contrariamente a la sabiduría convencional, los EE.UU. sí tiene leyes de privacidad de datos. Es cierto que no existe una ley de privacidad a nivel federal central, como el GDPR de la UE. En cambio, hay varias leyes federales de privacidad enfocadas verticalmente, así como una nueva generación de leyes de privacidad orientadas al consumidor que provienen de los Estados.
hagamos un recorrido por las leyes de privacidad de EE., Si desea obtener más información sobre el panorama legal de los Estados Unidos, descargue nuestra increíble guía esencial para el cumplimiento y las regulaciones de protección de datos de los Estados Unidos.
recibirán la Guía Esencial para NOSOTROS, de Protección de Datos y Cumplimiento de Reglamento
- ¿Cómo es la Privacidad en Internet se Manejan?
- UE vs, UU.
- Nuevas Leyes de Privacidad de datos del Estado de EE. UU.
- California
- Massachussets
- New York
- Hawaii
- Maryland
- North Dakota
- comparación de la Ley de privacidad del Estado de EE. h2>
US Privacy Act of 1974
en el siglo pasado, cuando las bases de datos eran la cima de la tecnología informática, el Congreso y otros estaban (con razón) preocupados por el posible uso indebido de los datos personales en poder del gobierno., El Congreso aprobó la histórica Ley de Privacidad de Estados Unidos de 1974, que contenía importantes derechos y restricciones sobre los datos en poder de las agencias gubernamentales de Estados Unidos, y debería parecer muy familiar para los profesionales de los datos en el año 2019. Los enumeraré aquí porque son las primeras referencias que conozco a todo lo que siguió:
- Derecho de los ciudadanos estadounidenses a acceder a cualquier información en poder de las agencias gubernamentales. Y el derecho a copiar esos datos.,
- Derecho de los ciudadanos a corregir cualquier error de información
- Las agencias deben seguir los principios de minimización de datos al recopilar información «relevante y necesaria» para lograr sus propósitos.
- El acceso a los datos está restringido en función de la necesidad de saber, por ejemplo, los empleados que necesitan los registros para su puesto de trabajo.,
- El intercambio de información entre otras agencias federales (y no federales) está restringido y solo se permite bajo ciertas condiciones
puntos Extra si ha notado los principios de privacidad por diseño incorporados en esta innovadora ley de privacidad de la era de los años 70!
HIPAA
aprobada en 1996, la Ley de portabilidad y responsabilidad del seguro de salud (HIPAA) fue una legislación histórica para regular el seguro de salud. Es una ley muy compleja con muchas partes móviles, pero incluye secciones de privacidad de datos y seguridad. La parte de protección de datos de HIPAA se encuentra en la regla de seguridad., HIPAA también estableció requisitos de confidencialidad de los datos que se pueden encontrar en, esperar a que, la regla de privacidad.
si alguna vez ha llenado un formulario en el consultorio de su médico para permitir que sus cónyuges y otros miembros de la familia revisen o vean su información de salud, a lo que HIPAA se refiere como información de salud protegida (PHI), ha estado viendo la regla de Privacidad en acción.
la regla de privacidad contiene una lista complicada de reglas sobre quién puede ver la PHI., Pero en resumen, un proveedor de atención médica o «entidad cubierta» más o menos tiene permiso para usar los datos del paciente si están relacionados con «tratamiento, pago y operaciones de atención médica».»Sin embargo, el uso de los datos con fines de marketing o la venta de la PHI requiere autorización explícita.
el requisito mínimo necesario de HIPAA es un buen ejemplo de los principios PbD aplicados al intercambio de PHI. Dice que las entidades cubiertas que comparten datos con fines de marketing que no sean los mencionados anteriormente deben limitar quién puede verlos., Se supone que las organizaciones de salud deben evaluar sus datos y prácticas, y establecer salvaguardias para limitar el acceso «innecesario o inapropiado» a la PHI. En efecto, acceso basado en roles para PHI.
COPPA
en los primeros días de Internet, alrededor del año 2000, la Ley de protección de la privacidad en línea de los niños (COPPA) dio un primer paso para regular la información personal recopilada de menores. La ley prohíbe específicamente a las compañías en línea solicitar PII de niños de 12 años o menos a menos que haya un consentimiento verificable de los padres.,
Las actualizaciones a las reglas regulatorias de COPPA hace unos años ampliaron efectivamente el alcance de la ley y ampliaron el tipo de información personal a proteger, incluidos nombres de pantalla, direcciones de correo electrónico, nombres de chat de video, así como fotografías, archivos de audio y coordenadas geográficas a nivel de calle.
estas actualizaciones también extienden la cobertura de privacidad y seguridad a terceros que utilizan los datos de los niños. El operador del sitio web de origen debe tomar «medidas razonables para divulgar la información personal de los niños solo a empresas que sean capaces de mantenerla segura y confidencial.,»
GLBA
otra legislación de finales de los 90, la Ley Gramm-Leach-Bliley (GLBA) es una enorme losa de leyes bancarias y financieras que ha enterrado importantes requisitos de privacidad y seguridad de datos. Sus protecciones de la información personal son una mejora importante con respecto a las leyes anteriores sobre datos financieros del consumidor; consulte la Ley de informes de crédito justos (FCRA).,
En general, la Ley Gramm – Leach-Bliley protege la información personal no pública (NPI), que se define como cualquier «información recopilada sobre un individuo en relación con el suministro de un producto o servicio financiero, a menos que esa información esté disponible públicamente», esencialmente PII con una excepción para cualquier información financiera ampliamente disponible, por ejemplo, registros de propiedad o cierta información hipotecaria.,
es posible que haya notado que los bancos envían periódicamente notificaciones de privacidad de datos, explicando las categorías de NPI que se recopilan y comparten junto con instrucciones especiales de exclusión. Eso se debe a las protecciones de privacidad algo limitadas de GLBA. Los consumidores pueden optar por no participar si no desean que esa información se envíe a un tercero «no afiliado».
sin embargo, para las compañías de terceros afiliadas con el banco o la compañía de seguros, parte de la «familia corporativa», los consumidores no tienen controles legales de privacidad bajo la GLBA para restringir el intercambio del NPI., Esa es una gran laguna, y GLBA no es de ninguna manera un modelo para una ley de privacidad de la era de Internet.
¿cómo se maneja la privacidad en Internet?
La respuesta corta es que no lo es! Fuera de las leyes federales estadounidenses centradas en la industria descritas anteriormente, Internet es un territorio desregulado donde las empresas de tecnología y redes sociales, en particular, han practicado una filosofía de todo vale. Los estados de Estados Unidos, sin embargo, finalmente están interviniendo (ver a continuación) con sus propias leyes de privacidad de datos, con California tomando la iniciativa.,
Puede que te estés preguntando bajo qué estatutos, si no hay leyes generales de privacidad (y seguridad) del consumidor, ¿ha podido el Gobierno de los Estados Unidos emitir enormes multas contra Facebook, Uber y PayPal?
gran pregunta!
y la respuesta nos lleva a, redoble de tambores por favor, la Comisión Federal de comercio o FTC. En resumen, en virtud de la Ley de la FTC de 1914, que creó esta agencia gubernamental, se prohíbe a las empresas participar en «actos o prácticas desleales o engañosas» en virtud de sus facultades de la sección 5., Érase una vez en Estados Unidos a mediados de siglo, la FTC comenzó a asumir-y esto puede sorprender a algunos — la publicidad audazmente falsa o engañosa de algunas de las principales marcas de consumo de Estados Unidos.
es un corto paso de ahí a la FTC mirando «representaciones» engañosas hechas por las principales compañías de tecnología y redes sociales sobre la privacidad de los datos de los consumidores que recopila. Como por ejemplo, Facebook, y la forma muy audaz en que les dijo a los usuarios en sus aplicaciones y avisos de privacidad que no vendería sus datos o que los usuarios podrían restringir el acceso a los datos si hacen clic en ciertas casillas.,
de hecho, el caso fue el contrario y la FTC presentó una queja de ocho cargos en 2012 contra Facebook, que acordó resolver. Esta queja fue seguida por la queja más reciente y más publicitada de la FTC — por algunas de las mismas violaciones — en la que Facebook acordó un acuerdo de settlement 5 mil millones. No puedes inventar esto.
el lector de alert puede haberse dado cuenta de que si una empresa no menciona nada sobre la privacidad de datos en su sitio web, en sus productos o en su publicidad, entonces la FTC no puede hacer nada, al menos bajo sus poderes de «prácticas o actos engañosos». ¡Y eso sería correcto!,
Esta es otra forma de decir que una Ley Federal general de privacidad, como la que se está considerando aquí, obligaría a las empresas a tener políticas de privacidad y cumplirlas, en lugar de pasar por el mecanismo de aplicación de privacidad indirecto (e imperfecto) de la FTC.
leyes de Privacidad de la UE vs.EE.UU.
como recordatorio, los EE.UU. no tiene (todavía) una Ley General de privacidad de datos del consumidor a nivel federal, y mucho menos una ley de seguridad de datos. La UE con su Reglamento General de protección de datos (GDPR) tiene ambos! Así que realmente no podemos comparar los dos.,
sin embargo, la Ley de privacidad del consumidor de California (CCPA), se acerca a abordar la privacidad de los datos del consumidor, al menos para los residentes de California, y es un gran ejercicio para comparar y contrastar con el GDPR, como lo que hacemos a continuación.
En resumen, tanto la CCPA como el GDPR otorgan a los consumidores el derecho de acceso, el derecho de eliminación y el derecho de optar por no procesar en cualquier momento. Difieren en que el GDPR otorga a los consumidores el derecho de corregir o rectificar los datos personales incorrectos, mientras que la CCPA no lo hace., El RGPD también requiere el consentimiento explícito (véase el artículo 7 de la «condición de consentimiento» del RGPD) en el momento en que los consumidores entregan sus datos. Por el contrario, la CCPA solo pide que se publique en el sitio web un aviso de Privacidad en el que se informe a los consumidores de que tienen derecho a optar por no recibir determinada recopilación de datos.
si lo anterior le hace cosquillas a su águila legal interna, por todos los medios, consulte esta tabla de comparación integral de GDPR vs. CCPA reunida por el bufete de abogados BakerHostetler. O echa un vistazo a nuestra propia excursión a través de las diferencias como se ve por Varonis’ increíble Sarah Hospelhorn!,
nuevas leyes de Privacidad de datos del Estado de EE. UU.
con la falta de dirección en Washington, no es sorprendente que otros Estados hayan tomado el ejemplo de California y redactado sus propias leyes de privacidad. Antes de examinar las leyes «imitadoras» individuales de la CCPA de Nueva York, Massachusetts y otros estados, primero revisemos la Ley de privacidad de California, que es la envidia de la nación.
Ley de privacidad del consumidor de California
en 2018, La Ley de privacidad del consumidor de California (CCPA) se convirtió en ley. Su objetivo es extender la protección de la privacidad del consumidor a internet., No es una exageración decir que la CCPA es la legislación de privacidad de datos más completa centrada en internet en los Estados Unidos, y no tiene equivalente a nivel federal.
bajo la CCPA, los consumidores tienen derecho a acceder a través de una solicitud de acceso del sujeto de datos (DSAR) a las categorías y piezas específicas de información personal en poder de las empresas cubiertas. Las empresas no pueden vender la información personal de los consumidores sin proporcionar un aviso web («un enlace limpio y visible») y darles la oportunidad de darse de baja.,
al igual que el RGPD, también existe un «derecho a eliminar», con algunas excepciones, la información personal del consumidor a petición. La CCPA también otorga a los consumidores un derecho limitado de acción para demandar si son víctimas de una violación de datos. Hay una capacidad más general para que el Fiscal General del estado demande en nombre de los residentes. La legislación está en vías de ampliar el derecho privado de los consumidores a demandar por otros motivos.,
otra innovación sorprendente dentro de la CCPA es su definición muy amplia de información personal: «información que identifica, se relaciona, describe, es capaz de asociarse con, o podría razonablemente vincularse, directa o indirectamente, con un consumidor o hogar en particular.»Eso cubre mucho terreno y es similar a la propia visión expansiva del GDPR sobre los datos personales.,
para devolverlo a la «Ley de letras negras», la CCPA también contiene una larga lista de identificadores que considera información personal, incluidos datos biométricos, geolocalización, correo electrónico, historial de navegación, datos de empleados y más.
el CCPA también introduce «identificadores probabilísticos». Los abogados debatirán lo que esto significa, pero parece que los datos que dan una probabilidad mayor del 50% de identificar a alguien serán tratados de la misma manera que un identificador determinista. Tal vez una combinación de, por ejemplo, el historial de visualización de Netflix y los datos de geolocalización pueda ser suficiente para inclinar la balanza., Por cierto, otros estados han recogido el término probabilístico en sus leyes (abajo).
Si bien el enfoque, y con razón, ha sido en amplios nuevos derechos de privacidad para los consumidores, también hay un componente de seguridad de datos para la CCPA. La ley pide a las empresas que «implementen y mantengan procedimientos de seguridad razonables». ¿Qué significa eso?, Nadie está seguro, aunque hay fuertes indicios de que el Gobierno de California está mirando al centro de los 20 principales controles de seguridad de Internet y el marco de seguridad de Infraestructura Crítica (CIS) del NIST como líneas de base.
sin respuesta federal al GDPR en el horizonte, varios otros estados están tomando una página del libro de California al redactar sus propias regulaciones para dar a los ciudadanos un mayor control sobre sus datos personales. Si bien la mayoría de estos proyectos de ley utilizan la CCPA como marco, hay diferencias. Incluso hemos reunido una hoja de trucos al final para comparar las diferentes leyes estatales propuestas., Primero veamos dos propuestas de privacidad difíciles que salen de Nueva York y Massachusetts
Ley de Privacidad de datos de Massachusetts
la Ley de Privacidad de datos propuesta (S-120) comparte mucho del lenguaje CCPA. Acceso del consumidor a la información personal? Comprobar. Derecho a borrar? Comprobar. Notificación explícita de los derechos de privacidad, y la oportunidad de optar por no participar en las ventas de datos de terceros? Comprobar. Una definición amplia de información personal, incluyendo probabilístico identificadores? Comprobar.,
hay algunas divergencias importantes de la CCPA, que incluyen el derecho de los consumidores a demandar por cualquier violación de la ley propuesta de Massachusetts. Los consumidores «no necesitan sufrir una pérdida de dinero o propiedad como resultado de la violación» para iniciar una acción.
Los abogados señalan que hay una enorme exposición potencial de las compañías de Massachusetts a las demandas colectivas: los demandantes pueden recuperar hasta 7 750 por Consumidor. Por ejemplo, en 2017, casi 400,000 masa., los residentes se vieron afectados por violaciones de datos, lo que llevó a una posible exposición, si la ley hubiera estado en vigor, de casi 3 300 millones para ese año.
Ley de Privacidad de Nueva York
La propuesta S5642 de Nueva York (actualmente en espera) contiene algunas de las características distintivas de la CCPA. Existe el derecho de eliminar y solicitar información personal. La definición de información personal — «cualquier información relacionada con una persona identificada o identificable» – incluye una lista muy extensa de identificadores: biométricos, direcciones de correo electrónico, información de red y más.,
A diferencia de California y similar a Massachusetts, la Ley de Nueva York tiene un derecho privado de acción por cualquier violación de la ley! Y la ley se aplica a todas las empresas sin ningún umbral de ingresos, que difiere de California y otros estados. Esto hace que la Ley de Nueva York propuesta sea bastante estricta.
EL PROYECTO DE LEY DE NUEVA YORK, sin embargo, solo requiere que las empresas revelen a los consumidores las amplias categorías de información compartida con terceros. En algunas circunstancias, los consumidores tendrían derecho a solicitar copias de información específica compartida.,
otra diferencia clave es que la Ley de Nueva York propuesta impone el papel de Fiduciario de datos», obligando a todas las empresas de Nueva York a ser legalmente responsables de los datos de los consumidores que poseen. La Ley de Nueva York tiene una visión muy amplia:»ejercer el deber de cuidado, lealtad y confidencialidad que se espera de un fiduciario con respecto a la seguridad de los datos personales de un consumidor contra un riesgo de privacidad; y actuará en el mejor interés del consumidor, sin tener en cuenta los intereses de la entidad, controlador o agente de datos». En resumen: los consumidores son los dueños de los datos.,
la Ley de Nueva York también da a los consumidores la capacidad de corregir información inexacta, haciéndola más cercana en espíritu a la GPDR de la UE. ¡Ninguno de los otros clones, incluyendo California, van tan lejos!
Ley de protección de la privacidad del consumidor de Hawaii
La SB 418 de Hawaii es similar a la CCPA, ofreciendo todos los mismos derechos y protecciones principales (potencialmente más, según la redacción actual del proyecto de ley). Si bien CCPA se aplica explícitamente a sitios web que realizan negocios en el estado de California, el proyecto de ley SB 418 de Hawaii no tiene una cláusula similar., En teoría, los sitios web con sede en cualquier parte del mundo podrían violar la ley si no ofrecen la protección adecuada como se indica en el proyecto de ley. Sin embargo, es probable que el proyecto de ley sea enmendado en un borrador posterior para centrarse únicamente en los sitios web basados en Hawai.
Ley de Protección al consumidor en línea de Maryland
La SB 613 de Maryland es otro proyecto de ley con el potencial de ampliar el alcance de la CCPA en algunas áreas. Sin embargo, las empresas tendrán obligaciones similares de divulgar el uso de la información, en menor grado que bajo la CCPA., Y al igual que California y Massachusetts, también existe el uso de un» identificador probabilístico » para referirse a cierto tipo de información personal. Ir Maryland!
sin embargo, este proyecto de ley va más allá del alcance de la CCPA cuando se trata de revelar la participación de terceros. Bajo la CCPA, las compañías solo tienen que divulgar si la información del consumidor se vende a un tercero, pero de acuerdo con la SB 613 de Maryland, las compañías tendrían que divulgar cualquier información que se transmita a terceros, incluso si esos datos se transfieren de forma gratuita., Este proyecto de ley también prohíbe que los sitios web divulguen a sabiendas cualquier información personal recopilada sobre niños.
Dakota del Norte
La HB 1485 de Dakota del Norte, que se encuentra actualmente en la Cámara de Representantes del Estado, es el proyecto de ley más ligero de esta lista. La única cláusula significativa de la HB 1485 restringiría completamente los sitios web de transmitir cualquier información a terceros sin el consentimiento de los usuarios. No hay derecho a que la información sea eliminada o eliminada una vez que se haya otorgado el consentimiento.,
US State Privacy Law Comparison
State Right to Delete? Right to Access? Right to Correct? Private Right of Private Action? Broad Definition of PII?,4f»> Revenues over $25 million
In effect : 1/1/2020 New York Yes Yes Yes $750/consumer Yes All Pending Maryland Yes Yes No No., (Solo a través de AG.,div id=»e783018f4f»> All
Pending North Dakota No Yes No Limited No Over $25 million Pending Micro Data Privacy FAQ and Cheat Sheet
The most cocktail-worthy privacy chitchat from this post compressed into four questions!,
p: ¿los Estados Unidos tienen una única ley de privacidad del consumidor al estilo del RGPD?
A: No. En cambio, los Estados Unidos tienen leyes federales de privacidad de datos enfocadas verticalmente para Finanzas (GLBA), atención médica (GLBA), datos de niños (COPPA), así como una nueva ola de leyes estatales de privacidad, siendo la Ley de privacidad del consumidor de California (CCPA) la más significativa.
Las razones de esta diversidad se encuentran arraigadas en NOSOTROS las decisiones de política para fomentar la innovación — ‘romper y ver qué pasa’ — en la tecnología por encima de otras consideraciones., Pero en «nuestros laboratorios de democracia», las leyes estatales finalmente se están poniendo al día con la realidad y en última instancia menearán al perro federal.
p: ¿qué estados tienen leyes de privacidad?
A: muy pocos-tres en total! Claro, los 50 estados ahora tienen una regla de notificación de violación de datos que generalmente también requiere una seguridad de datos razonable. Pero al momento de escribir este artículo, solo California, Nevada y Maine tienen leyes de Privacidad en vigor. Varios estados (ver arriba) tienen leyes de privacidad trabajando su camino a través de las legislaturas., Para obtener una instantánea actual del Estado de estas leyes estatales propuestas, la Asociación Internacional de profesionales de la privacidad (IAPP) mantiene una tarjeta de puntuación actualizada.
p: ¿Qué está protegido por la Ley de Privacidad de 1974?
A: muchas personas asumen que cuando se aprobó la Ley de Privacidad en la década de 1970, protege los datos de los consumidores en los EE. Nada puede estar más lejos de la verdad! Si bien la Ley de Privacidad de los Estados Unidos era una legislación innovadora, que incorporaba ideas como la minimización de datos, el derecho de acceso y el derecho a corregir, se limita a los datos recopilados por el Gobierno de los Estados Unidos de sus ciudadanos., No tiene ningún impacto en la industria privada ni, en particular, en los datos recopilados en Internet por las empresas.
p: ¿las leyes de privacidad federales y estatales de EE.
A: en la medida en que las compañías extranjeras incorporen subsidiarias en los EE.UU., estarían bajo todas las leyes estadounidenses, incluidas, por supuesto, nuestras leyes de seguridad y Privacidad de datos. La verdadera pregunta es si Estados Unidos tiene un aspecto extraterritorial en sus leyes de seguridad y privacidad, como el GDPR de la UE, que llegaría a organizaciones fuera de sus fronteras. Y la respuesta a eso es no.,
Closing Privacy Thoughts and the Future of Data Privacy Laws
con los Estados asumiendo la responsabilidad de innovar en esta área, es quizás solo cuestión de tiempo antes de que se introduzca una Ley federal para crear un campo de juego nivelado.
mientras tanto, hay tres lecciones que extraer de los experimentos de estado:
- PII se definirá para ir más allá de los identificadores ordinarios para abarcar identificadores probabilísticos (o cuasi-PII) que se pueden utilizar para identificar indirectamente a los consumidores.
- el derecho a eliminar se convertirá en una parte esencial de las leyes de privacidad., Si eso se extenderá a un «derecho al olvido» más amplio es menos probable
- Ahora hay un entendimiento entre los reguladores de que los consumidores quieren saber toda la información que las empresas tienen sobre ellos, respaldado con el derecho a ver y posiblemente corregir estos datos.
¿dónde está todo este encabezado?, Si tuviera que pronosticar, diría que algo cercano a las leyes de privacidad recientemente propuestas por la congresista Eschoo o el Senador Cantwell se convertirá en la ley del país.
y es decir, una futura Ley de privacidad de los Estados Unidos reflejará algunas de las ideas clave de la CCPA. Pero como hemos visto en California, es probable que haya exenciones y flexibilización de los requisitos relacionados con los derechos de privacidad de los empleados, solicitudes de acceso y eliminación y, finalmente, sanciones y multas.
¿intrigado, preocupado o francamente asustado por lo que viene por el camino de la privacidad?, Solicite una demostración de nuestras soluciones de privacidad y seguridad de datos para saber cómo podemos ayudarle.