Las leyes de privacidad de la información, privacidad de datos o protección de datos proporcionan un marco legal sobre cómo obtener, usar y almacenar datos de personas físicas. Las distintas leyes en todo el mundo describen los derechos de las personas físicas a controlar quién usa sus datos. Esto incluye generalmente el derecho a obtener detalles sobre qué datos se almacenan, con qué propósito y a solicitar la eliminación en caso de que el propósito ya no se cumpla.
Más de 80 países y territorios independientes, incluidos casi todos los países de Europa y muchos de América Latina y el Caribe , Asia y África , han adoptado leyes integrales de protección de datos. [1] La Unión Europea tiene el Reglamento General de Protección de Datos (RGPD) [ 2] en vigor desde el 25 de mayo de 2018. Estados Unidos se destaca por no haber adoptado una ley integral de privacidad de la información , sino más bien por haber adoptado leyes sectoriales limitadas en algunas áreas como la Ley de Privacidad del Consumidor de California (CCPA). [3]
El estado alemán de Hessia promulgó la primera ley de privacidad de datos del mundo el 30 de septiembre de 1970. [4] En Alemania, el término autodeterminación informativa se utilizó por primera vez en el contexto de una sentencia constitucional alemana relacionada con la información personal recopilada durante el censo de 1983 .
India aprobó su Ley de Protección de Datos Personales Digitales de 2023 en agosto de 2023.
China aprobó su Ley de Protección de Información Personal (PIPL) a mediados de 2021 y entró en vigor el 1 de noviembre de 2021. Se centra en gran medida en el consentimiento , los derechos del individuo y la transparencia del procesamiento de datos. La PIPL se ha comparado con el RGPD de la UE, ya que tiene un alcance similar y muchas disposiciones similares. [5]
En Filipinas , la Ley de Privacidad de Datos de 2012 ordenó la creación de la Comisión Nacional de Privacidad , que supervisaría y mantendría políticas relacionadas con la privacidad de la información y la protección de datos personales en el país. Siguiendo el modelo de la Directiva de Protección de Datos de la UE y el Marco de Privacidad de la Cooperación Económica Asia-Pacífico (APEC), el organismo independiente garantizaría el cumplimiento del país con los estándares internacionales establecidos para la protección de datos. [6] La ley requiere que las organizaciones gubernamentales y privadas compuestas por al menos 250 empleados o aquellas que tengan acceso a la información personal e identificable de al menos 1000 personas designen un Oficial de Protección de Datos que ayude a regular la gestión de la información personal en dichas entidades. [7]
En resumen, la ley identifica puntos importantes respecto al manejo de información personal como los siguientes:
A principios de 2022, Sri Lanka se convirtió en el primer país del sur de Asia en promulgar una legislación integral sobre privacidad de datos. La Ley de Protección de Datos Personales N.º 9 de 2022, vigente desde el 19 de marzo de 2022, se aplica al procesamiento dentro de Sri Lanka y se extiende extraterritorialmente a los controladores o procesadores que ofrecen bienes y servicios a personas en Sri Lanka y/o monitorean su comportamiento en el país. [8]
El derecho a la privacidad de los datos está regulado de forma relativamente estricta y se aplica activamente en Europa. El artículo 8 del Convenio Europeo de Derechos Humanos (CEDH) establece el derecho al respeto de la "vida privada y familiar, el domicilio y la correspondencia" de una persona , sujeto a ciertas restricciones. El Tribunal Europeo de Derechos Humanos ha dado a este artículo una interpretación muy amplia en su jurisprudencia . Según la jurisprudencia del Tribunal, la recopilación de información por parte de funcionarios del Estado sobre una persona sin su consentimiento siempre entra dentro del ámbito de aplicación del artículo 8. Así, se ha juzgado que la recopilación de información para el censo oficial , el registro de huellas dactilares y fotografías en un registro policial, la recopilación de datos médicos o detalles de gastos personales y la implementación de un sistema de identificación personal plantean problemas de privacidad de datos. Lo que también se incluye en los "datos sensibles a la privacidad" según el RGPD es información como el origen racial o étnico , las opiniones políticas, las creencias religiosas o filosóficas y la información sobre la vida sexual o la orientación sexual de una persona . [9]
Cualquier interferencia estatal en la privacidad de una persona sólo es aceptable para el Tribunal si se cumplen tres condiciones:
El gobierno no es la única entidad que puede suponer una amenaza para la privacidad de los datos. Otros ciudadanos, y sobre todo empresas privadas, también pueden participar en actividades amenazantes, especialmente desde que se generalizó el procesamiento automático de datos. El Convenio para la protección de las personas con respecto al procesamiento automático de datos personales se firmó en el Consejo de Europa en 1981. Este convenio obliga a los signatarios a promulgar legislación relativa al procesamiento automático de datos personales, lo que muchos hicieron debidamente.
Como todos los Estados miembros de la Unión Europea son signatarios del Convenio Europeo de Derechos Humanos y del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal , la Comisión Europea temía que surgieran legislaciones divergentes en materia de protección de datos que impidieran la libre circulación de datos dentro de la zona de la UE. Por ello, la Comisión Europea decidió proponer la armonización de la legislación en materia de protección de datos dentro de la UE. La Directiva de protección de datos resultante fue adoptada por el Parlamento Europeo y los ministros de los gobiernos nacionales en 1995 y tuvo que ser transpuesta a la legislación nacional a finales de 1998.
La Directiva contiene una serie de principios clave que los Estados miembros deben respetar. Cualquier persona que procese datos personales debe cumplir los ocho principios de buenas prácticas aplicables. [10] En ellos se establece que los datos deben:
Los datos personales abarcan tanto hechos como opiniones sobre el individuo. [10] También incluyen información sobre las intenciones del responsable del tratamiento de datos con respecto al individuo, aunque en algunas circunstancias limitadas se aplicarán excepciones. En el caso del tratamiento, la definición es mucho más amplia que antes. Por ejemplo, incorpora los conceptos de "obtención", "retención" y "divulgación". [11]
Todos los Estados miembros de la UE han adoptado legislación en virtud de esta Directiva o han adaptado sus leyes existentes. Cada país cuenta también con su propia autoridad supervisora para supervisar el nivel de protección. [12]
Por este motivo, en teoría, la transferencia de información personal de la UE a los EE. UU. está prohibida cuando no existe una protección de privacidad equivalente en los EE. UU. Las empresas estadounidenses que trabajen con datos de la UE deben cumplir con el marco de Safe Harbor . Los principios básicos de la protección de datos son la recopilación limitada, el consentimiento del sujeto, la precisión, la integridad, la seguridad, el derecho del sujeto a revisar y eliminar la información. Como resultado, los clientes de organizaciones internacionales como Amazon y eBay en la UE tienen la capacidad de revisar y eliminar la información, mientras que los estadounidenses no. En los Estados Unidos, la filosofía rectora equivalente es el Código de Prácticas Justas de Información (FIP).
La diferencia de lenguaje es importante: en Estados Unidos el debate gira en torno a la privacidad, mientras que en la Comunidad Europea gira en torno a la protección de datos. Algunos filósofos consideran que trasladar el debate de la privacidad a la protección de datos es un mecanismo para avanzar en el ámbito práctico sin que sea necesario llegar a un acuerdo sobre cuestiones fundamentales sobre la naturaleza de la privacidad.
Francia adaptó su ley existente, " n° 78-17 del 6 de enero de 1978 relativa a la informática, los archivos y las libertades" [13] .
En Alemania , tanto el gobierno federal como los estados promulgaron leyes. [14]
Si bien Suiza no es miembro de la Unión Europea (UE) ni del Espacio Económico Europeo (EEE), ha implementado parcialmente la Directiva de la UE sobre la protección de datos personales en 2006 al adherirse al acuerdo STE 108 del Consejo de Europa y a una enmienda correspondiente de la Ley Federal de Protección de Datos. Sin embargo, la legislación suiza impone menos restricciones al procesamiento de datos que la Directiva en varios aspectos. [15]
En Suiza, el derecho a la privacidad está garantizado en el artículo 13 de la Constitución Federal Suiza . La Ley Federal de Protección de Datos (LPD) [16] y la Ordenanza Federal de Protección de Datos (OPD) entraron en vigor el 1 de julio de 1993. Las últimas modificaciones de la LPD y la OPD entraron en vigor el 1 de enero de 2008.
La DPA se aplica al tratamiento de datos personales por parte de particulares y organismos del gobierno federal. A diferencia de la legislación de protección de datos de muchos otros países, la DPA protege tanto los datos personales de personas físicas como de entidades jurídicas. [17]
El Comisionado Federal de Protección de Datos e Información de Suiza supervisa, en particular, el cumplimiento de la DPA por parte de las agencias del gobierno federal, asesora a particulares en materia de protección de datos, realiza investigaciones y formula recomendaciones sobre prácticas de protección de datos.
Algunos archivos de datos deben registrarse ante el Comisionado Federal de Protección de Datos e Información de Suiza antes de su creación. En caso de transferencia de datos personales fuera de Suiza , deben cumplirse requisitos especiales y, según las circunstancias, debe informarse al Comisionado Federal de Protección de Datos e Información de Suiza antes de que se realice la transferencia. [17]
La mayoría de los cantones suizos han promulgado sus propias leyes de protección de datos que regulan el procesamiento de datos personales por parte de los organismos cantonales y municipales.
En el Reino Unido, la Ley de Protección de Datos de 1998 (c 29) ( Information Commissioner ) implementó la Directiva de la UE sobre la protección de datos personales . [18] Reemplazó a la Ley de Protección de Datos de 1984 (c 35). El Reglamento General de Protección de Datos de 2016 reemplaza las Leyes de Protección anteriores. La Ley de Protección de Datos de 2018 (c 12) actualiza las leyes de protección de datos en el Reino Unido. Es una ley nacional que complementa el Reglamento General de Protección de Datos (GDPR) de la Unión Europea .
En Canadá , la Ley de Protección de la Información Personal y de los Documentos Electrónicos (PIPEDA, por sus siglas en inglés) entró en vigor el 1 de enero de 2001 y es aplicable a los organismos privados regulados por el gobierno federal. Todas las demás organizaciones se incluyeron en la ley el 1 de enero de 2004. [19] [20] La PIPEDA hizo que Canadá cumpliera con la ley de protección de datos de la UE , [21] aunque la sociedad civil, los reguladores y los académicos han afirmado que no aborda los desafíos modernos de la ley de privacidad tan bien como lo hace el RGPD, y han pedido una reforma. [22]
La Ley PIPEDA especifica las normas que rigen la recopilación, el uso y la divulgación de información personal en el marco del reconocimiento del derecho a la privacidad de las personas con respecto a su información personal. También especifica las normas que deben cumplir las organizaciones para recopilar, utilizar y divulgar información personal.
La LPRPDE se aplica a:
La LPRPDE no se aplica a:
Como se especifica en la Ley PIPEDA:
" Información personal " significa información sobre un individuo identificable, pero no incluye el nombre, título, dirección comercial o número de teléfono de un empleado de una organización.
" Organización " significa una asociación, una sociedad, una persona y un sindicato.
"Obra, empresa o negocio federal" significa cualquier obra, empresa o negocio que esté dentro de la autoridad legislativa del Parlamento, incluyendo:
La Ley PIPEDA otorga a las personas el derecho a:
La ley PIPEDA exige que las organizaciones:
La privacidad de los datos no está muy legislada ni regulada en los EE . UU . [23] En los Estados Unidos, el acceso a datos privados contenidos, por ejemplo, en informes crediticios de terceros puede solicitarse cuando se busca empleo o atención médica, o cuando se realizan compras de automóviles, vivienda u otras compras a crédito. Aunque existen regulaciones parciales, no hay una ley que regule en su totalidad la adquisición, el almacenamiento o el uso de datos personales en los EE. UU. En términos generales, en los EE. UU., quienquiera que se moleste en ingresar los datos, se considera que posee el derecho a almacenarlos y usarlos, incluso si los datos se recopilaron sin permiso, excepto en la medida regulada por leyes y reglas como las disposiciones de la Ley Federal de Comunicaciones y las reglas de implementación de la Comisión Federal de Comunicaciones, que regulan el uso de información de red de propiedad del cliente (CPNI). Por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), la Ley de Protección de la Privacidad Infantil en Línea de 1998 (COPPA) y la Ley de Transacciones de Crédito Justas y Precisas de 2003 (FACTA) son todos ejemplos de leyes federales de Estados Unidos con disposiciones que tienden a promover la eficiencia del flujo de información.
La Corte Suprema interpretó la Constitución para otorgar un derecho de privacidad a las personas en Griswold v. Connecticut . [24] Sin embargo, muy pocos estados reconocen el derecho a la privacidad de un individuo, una excepción notable es California . Un derecho inalienable a la privacidad está consagrado en el artículo 1, sección 1 de la Constitución de California , y la legislatura de California ha promulgado varias leyes destinadas a proteger este derecho. La Ley de Protección de la Privacidad en Línea de California (OPPA) de 2003 requiere que los operadores de sitios web comerciales o servicios en línea que recopilan información personal sobre residentes de California a través de un sitio web publiquen de manera visible una política de privacidad en el sitio y cumplan con su política.
Un primer intento de crear normas en torno al uso de la información en los EE.UU. fueron las directrices de prácticas justas en materia de información desarrolladas por el Departamento de Salud, Educación y Bienestar (HEW) (posteriormente rebautizado como Departamento de Salud y Servicios Humanos (HHS)), por un Comité Asesor Especial sobre Sistemas Automatizados de Datos Personales, bajo la presidencia del pionero de la informática y de la privacidad Willis H. Ware . El informe presentado por el Presidente al Secretario del HHS titulado "Registros, Computadoras y Derechos de los Ciudadanos (07/01/1973)", [25] [26] propone principios universales para la privacidad y la protección de los datos de los consumidores y los ciudadanos:
El acuerdo de puerto seguro fue desarrollado por el Departamento de Comercio de los Estados Unidos con el fin de proporcionar un medio para que las empresas estadounidenses demuestren su cumplimiento de las directivas de la Comisión Europea y, de esa manera, simplificar las relaciones entre ellas y las empresas europeas. [27]
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) fue promulgada por el Congreso de los Estados Unidos en 1996. La HIPAA también se conoce como la Ley de Portabilidad y Responsabilidad del Seguro Médico Kennedy-Kassebaum (HIPAA-Ley Pública 104-191), vigente desde el 21 de agosto de 1996. La idea básica de la HIPAA es que una persona que es objeto de información médica individualmente identificable debe tener:
Una dificultad de la HIPAA es que debe existir un mecanismo para autenticar al paciente que solicita acceso a sus datos. Como resultado, los centros médicos han comenzado a pedirles a los pacientes sus números de seguridad social, lo que podría reducir la privacidad al simplificar el acto de correlacionar los registros médicos con otros registros. [28] La cuestión del consentimiento es problemática en virtud de la HIPAA, porque los proveedores médicos simplemente condicionan la atención a la aceptación de las normas de privacidad vigentes.
La Ley de Informes Crediticios Justos aplica los principios del Código de Prácticas Justas de Información a las agencias de informes crediticios. La FCRA permite a las personas optar por no recibir ofertas de crédito no deseadas:
Gracias a la Ley de Transacciones Crediticias Justas y Precisas , cada persona puede obtener un informe crediticio anual gratuito . [29]
La Ley de Informes Crediticios Justos ha sido eficaz para prevenir la proliferación de las llamadas guías crediticias privadas, engañosas. Antes de 1970, [ ¿cuándo? ] [30] las guías crediticias privadas ofrecían información detallada, aunque poco fiable, sobre individuos fácilmente identificables. [31] [32] Antes de la Ley de Informes Crediticios Justos, se podía incluir material escabroso y sin fundamento; de hecho, los chismes se incluían ampliamente en los informes crediticios. [33] EPIC tiene una página de la FCRA. La Asociación de la Industria de Datos del Consumidor, que representa a la industria de informes crediticios, también tiene un sitio web con información de la FCRA.
La Ley de Informes Crediticios Justos (FCRA, por sus siglas en inglés) otorga a los consumidores la capacidad de ver, corregir, impugnar y limitar los usos de los informes crediticios. La FCRA también protege a la agencia crediticia de la acusación de divulgación negligente en caso de tergiversación por parte del solicitante. Las agencias crediticias deben preguntar al solicitante el propósito de la divulgación de la información solicitada, pero no necesitan hacer ningún esfuerzo para verificar la veracidad de las afirmaciones del solicitante. De hecho, los tribunales han dictaminado que "la Ley claramente no proporciona un remedio para un uso ilícito o abusivo de la información sobre los consumidores" (Henry v Forbes, 1976). Se cree ampliamente que, para evitar la FCRA, Equifax creó ChoicePoint, momento en el que la empresa matriz copió todos sus registros a su filial recién creada. ChoicePoint no es una agencia de informes crediticios y, por lo tanto, la FCRA no se aplica. [34]
La Ley de Prácticas Justas en el Cobro de Deudas limita de manera similar la difusión de información sobre las transacciones financieras de un consumidor. Impide que los acreedores o sus agentes revelen el hecho de que una persona está en deuda con un tercero, aunque permite a los acreedores y sus agentes intentar obtener información sobre la ubicación de un deudor. Limita las acciones de quienes buscan el pago de una deuda. Por ejemplo, las agencias de cobro de deudas tienen prohibido acosar o contactar a las personas en el trabajo. La Ley de Prevención del Abuso de Quiebras y Protección del Consumidor de 2005 (que en realidad destripó las protecciones del consumidor, por ejemplo en caso de quiebra resultante de costos médicos) limitó algunos de estos controles sobre los deudores.
La Ley de Privacidad de las Comunicaciones Electrónicas (ECPA, por sus siglas en inglés) establece sanciones penales por la interceptación de comunicaciones electrónicas. Sin embargo, la legislación ha sido criticada por su falta de impacto debido a las lagunas legales que contiene. [35]
A continuación se resumen algunas de las leyes, reglamentos y directivas relacionadas con la protección de los sistemas de información:
Varias agencias federales de los Estados Unidos tienen estatutos de privacidad que cubren la recopilación y el uso de información privada. Entre ellas se encuentran la Oficina del Censo, el Servicio de Impuestos Internos y el Centro Nacional de Estadísticas de Educación (conforme a la Ley de Reforma de las Ciencias de la Educación). Además, el estatuto CIPSEA protege la confidencialidad de los datos recopilados por las agencias estadísticas federales.
Los legisladores de varios estados han propuesto leyes para cambiar la forma en que las empresas en línea manejan la información de los usuarios. Entre las que han generado una atención significativa se encuentran varias leyes Do Not Track y la Ley de Derecho a Saber (Proyecto de Ley AB 1291 de California). Si se aprueba la Ley de Derecho a Saber de California, exigiría a todas las empresas que guardan información de los usuarios que proporcionen a estos una copia de la información almacenada cuando se la soliciten. [36] El proyecto de ley enfrentó una fuerte oposición de los grupos comerciales que representan a empresas como Google, Microsoft y Facebook, y no logró aprobarse. [37]
Arkansas tiene una ley de privacidad de datos biométricos. [38]
El 28 de junio de 2018, la legislatura de California aprobó la AB 375, la Ley de Privacidad del Consumidor de California de 2018, que entró en vigencia el 1 de enero de 2020. [39] En noviembre de 2020, la Proposición 24 , también conocida como la Ley de Derechos de Privacidad de California , modificó y amplió la CCPA. [40] La ley protege específicamente los datos de los empleados. [41]
El 6 de junio de 2023, Florida promulgó el Proyecto de Ley 262 del Senado de Florida, que entrará en vigor el 1 de julio de 2024. Otorga a los consumidores el derecho a confirmar si las empresas con más de mil millones de dólares en ingresos brutos anuales que obtienen más de la mitad de sus ingresos de anuncios en línea recopilaron datos sobre ellos y el control sobre los datos, incluida la corrección y eliminación. La ley también prohíbe a las agencias gubernamentales pedir a las empresas de redes sociales que censuren contenido o eliminen usuarios de su plataforma. [42]
El 3 de octubre de 2008, Illinois promulgó la Ley de Privacidad de la Información Biométrica . La ley fue la primera en la nación en regular los datos biométricos. [43] La ley exige que las empresas privadas obtengan el consentimiento para recopilar o divulgar los identificadores biométricos de los consumidores. La ley también exige que los datos se almacenen de forma segura y se destruyan de manera oportuna. [44] La ley protege específicamente los datos de los empleados. [41]
En 2021, Nueva York promulgó una ley de privacidad de datos biométricos comerciales que exige que las empresas notifiquen de forma visible a los consumidores sobre la recopilación de datos. La ley prohíbe a los empleadores recopilar datos biométricos de los empleados. [38]
En 2009, Texas promulgó una ley de protección al consumidor que exige el consentimiento para el arrendamiento, la venta o la divulgación de datos biométricos con fines comerciales. La ley también exige que los datos se destruyan en el plazo de un año desde su recopilación. [43] [38]
En 2017, Washington promulgó una ley específica de privacidad de datos biométricos de los consumidores que cubre el uso comercial. [43] [38]
El 27 de abril de 2023, Washington promulgó la Ley Mi Salud, Mis Datos, que entrará en vigor el 31 de marzo de 2024. [45] La ley fue la primera del país en regular los datos de salud de los consumidores no protegidos por la HIPAA. [46] La ley exige que las empresas obtengan autorización previa para obtener, compartir o vender datos de salud, incluidos los datos que se pueden utilizar para inferir o vincular con el estado de salud, como la compra de medicamentos o el seguimiento de la digestión. La ley garantiza el derecho a retirar el consentimiento y solicitar la eliminación. La ley también prohíbe las geocercas alrededor de los centros de atención médica. [46] [47]
La Ley General de Protección de Datos Personales (LGPD) de Brasil se convirtió en ley el 18 de septiembre de 2020. El objetivo principal de la ley es unificar 40 leyes brasileñas diferentes que regulan el procesamiento de datos personales . El proyecto de ley tiene 65 artículos y tiene muchas similitudes con el RGPD. [48]
A diferencia del enfoque estadounidense en materia de protección de la privacidad , que se basa en leyes, reglamentaciones y autorregulaciones específicas para cada sector, la Unión Europea se basa en una legislación integral en materia de privacidad. La Directiva Europea sobre Protección de Datos , que entró en vigor en octubre de 1998, incluye, por ejemplo, el requisito de crear agencias gubernamentales de protección de datos, el registro de bases de datos en dichas agencias y, en algunos casos, la aprobación previa antes de que pueda comenzar el procesamiento de datos personales. Para tender un puente entre estos diferentes enfoques de la privacidad y proporcionar un medio simplificado para que las organizaciones estadounidenses cumplan con la Directiva, el Departamento de Comercio de los Estados Unidos, en consulta con la Comisión Europea, desarrolló un marco de "puerto seguro". Para que el marco se aplique, las empresas deben publicar una política de privacidad. [49]
{{cite book}}
: Mantenimiento de CS1: falta la ubicación del editor ( enlace )