contrar înțelepciunii convenționale, SUA au într-adevăr legi privind confidențialitatea datelor. Este adevărat, nu există o lege de confidențialitate la nivel federal central, cum ar fi GDPR-ul UE. În schimb, există mai multe legi federale de confidențialitate orientate pe verticală, precum și o nouă generație de legi de confidențialitate orientate către consumatori care provin din state.
să facem un tur al legilor de confidențialitate din SUA și să ne simțim pentru peisaj., Dacă doriți să aflați mai multe despre peisajul juridic din SUA, descărcați uimitorul nostru ghid esențial pentru conformitatea și reglementările privind protecția datelor din SUA.
obțineți ghidul esențial gratuit pentru respectarea și reglementările privind protecția datelor din SUA
- cum este tratată Confidențialitatea pe Internet?
- EU vs., NOI Legi de Confidențialitate
- Noua NE-a Stat Legile privind Confidențialitatea Datelor
- California
- Massachusettes
- New York
- Hawaii
- Maryland
- Dakota de Nord
- NE-a Stat de Confidențialitate Legea Comparație
- NE Confidențialitate Legea FAQ
Vertical-Concentrat-NE Legile privind Confidențialitatea Datelor
NE Privacy Act din 1974
în secolul trecut, atunci când bazele de date au înălțimea de tehnologie de calculator, Congresul și altele au fost (pe bună dreptate) în cauză cu privire la potențialul utilizarea abuzivă a datelor cu caracter personal deținute de către guvern., Congresul a adoptat Actul de confidențialitate al SUA din 1974, care conținea drepturi și restricții importante asupra datelor deținute de agențiile guvernamentale americane și ar trebui să pară foarte familiar pentru profesioniștii de date în anul 2019. Le voi enumera aici pentru că sunt primele referințe pe care le cunosc la tot ce a urmat:
- dreptul cetățenilor americani de a accesa orice date deținute de agențiile guvernamentale. Și dreptul de a copia aceste date.,
- dreptul cetățenilor de a corecta orice eroare de informare
- agențiile ar trebui să urmeze principiile de minimizare a datelor atunci când colectează date – cel puțin informații „relevante și necesare” pentru a-și îndeplini scopurile.
- accesul la date este restricționat pe baza necesității de a cunoaște – de exemplu, angajații care au nevoie de înregistrări pentru rolul lor de muncă.,
- schimbul de informații între alte agenții federale (și non-federale) este restricționat și permis numai în anumite condiții
puncte suplimentare dacă ați observat principiile de confidențialitate prin Design încorporate în această lege inovatoare de confidențialitate din anii 70!
HIPAA
a trecut în 1996, Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) a fost o legislație de referință pentru reglementarea asigurărilor de sănătate. Este o lege foarte complexă, cu o mulțime de piese în mișcare, dar a inclus atât secțiuni de confidențialitate, cât și de securitate a datelor. Partea de protecție a datelor din HIPAA se găsește în regula de securitate., HIPAA a stabilit, de asemenea, cerințe de Confidențialitate a datelor care pot fi găsite în, așteptați-l, regula de Confidențialitate.dacă ați completat vreodată un formular la cabinetul medicului dumneavoastră, permițând soților și altor membri ai familiei să vă revizuiască sau să vadă informațiile despre sănătate — la ce se referă HIPAA ca informații de sănătate protejate (PHI) — ați văzut regula de confidențialitate în acțiune.
regula de confidențialitate conține o listă complicată de reguli cu privire la cine ajunge să vadă PHI., Dar, pe scurt, un furnizor de asistență medicală sau „entitate acoperită” are mai mult sau mai puțin permisiunea de a utiliza datele pacienților dacă este legat de „tratament, plată și operațiuni de îngrijire a sănătății.”Cu toate acestea, utilizarea datelor în scopuri de marketing sau vânzarea PHI necesită autorizare explicită.cerința minimă necesară a HIPAA este un bun exemplu de principii PbD aplicate partajării PHI. Se spune că entitățile acoperite care partajează date în alte scopuri de marketing decât cele menționate mai sus ar trebui să limiteze cine ajunge să le vadă., Organizațiile de sănătate ar trebui să-și evalueze datele și practicile și să pună în aplicare măsuri de protecție pentru a limita accesul „inutil sau inadecvat” la PHI. De fapt, accesul bazat pe roluri pentru PHI.în primele zile ale Internetului timpuriu, circa 2000, Legea privind protecția confidențialității online a copiilor (COPPA) a făcut un prim pas în reglementarea informațiilor personale colectate de la minori. Legea interzice în mod specific companiilor online să solicite PII de la copiii cu vârsta sub 12 ani, cu excepția cazului în care există un consimțământ parental verificabil.,actualizările regulilor de reglementare ale COPPA în urmă cu câțiva ani au extins în mod eficient acoperirea legii și au extins tipul de informații personale care trebuie protejate, inclusiv nume de ecran, adrese de e-mail, nume de chat video, precum și fotografii, fișiere audio și Coordonate geografice la nivel de stradă.aceste actualizări extind, de asemenea, acoperirea de confidențialitate și securitate la terții care utilizează datele copiilor. Operatorul site-ului de origine trebuie să ia „măsuri rezonabile pentru a elibera informațiile personale ale copiilor numai companiilor care sunt capabile să le păstreze sigure și confidențiale.,”
GLBA
o altă legislație de la sfârșitul anilor 90, Gramm-Leach-Bliley Act (GLBA) este o placă enormă de Drept Bancar și financiar care a îngropat în ea cerințe importante de confidențialitate și securitate a datelor. Protecția informațiilor personale reprezintă o îmbunătățire majoră față de legile anterioare privind datele financiare ale consumatorilor — a se vedea Legea privind raportarea corectă a creditelor (FCRA).,
în General, Gramm – Leach-Bliley Act protejează nepublice informații personale (NPI), care este definit ca orice „informațiile colectate despre un individ în legătură cu furnizarea unui produs sau serviciu financiar, cu excepția cazului în care informațiile sunt altfel disponibile publicului” — în esență, PII cu o excepție pentru orice disponibile pe scară largă de informații financiare — de exemplu, acte de proprietate sau a anumitor informații ipotecare.,este posibil să fi observat că băncile trimit periodic notificări privind confidențialitatea datelor, explicând categoriile de NPI care sunt colectate și partajate împreună cu instrucțiuni speciale de renunțare. Acest lucru se datorează protecțiilor de confidențialitate oarecum limitate ale GLBA. Consumatorii pot renunța dacă nu doresc ca aceste informații să fie trimise unei terțe părți „neafiliate”.cu toate acestea, pentru companiile terțe afiliate cu banca sau compania de asigurări — parte a „familiei corporative” — consumatorii nu au controale legale de confidențialitate în cadrul GLBA pentru a restricționa partajarea NPI., Aceasta este o lacună destul de mare, iar GLBA nu este în niciun caz un model pentru o lege a confidențialității din era internetului.
cum este tratată Confidențialitatea pe Internet?
răspunsul scurt este că nu este! În afara legilor federale americane concentrate pe industrie descrise mai sus, Internetul este un teritoriu dereglementat în care companiile de tehnologie și social media, în special, au practicat o filozofie de orice. Statele americane, totuși, intră în sfârșit (vezi mai jos) cu propriile legi privind confidențialitatea datelor, California preluând conducerea.,
poate vă întrebați în ce statute, dacă nu există legi generale privind confidențialitatea (și securitatea) consumatorilor, guvernul SUA a reușit să emită amenzi uriașe împotriva Facebook, Uber și PayPal?
mare întrebare!
și răspunsul ne duce la, drumroll vă rugăm, Comisia Federală pentru comerț sau FTC. Pe scurt, în conformitate cu legea FTC din 1914, care a adus această agenție guvernamentală în existență, companiilor le este interzis să se angajeze în „acte sau practici nedrepte sau înșelătoare” în temeiul puterilor sale din secțiunea 5., A fost odată în America de la mijlocul secolului, FTC a început să preia — și acest lucru poate veni ca șoc pentru unii-publicitate îndrăzneață falsă sau înșelătoare de către unele dintre cele mai importante mărci de consum din America.
Acesta este un pas scurt de acolo la FTC uita la înșelătoare „reprezentări”, realizat de lider în tehnologie și social media companiile despre viața privată a consumatorilor datele se colectează. Cum ar fi, de exemplu, Facebook și modul foarte îndrăzneț în care le-a spus utilizatorilor în aplicațiile și notificările de Confidențialitate că nu le va vinde datele sau că utilizatorii ar putea restricționa accesul la date dacă fac clic pe anumite casete.,
de fapt, contrariul a fost cazul, iar FTC a depus o plângere cu opt numere în 2012 împotriva Facebook, pe care a acceptat să o soluționeze. Această plângere a fost urmată de plângerea FTC mai recentă și mai mediatizată — pentru unele dintre aceleași încălcări — în care Facebook a fost de acord cu o soluționare de 5 miliarde de dolari. Nu poți inventa așa ceva.
alerta cititorul poate am dat seama că dacă o companie nu menționează nimic despre datele de confidențialitate pe site-ul său, în produsele sale, sau în publicitate, apoi FTC nu poate face nimic, cel puțin sub ea „practici înșelătoare sau acte” puteri. Și asta ar fi corect!,acesta este un alt mod de a spune că o lege federală generală privind confidențialitatea, cum ar fi ceea ce este considerat aici, ar forța companiile să aibă politici de confidențialitate și să le respecte, mai degrabă decât să treacă prin mecanismul indirect (și imperfect) de aplicare a confidențialității FTC.ca o reamintire, SUA nu au (încă) o lege generală privind confidențialitatea datelor consumatorilor la nivel federal, cu atât mai puțin o lege privind securitatea datelor. UE cu Regulamentul său General privind protecția datelor (GDPR) are ambele! Deci, nu putem compara cu adevărat cele două.,cu toate acestea, Legea privind confidențialitatea consumatorilor din California (CCPA) se apropie de abordarea confidențialității datelor consumatorilor cel puțin pentru rezidenții din California și este un exercițiu excelent pentru a compara și a contrasta cu GDPR, cum ar fi ceea ce facem mai jos.
pe scurt, atât CCPA, cât și GDPR oferă consumatorilor dreptul de acces, dreptul de ștergere și dreptul de a renunța la procesare în orice moment. Acestea diferă prin faptul că GDPR acordă consumatorilor dreptul de a corecta sau de a rectifica datele personale incorecte, în timp ce CCPA nu o face., GDPR necesită, de asemenea, consimțământul explicit — a se vedea GDPR „condiție pentru consimțământ” articolul 7 — în momentul în care consumatorii predau datele lor. În schimb, CCPA solicită doar ca o notificare privind confidențialitatea să fie pusă la dispoziție pe site-ul web, informând consumatorii că au dreptul de a renunța la anumite colectări de date.dacă cele de mai sus îți gâdilă vulturul legal interior, atunci prin toate mijloacele se referă la această diagramă cuprinzătoare de comparație GDPR vs.CCPA asamblată de firma de avocatură BakerHostetler. Sau verificați propria noastră excursie prin diferențele văzute de uimitoarea Sarah Hospelhorn a lui Varonis!,cu lipsa de direcție în Washington, nu este surprinzător faptul că alte state au luat un tac din California și a elaborat propriile legi de confidențialitate. Înainte de a ne uita la legile individuale CCPA „copycat” din New York, Massachusetts și alte state, să examinăm mai întâi Legea confidențialității din California, care este invidia națiunii.
Legea privind confidențialitatea consumatorilor din California
în 2018, Legea privind confidențialitatea consumatorilor din California (CCPA) a fost semnată în lege. Scopul său este de a extinde protecția confidențialității consumatorilor la internet., Nu este o exagerare să spunem că CCPA este cea mai cuprinzătoare legislație privind confidențialitatea datelor axată pe internet din SUA și fără echivalent la nivel federal.conform CCPA, consumatorii au dreptul de a accesa, printr-o cerere de acces a persoanelor vizate (DSAR), categoriile și informațiile personale specifice deținute de întreprinderile vizate. Întreprinderile nu pot vinde informațiile personale ale consumatorilor fără a furniza o notificare web („o legătură curată și vizibilă”) și oferindu-le posibilitatea de a renunța.,la fel ca GDPR, există și un „drept de ștergere” — cu unele excepții — informații personale ale consumatorilor la cerere. CCPA oferă, de asemenea, consumatorilor un drept limitat de a acționa în judecată dacă sunt victimele unei încălcări a securității datelor. Există o capacitate mai generală pentru Procurorul General de a da în judecată în numele rezidenților. Legislația este în lucru pentru a extinde dreptul privat al consumatorilor de a acționa în judecată din alte motive.,
o altă inovație izbitoare în cadrul CCPA este definiția sa foarte largă a informațiilor personale: „informații care identifică, se referă la, descrie, este capabil de a fi asociate cu, sau ar putea fi în mod rezonabil legate, direct sau indirect, cu un anumit consumator sau gospodărie.”Acest lucru acoperă o mulțime de teren și este similar cu viziunea expansivă a GDPR asupra datelor personale.,
Să-l aducă înapoi la negru „literă de lege”, a CJAP, de asemenea, conține o lungă listă de identificatori consideră informații cu caracter personal, inclusiv biometrice, geolocalizare, e-mail, istoricul de navigare, datele angajaților, și mai mult.
CCPA introduce, de asemenea,”identificatori probabilistici”. Avocații vor dezbate ce înseamnă acest lucru, dar se pare că datele care oferă o șansă mai mare de 50% de a identifica pe cineva vor fi tratate la fel ca un identificator determinist. Poate că o combinație de, să zicem, istoricul vizionării Netflix și datele de geolocalizare poate fi suficientă pentru a înclina cântarul., Apropo, alte state au luat termenul probabilistic în legile lor (de mai jos).
în Timp ce focus — și pe bună dreptate —a fost pe scară largă nou drepturile de intimitate pentru consumatori, există, de asemenea, o securitate a datelor, componenta de la CJAP. Legea solicită companiilor să „implementeze și să mențină proceduri rezonabile de securitate”. Ce înseamnă asta?, Nimeni nu este sigur, deși există indicii puternice că Guvernul din California se uită la Centrul primelor 20 de controale ale Internet Security și la cadrul NIST Critical Infrastructure Security (CSI) ca linii de bază.fără un răspuns federal la GDPR la orizont, alte câteva state iau o pagină din cartea din California, redactând propriile reglementări pentru a oferi cetățenilor un control sporit asupra datelor lor personale. În timp ce majoritatea acestor facturi folosesc CCPA ca cadru, există diferențe. Am pus chiar împreună o foaie de ieftin la sfârșitul anului pentru a compara diferitele legi de stat propuse., Să ne uităm mai întâi la două propuneri dure de confidențialitate care vin din New York și Massachusetts
Legea privind confidențialitatea datelor din Massachusetts
legea propusă privind confidențialitatea datelor (S-120) împărtășește o mulțime de limbaj CCPA. Accesul consumatorilor la informațiile personale? Verificat. Dreptul de ștergere? Verificat. Notificarea explicită a drepturilor de confidențialitate și șansa de a renunța la vânzările de date ale terților? Verificat. O definiție largă a informațiilor personale, inclusiv identificatori probabilistici? Verificat.,există câteva divergențe importante de la CCPA, care includ dreptul consumatorilor de a da în judecată pentru orice încălcare a legii propuse din Massachusetts. Consumatorii” nu trebuie să sufere o pierdere de bani sau de proprietate ca urmare a încălcării ” pentru a introduce o acțiune.
avocații subliniază că există o expunere potențială enormă a companiilor din Massachusetts la procesele de acțiune de clasă: reclamanții pot recupera până la $750 pe consumator. De exemplu, în 2017, aproape 400.000 de masă., rezidenții au fost afectați de încălcări ale datelor, ceea ce a dus la o posibilă expunere, dacă legea ar fi fost în vigoare, de aproape 300 de milioane de dolari pentru acel an.
Legea privind confidențialitatea din New York
s5642 propus de New York (în prezent în așteptare) conține unele dintre semnele distinctive ale CCPA. Există dreptul de a șterge și de a solicita informații personale. Definiția informațiilor personale — „Orice informație legată de o persoană identificată sau identificabilă” — include o listă foarte extinsă de identificatori: biometrice, adrese de e-mail, informații despre rețea și multe altele.,spre deosebire de California și similar cu Massachusetts, legea din New York are un drept privat de acțiune pentru orice încălcare a legii! Și Legea se aplică tuturor întreprinderilor fără nici un prag de venituri, care diferă de California și alte state. Acest lucru face ca legea propusă NY să fie destul de strictă.
proiectul de lege NY, totuși, cere doar întreprinderilor să dezvăluie consumatorilor categoriile largi de informații partajate terților. În anumite circumstanțe, consumatorii ar avea dreptul de a solicita copii ale informațiilor specifice partajate.,o altă diferență esențială este legea propusă NY impune rolul fiduciar de date”, forțând toate întreprinderile NYS să fie responsabile din punct de vedere legal pentru datele de consum pe care le dețin. Legea NY Are o viziune foarte extinsă: „exercită datoria de îngrijire, loialitate și confidențialitate așteptată de un fiduciar în ceea ce privește securizarea datelor cu caracter personal ale unui consumator împotriva unui risc de confidențialitate; și acționează în interesul consumatorului, fără a ține seama de interesele entității, controlorului sau brokerului de date”. Pe scurt: consumatorii dețin datele.,
legea NY oferă, de asemenea, consumatorilor posibilitatea de a corecta informațiile inexacte, făcându-le mai aproape în spiritul GPDR din UE. Nici una dintre celelalte clone, inclusiv California, nu merge atât de departe!SB 418 din Hawaii este similar cu CCPA, oferind toate aceleași drepturi și protecții majore (potențial mai mult, pe baza formulării actuale a proiectului de lege). În timp ce CCPA se aplică în mod explicit site-urilor web care desfășoară activități în statul California, factura SB 418 din Hawaii nu are o clauză similară., În teorie, site-urile web cu sediul oriunde în lume ar putea încălca legea dacă nu oferă o protecție adecvată, așa cum este subliniat în proiectul de lege. Cu toate acestea, proiectul de lege este probabil să fie modificat într-un proiect ulterior pentru a se concentra exclusiv pe site-urile web din Hawaii.
Maryland Online Consumer Protection Act
Maryland SB 613 este un alt proiect de lege cu potențialul de a extinde domeniul de aplicare al CCPA în unele zone. Cu toate acestea, întreprinderile vor avea obligații similare de a dezvălui utilizarea informațiilor într-o măsură mai mică decât în cadrul CCPA., Și CA California și Massachusetts, există, de asemenea, utilizarea unui „identificator probabilistic” pentru a se referi la un anumit tip de informații personale. Du-Te Maryland!cu toate acestea, acest proiect de lege depășește domeniul de aplicare al CCPA atunci când vine vorba de dezvăluirea implicării terților. În conformitate cu CCPA, companiile trebuie să dezvăluie numai dacă informațiile despre consumatori sunt vândute unei terțe părți, dar în conformitate cu SB 613 din Maryland, companiile ar trebui să dezvăluie orice informație transmisă terților, chiar dacă aceste date sunt transferate gratuit., Acest proiect de lege interzice, de asemenea, site-urilor web să dezvăluie cu bună știință orice informații personale colectate despre copii.HB 1485 din Dakota de Nord, care se află în prezent în Camera Reprezentanților statului, este cel mai ușor proiect de lege din această listă. Singura clauză semnificativă a HB 1485 ar restricționa complet site-urile web de la transmiterea oricăror informații către terți fără consimțământul utilizatorilor. Nu există dreptul ca informațiile să fie eliminate sau șterse odată ce consimțământul a fost acordat.,
US State Privacy Law Comparison
State | Right to Delete? | Right to Access? | Right to Correct? | Private Right of Private Action? | Broad Definition of PII?,4f”>Revenues over $25 million | In effect : 1/1/2020 | |
New York | Yes | Yes | Yes | $750/consumer | Yes | All | Pending |
Maryland | Yes | Yes | No | No., (Numai prin AG.,div id=”e783018f4f”>All | Pending | ||
North Dakota | No | Yes | No | Limited | No | Over $25 million | Pending |
Micro Data Privacy FAQ and Cheat Sheet
The most cocktail-worthy privacy chitchat from this post compressed into four questions!,
Î: SUA au o singură lege privind confidențialitatea consumatorilor în stil GDPR?
A: nu. În schimb, SUA au concentrat pe verticală legile federale privind confidențialitatea datelor pentru finanțe (GLBA), asistență medicală (GLBA), date pentru copii (COPPA), precum și un nou val de legi privind confidențialitatea de stat, cu California Consumer Privacy Act (CCPA) fiind cel mai semnificativ.
motivele acestui mozaic sunt înrădăcinate în deciziile de politică ale SUA pentru a încuraja inovația — „break it și a vedea ce se întâmplă” — în tehnologie față de alte considerente., Dar la” laboratoarele noastre de democrație”, legile statului ajung în cele din urmă la realitate și în cele din urmă vor bate câinele federal.
Î: Care state au legi privind confidențialitatea?
A: foarte puține-trei în total! Sigur, toate cele 50 de state au acum o regulă de notificare a încălcării datelor, de obicei, care solicită, de asemenea, o securitate rezonabilă a datelor. Dar din această scriere, numai California, Nevada și Maine au legi de confidențialitate în vigoare. Mai multe state (a se vedea mai sus) au legi de confidențialitate care își croiesc drum prin legislaturi., Pentru o imagine actuală a stării acestor legi de stat propuse, Asociația Internațională a profesioniștilor în Confidențialitate (IAPP) menține un scorecard actualizat.
Î: Ce este protejat de Legea privind confidențialitatea din 1974?
A: Mulți oameni presupun că, atunci când Legea privind confidențialitatea a fost adoptată înapoi în anii 1970, aceasta protejează datele consumatorilor din SUA. Nimic nu poate fi mai departe de adevăr! În timp ce Legea privind confidențialitatea din SUA a fost o legislație inovatoare, care încorporează idei precum minimizarea datelor, dreptul la acces și dreptul de a corecta — este limitată la datele colectate de Guvernul SUA de la cetățenii săi., Nu are niciun impact asupra industriei private sau, în special, asupra datelor colectate pe Internet de către companii.
Î: legile de confidențialitate federale și de Stat din SUA au impact asupra companiilor străine?
A: În măsura în care companiile străine încorporează filiale în SUA, acestea ar fi în conformitate cu toate legile americane, inclusiv, desigur, legile noastre privind securitatea datelor și confidențialitatea. Adevărata întrebare este dacă SUA are un aspect extrateritorial legilor sale de securitate și confidențialitate, cum ar fi GDPR-ul UE, care ar ajunge la organizații din afara granițelor sale. Și răspunsul la asta este nu.,închiderea gândurilor privind confidențialitatea și viitorul legilor privind confidențialitatea datelor
cu statele care își asumă să inoveze în acest domeniu, este poate doar o chestiune de timp înainte de introducerea unei legi federale pentru a crea condiții de concurență echitabile.între timp, există trei lecții de tras din experimentele de stat:
- PII va fi definit pentru a depăși identificatorii obișnuiți pentru a cuprinde identificatorii probabilistici (sau cvasi-PII) care pot fi utilizați pentru a identifica indirect consumatorii.
- dreptul de ștergere va deveni o parte esențială a legilor privind confidențialitatea., Dacă acest lucru se va extinde la un „drept de a fi uitat” mai larg este mai puțin probabil
- acum există o înțelegere între autoritățile de reglementare că consumatorii doresc să știe toate informațiile pe care companiile le au despre ei, susținute cu dreptul de a vizualiza și, eventual, corecta aceste date.
unde se îndreaptă toate acestea?, Dacă ar fi să pronosticez, aș spune că ceva apropiat de actele de confidențialitate propuse recent de la congresmanul Eschoo sau senatorul Cantwell va deveni legea pământului.și asta înseamnă că o viitoare lege a confidențialității din SUA va reflecta unele dintre ideile cheie din CCPA. Dar, așa cum am văzut în California, probabil vor exista scutiri și atenuarea cerințelor care implică drepturile de confidențialitate ale angajaților, cererile de acces și ștergere și, în final, penalități și amenzi.
intrigat, preocupat sau de-a dreptul panicat de ceea ce vine pe drumul vieții private?, Cereți o demonstrație a soluțiilor noastre de confidențialitate și securitate a datelor pentru a afla cum vă putem ajuta!