. Harmon, Steven (19 de abril de 2013). "Las empresas de Silicon Valley intentan en silencio acabar con el proyecto de ley sobre privacidad en Internet". Bay Area News Group.
38. "Leyes sobre relojes biométricos que conviene conocer". Business News Daily . Consultado el 6 de diciembre de 2023 .
39. "Texto del proyecto de ley - AB-375 Privacidad: información personal: empresas". leginfo.legislature.ca.gov . Consultado el 12 de julio de 2018 .
40. "Hazte a un lado, CCPA: la Ley de Derechos de Privacidad de California recibe ahora la atención". news.bloomberglaw.com . Consultado el 10 de diciembre de 2020 .
41. "ANÁLISIS: ¿Las empresas mantendrán los modelos de IA alimentados con datos de los empleados?". news.bloomberglaw.com . Consultado el 6 de diciembre de 2023 .
42. "DeSantis ataca a las grandes tecnológicas con la nueva ley de privacidad de Florida (1)". news.bloomberglaw.com . Consultado el 6 de diciembre de 2023 .
43. "¿La información biométrica está protegida por las leyes de privacidad?". Bloomberg Law . 3 de mayo de 2023. Consultado el 6 de diciembre de 2023 .
44. Schwartz, Adam (10 de abril de 2018). "Nuevo ataque a la Ley de Privacidad Biométrica de Illinois". Electronic Frontier Foundation . Consultado el 6 de diciembre de 2023 .
45. Zakrzewski, Cat (28 de abril de 2023). «Washington se convierte en el primer estado en adoptar medidas de protección de datos sanitarios tras el caso Roe». Washington Post . ISSN  0190-8286 . Consultado el 6 de diciembre de 2023 .
46. "Las distintas leyes de privacidad de datos en los distintos estados aumentan los riesgos de cumplimiento". news.bloomberglaw.com . Consultado el 6 de diciembre de 2023 .
47. Schubert, Charlotte (18 de abril de 2023). "Los legisladores del estado de Washington aprueban un proyecto de ley para proteger la privacidad de los datos de salud de los consumidores". GeekWire . Consultado el 6 de diciembre de 2023 .
48. "¿Qué es la LGPD? La versión brasileña del RGPD". gdpr.eu . 31 de julio de 2019 . Consultado el 23 de diciembre de 2020 .
49. Grant, James (2005). "Reglamento internacional de protección de datos". Computer Law & Security Review . 21 (3): 257–261. doi :10.1016/j.clsr.2005.04.010.

Lectura adicional

• Warren S. y Brandeis L., 1890, "El derecho a la privacidad", Harvard Law Review, Vol. 4, 193-220.
• Graham Greenleaf, Leyes globales de privacidad de datos: 89 países y en proceso de aceleración http://ssrn.com/abstract=2000034