Protección de Datos en América

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.

Nota: Aunque los Estados europeos suelen utilizar el término “protección de datos”, la frase “privacidad de los datos” es más común en los Estados Unidos.

I. Marco general de protección de datos
A. Introducción
Los Estados Unidos aplican un enfoque sectorial a la protección de la privacidad de los datos. No existe una legislación federal integral que asegure la privacidad y la protección de los datos personales.

Indicaciones

En cambio, la legislación federal protege principalmente los datos en contextos sectoriales específicos. A diferencia de la Directiva general de protección de datos de Europa (Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, 1995 O.J. (L 281) 31 (derogada en 2016)), los Estados Unidos se basan en una combinación de legislación a nivel federal y estatal, reglamentos administrativos y directrices de autorregulación específicas para cada sector. Las garantías de protección de la privacidad son específicas de cada sector y se encuentran en una multitud de instrumentos legislativos y jurisprudencia. Estas leyes se aplican únicamente a sectores específicos como la atención de la salud, la educación, las comunicaciones y los servicios financieros o, en el caso de la recopilación de datos en línea, a los niños.

Aunque, a primera vista, es probable que los juristas comparados consideren que el marco de protección de la intimidad de los Estados Unidos es menos sólido que el europeo, en algunos aspectos, el marco estadounidense ofrece una mayor protección que el europeo. Las protecciones de los Estados Unidos son más estrictas en ocho aspectos: 1) la supervisión de los registros por funcionarios judiciales independientes; 2) la causa probable de un delito como requisito relativamente estricto para los registros tanto físicos como digitales; 3) requisitos aún más estrictos para el uso gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) de las escuchas telefónicas y otras interceptaciones en tiempo real; 4) la norma de exclusión, que impide que los fiscales utilicen pruebas obtenidas ilegalmente, se complementa con demandas civiles; 5) otras normas jurídicas que son relativamente estrictas para el acceso del gobierno en muchas situaciones en que no se realizan búsquedas, como la norma de “sospecha razonable y articulable” supervisada por un juez en virtud de la Ley de privacidad de las comunicaciones electrónicas de 1986 (ECPA); 6) requisitos de transparencia, como la notificación al proveedor de servicios de la base jurídica de una solicitud; 7) falta de requisitos de retención de datos para las comunicaciones por Internet; y 8) falta de límites para el uso de cifrado fuerte.

B. Evolución de la protección de los datos personales
La primera legislación sobre la protección de datos en los Estados Unidos, la Ley de información crediticia equitativa (FCRA), se promulgó en 19705 . La FCRA tenía por objeto imponer límites al intercambio de datos en la industria de la información crediticia de los consumidores y, en particular, facilitar a las personas la corrección de los errores de información6 . La FCRA estableció un modelo tripartito para la legislación posterior de protección de datos que: i) notificaba a los consumidores un tipo específico de registro de datos, ii) establecía un procedimiento de reparación administrativa administrado por un organismo gubernamental, y iii) definía las condiciones en que los organismos encargados de hacer cumplir la ley podían acceder a los datos cumpliendo diversas normas de prueba7 .

En 1973, el Departamento de Salud, Educación y Bienestar de los Estados Unidos (HEW) publicó un informe titulado Computers and the Rights of Citizens (Las computadoras y los derechos de los ciudadanos) en el que se recomendaba al gobierno que promulgara un código de prácticas justas en materia de información.8 Esas prácticas obligarían a todas las organizaciones a cumplir un código que trataría de proteger la información de identificación personal.9 Las prácticas que no cumplieran las normas del código estarían sujetas a sanciones gubernamentales.10 En 1974, tras el escándalo de Watergate, el Congreso ratificó la Ley de privacidad.11 A pesar de que en el informe de HEW se pedía una legislación que se aplicara a “todos los sistemas automatizados de datos personales “12, la legislación definitiva sólo se aplicaba a las bases de datos de los organismos federales13 . La Ley declaraba que “el derecho a la intimidad es un derecho personal y fundamental protegido por la Constitución de los Estados Unidos “14. La Ley de protección de la intimidad protege la información personal que la Administración de Servicios Generales de los Estados Unidos mantiene en los sistemas de registros (SOR)15 .

A pesar de que el Congreso declaró su compromiso con el derecho a la privacidad de los datos en 1974, los Estados Unidos siguen careciendo de un marco amplio de protección de los datos. El entramado estadounidense de leyes y reglamentos estrechamente adaptados a nivel federal y estatal permite a las autoridades gubernamentales y, en algunos casos, a los particulares entablar demandas contra organizaciones que violan la ley.

Puntualización

Sin embargo, a diferencia del enfoque de la Unión Europea en materia de protección de datos, que en muchos aspectos representa el patrón oro de la protección de la privacidad, el enfoque dominante en los Estados Unidos se basa en la reglamentación de la protección del consumidor16 .

Puntualización

Sin embargo, dado que la autoridad jurídica principal de la FTC proviene del artículo 5 de la Ley de la Comisión Federal de Comercio17, la jurisdicción de la FTC se limita a la impugnación de las violaciones de la privacidad por organizaciones cuyas prácticas de información se han considerado “engañosas” o “injustas”.18 En ese sentido, la Ley de protección de la privacidad no es específicamente una ley de protección de datos, sino más bien un sistema de leyes amplias de protección del consumidor que se han “utilizado para prohibir las prácticas injustas o engañosas que entrañan la divulgación de información personal y los procedimientos de seguridad para protegerla”.19

Además de su facultad de adoptar medidas contra las prácticas comerciales engañosas o injustas, el Congreso ha conferido a la Comisión Federal de Comercio autoridad para hacer cumplir varias leyes específicas de sectores, entre las que figuran las siguientes: la Ley sobre la veracidad de los préstamos20, la Ley de control del asalto a la pornografía y la comercialización (vender lo que se produce; véase la comercialización, por ejemplo, de productos) o/y, en muchos casos, marketing, o mercadotecnia (como actividades empresariales que tratan de anticiparse a los requerimientos de su cliente; producir lo que se vende) no solicitadas (CAN-SPAM)21, la Ley de protección de la privacidad en línea de los niños22, la Ley de igualdad de oportunidades de crédito23, la Ley de información crediticia equitativa24, la Ley de prácticas justas de cobro de deudas25 y la Ley de telemercadeo y de prevención del fraude y el abuso contra los consumidores26 .

Otros Elementos

Además, la Ley de Asunción y Disuasión del Robo de Identidad encarga a la FTC que establezca un servicio centralizado de denuncias y educación del consumidor para las víctimas del robo de identidad y refuerza las leyes penales relativas al robo de identidad27.

C. Principales leyes sectoriales y clasificación de datos
Además de la legislación que entra dentro de la jurisdicción de la FTC, hay otras seis importantes leyes federales específicas del sector. Esa legislación se enumera a continuación y se resume en el cuadro 1 que sigue a la lista.

Cuadro 1.
Características principales de la legislación sectorial.

Nombre de la legislación Definición datos personales 28 Clasificación de datos Tratamiento de la información
Ley de modernización de los servicios financieros
(Ley Gramm-Leach-Bliley):
Protege la información personal “no pública” de los consumidores cuando la utilizan las instituciones financieras “Información personal no pública” es la información financiera de identificación personal que proporciona un consumidor a una institución financiera; que resulta de una transacción con el consumidor o de un servicio prestado al consumidor; o que la institución financiera obtiene de otro modo29 . La información personal disponible públicamente no está protegida.

Más Información

Las instituciones financieras pueden transferir información personal a otras empresas si es necesario para los servicios financieros prestados. La información puede compartirse con los organismos de información crediticia o los organismos de reglamentación financiera.30
Ley de portabilidad y responsabilidad de los seguros médicos
(HIPAA) “Información de salud protegida” significa información de salud identificable individualmente: 1) Salvo lo dispuesto en el párrafo 2) de la presente definición31, es decir i) transmitida por medios electrónicos; ii) conservada en medios electrónicos; o iii) transmitida o conservada en cualquier otra forma o medio. La “información de salud identificable individualmente” incluye datos demográficos relativos a: la salud o el estado físico o mental pasado, presente o futuro de la persona; la prestación de atención de salud a la persona; o el pago pasado, presente o futuro de la prestación de atención de salud a la persona, y que identifica a la persona o sobre la cual hay una base razonable para creer que puede utilizarse para identificar a la persona. (Véase 45 C.F.R. § 160.103).

Si bien la Ley HIPAA protege la PHI, existen requisitos adicionales que se aplican a la e-PHI. Concretamente, las entidades cubiertas deben “garantizar la confidencialidad, integridad y disponibilidad de todas las e-PHI que creen, reciban, mantengan o transmitan; identificar y proteger contra las amenazas razonablemente previstas a la seguridad o integridad de la información; proteger contra los usos o divulgaciones no permitidos y razonablemente previstos; y garantizar el cumplimiento por parte de su personal”.

La Regla de Seguridad establece los requisitos mínimos para todas las entidades y contratistas de atención de la salud que exigen que todos los procesadores de datos adopten salvaguardias administrativas, físicas y técnicas para proteger la confidencialidad, la integridad y la disponibilidad de la información; 2) informar de los incidentes de seguridad.34
Ley de control del asalto a la pornografía y la comercialización (vender lo que se produce; véase la comercialización, por ejemplo, de productos) o/y, en muchos casos, marketing, o mercadotecnia (como actividades empresariales que tratan de anticiparse a los requerimientos de su cliente; producir lo que se vende) no solicitadas
(Ley CAN-SPAM) Regula la recopilación y el uso de las direcciones de correo electrónico. Abarca todos los mensajes comerciales, que la ley define como “todo mensaje de correo electrónico cuyo propósito principal sea la publicidad comercial o la promoción de un producto o servicio comercial”, incluido el correo electrónico que promueve el contenido de sitios web comerciales. Regula los mensajes de correo electrónico “comerciales” y “transaccionales o de relación”. El correo electrónico comercial debe incluir información no engañosa sobre el remitente y el asunto; disposiciones sobre la exclusión voluntaria; la dirección del remitente; y una identificación clara y visible de que el correo electrónico es un anuncio o una solicitud35 .
La Ley de informes crediticios justos (15 U.S.C. § 1681) (y la Ley de transacciones crediticias justas y precisas (Pub. L. No. 108-159) que enmendó la Ley de informes crediticios justos) se aplica a las agencias de informes de los consumidores, a quienes utilizan los informes de los consumidores (como un prestamista) y a quienes proporcionan información sobre los informes de los consumidores (como una compañía de tarjetas de crédito). “Los “informes de los consumidores” son toda comunicación emitida por un organismo de información de los consumidores en relación con la solvencia, el historial de crédito, la capacidad crediticia, el carácter y la reputación general de un consumidor que se utiliza para evaluar su elegibilidad para obtener crédito o seguro37 .
Ley de confidencialidad de las comunicaciones electrónicas (18 U.S.C. § 2510) Prohíbe las escuchas telefónicas de las comunicaciones de otros sin la aprobación del tribunal sin el consentimiento previo de una parte. Prohíbe el uso o la divulgación de cualquier información adquirida mediante escuchas telefónicas ilegales o escuchas electrónicas40 . La interceptación “significa la adquisición auditiva o de otro tipo del contenido” de diversos tipos de comunicaciones mediante “dispositivos electrónicos, mecánicos o de otro tipo “41. Por “contenido” se entiende “la información relativa a su sustancia, su propósito o su significado “42. La Ley define el “daño” como “todo menoscabo de la integridad o la disponibilidad de los datos, un programa, un sistema o una información “46.
Ley sobre fraude y abuso informático (18 U.S.C. § 1030) Tiene por objeto prevenir y castigar las actividades relacionadas con la piratería informática, que la Ley define como “acceso no autorizado” a computadoras protegidas43 .

Otros Elementos

Además, la Ley prohíbe a las personas o entidades excederse en el ámbito de su “acceso autorizado”.44 Las “computadoras protegidas” incluyen las utilizadas por las instituciones financieras, el Gobierno de los Estados Unidos y las computadoras utilizadas en el comercio o las comunicaciones interestatales o extranjeras o que las afectan.45
Abrir en nueva pestaña
1. Ley de Modernización de Servicios Financieros (Ley Gramm-Leach-Bliley (GLB)) (15 U.S.C. §§ 6801-6827).

2. Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) (42 U.S.C. §§ 1301ff.).

3. 3. Ley de Control de la Agresión de la Pornografía No Solicitada y de Comercialización (Ley CAN-SPAM) (15 U.S.C. §§ 7701-7713 y 18 U.S.C. § 1037)

4. La Ley de Información Crediticia Justa (15 U.S.C. § 1681).

5. 5. Ley sobre la privacidad de las comunicaciones electrónicas (18 U.S.C. § 2510).

6. 6. Ley sobre el fraude y el abuso informático (18 U.S.C. § 1030).

D. Organismos de supervisión
Como se ha señalado anteriormente, la Comisión Federal de Comercio se ha convertido en el principal organismo encargado de hacer cumplir la legislación sobre privacidad en los Estados Unidos47 .Entre las Líneas En la actualidad, el organismo ha ampliado incluso su jurisdicción para incluir la adopción de medidas de aplicación de la legislación sobre protección del consumidor contra las empresas extranjeras que realizan actividades comerciales en los Estados Unidos48 . Para ilustrar la amplitud del alcance de la agencia, hasta noviembre de 2013, ésta había presentado “134 casos de correo basura y programas espía, 108 casos de “Do Not Call” (no llamar) contra empresas de telemercadeo, 97 demandas en virtud de la Ley de información crediticia justa que implican problemas de información crediticia, 47 casos de seguridad de datos, 44 demandas generales sobre privacidad y 21 acciones en virtud de la Ley de protección de la privacidad de los niños en línea (COPPA) “50.

A medida que el Congreso ha seguido aprobando legislación sobre privacidad específica para cada sector, ha seguido reforzando el papel de la FTC en la aplicación de la ley. El organismo también informa al Congreso y recomienda la promulgación de legislación adicional relacionada con la privacidad51 . Tal vez lo más importante es que el alcance cada vez mayor de las medidas de aplicación y los decretos de consentimiento de la FTC han impulsado el crecimiento de un “nuevo derecho común (expresión que hace referencia en los países anglosajones normalmente al sistema de “common law”) de la privacidad “52. Los profesores Daniel Solove y Woodrow Hartzog han sostenido que, dado que las medidas de aplicación de la FTC casi siempre dan lugar a acuerdos de conciliación, el contenido de esos acuerdos se ha convertido, en efecto, en un nuevo derecho común (expresión que hace referencia en los países anglosajones normalmente al sistema de “common law”) de la privacidad que las empresas buscan como orientación para desarrollar prácticas de privacidad53.

Además de las facultades de ejecución de los organismos federales, los organismos estatales de protección del consumidor (normalmente el Fiscal General del Estado) también ejercen la autoridad reguladora de la protección de la vida privada56 .

Aunque la autoridad jurídica principal de la FTC proviene del artículo 5 de la Ley de la Comisión Federal de Comercio, que prohíbe las prácticas injustas o engañosas en el mercado, el organismo también está facultado para hacer cumplir diversas leyes específicas del sector, entre ellas la Ley sobre la veracidad de los préstamos, la Ley CAN-SPAM, la Ley de protección de la intimidad de los niños en línea, la Ley de igualdad de oportunidades crediticias, la Ley de información crediticia equitativa, la Ley de prácticas justas de cobro de deudas y la Ley de telemercadeo y prevención del fraude y el abuso contra los consumidores57 . La Comisión está facultada para iniciar acciones de aplicación de la ley para poner fin a las violaciones de la ley y obligar a las empresas a adoptar medidas afirmativas para remediar su comportamiento ilícito. Estas medidas incluyen: La Comisión está facultada para adoptar medidas de aplicación para poner fin a las violaciones de la ley y obligar a las empresas a adoptar medidas afirmativas para remediar su comportamiento ilícito, entre las que cabe mencionar: “la aplicación de programas integrales de privacidad y seguridad, evaluaciones bienales a cargo de expertos independientes, el resarcimiento monetario a los consumidores, la restitución de las ganancias obtenidas ilícitamente, la eliminación de la información sobre los consumidores obtenida ilícitamente y la provisión de mecanismos sólidos de transparencia y elección a los consumidores “58.

Otros Elementos

Además, la Comisión Federal de Comercio está facultada para imponer sanciones monetarias civiles a las organizaciones o personas que violen la Ley de la Comisión Federal de Comercio, así como a las entidades que violen la Ley de protección de la privacidad en línea de los niños, la Ley de información crediticia equitativa y la Regla sobre ventas telefónicas59. Las formas de reparación de las violaciones de la privacidad que ha conseguido la FTC incluyen medidas cautelares, daños y perjuicios y decretos de consentimiento que exigen que las empresas se sometan a la supervisión permanente de la FTC y apliquen controles, auditorías y otros procesos de mejora de la privacidad durante un período de tiempo que puede abarcar varios decenios60.

E. Instrumentos de autorregulación y protección de datos
La Iniciativa de Publicidad en Red (NAI), formada en 1999, es un sólido marco de autorregulación que está compuesto exclusivamente por empresas de publicidad digital de terceros. La INA se basa en un minucioso proceso de examen de los nuevos miembros, en instrumentos de supervisión técnica y en la investigación de las preocupaciones de los consumidores para alentar el cumplimiento del Código de Conducta de Autorregulación de la organización61 . Según la actualización del Código de Conducta de 2015 de la INA, la organización puede imponer sanciones, incluida la suspensión o revocación de la condición de miembro y puede remitir el asunto a la Comisión Federal de Comercio por incumplimiento62 .

Además, en 2009 se estableció otra organización industrial compuesta por asociaciones de la industria de la comercialización (vender lo que se produce; véase la comercialización, por ejemplo, de productos) o/y, en muchos casos, marketing, o mercadotecnia (como actividades empresariales que tratan de anticiparse a los requerimientos de su cliente; producir lo que se vende) y la publicidad. Entre sus miembros figuran la Asociación de Anunciantes Nacionales, la Federación Americana de Publicidad, la Asociación Americana de Agencias de Publicidad, la Iniciativa de Publicidad en Red, la Asociación de Comercialización Directa (DMA) y la Oficina de Publicidad Interactiva64 . La NAI ha adoptado un código de autorregulación que exige transparencia, la posibilidad de elegir antes de que la información confidencial pueda utilizarse para la publicidad sobre el comportamiento, y disposiciones de seguridad razonables65 .

Puntualización

Sin embargo, la Comisión Federal de Comercio (FTC) ha criticado la definición de “información sensible” de la ANR por ser demasiado estrecha.66 Una organización relativamente nueva, la Alianza de Publicidad Digital (DAA), exige a las empresas que “informen a los consumidores sobre las prácticas de datos, permitan a los consumidores optar por no participar en la publicidad basada en el comportamiento, mantengan una seguridad razonable para los datos recopilados y se abstengan de utilizar información sensible para la publicidad basada en el comportamiento sin el consentimiento expreso (véase su concepto jurídico, así como el del consentimiento absoluto) de los consumidores”.67 A partir de 2011, la DAA amplió sus esfuerzos para incluir las redes sociales y las empresas no anunciantes. La aplicación de la ley está a cargo de la DMA y el Consejo de la Oficina de Mejores Negocios68.

A pesar de que la Comisión Federal de Comercio publicó directrices y prácticas óptimas para la autorregulación de la privacidad de los consumidores tanto en 2009 como en 2012, la autorregulación que abarca el uso de la información digital sólo ha obtenido resultados desiguales69 . Los críticos señalan el uso creciente de la publicidad conductual en línea y otras formas de personalización en el ámbito de la publicidad como prueba de que la autorregulación no preserva la privacidad de los consumidores70 .

II. Datos personales procesados por medios electrónicos
A. Servicios prestados a distancia
El principal instrumento legislativo destinado a proteger los datos personales relacionados con los servicios prestados a distancia es la Ley de transacciones crediticias justas y precisas (FACTA), promulgada en 200371 . La Ley exige que los tres principales organismos de información crediticia de los Estados Unidos proporcionen a los consumidores un informe crediticio gratuito por año.Entre las Líneas En un esfuerzo por mejorar la seguridad de los datos relacionados con las tarjetas, la Ley exige a los sistemas de venta al por menor que imprimen recibos de tarjetas de pago que utilicen el truncamiento del número de cuenta personal (PAN), de modo que los recibos de las transacciones no contengan el número de cuenta completo del consumidor72 . La Ley crea una causa de acción privada para los consumidores que puedan demostrar un “daño concreto”.73

Con respecto a la privacidad de los servicios de entretenimiento, hay dos leyes federales en vigor: la Ley de política de comunicaciones por cable de 1984 (CCPA)74 y la Ley de protección de la privacidad de los vídeos de 1988 (VPPA)75 .

Detalles

Las empresas de cable también deben destruir los datos personales cuando éstos ya no sean necesarios para el fin para el que fueron recogidos77 . La VPPA contiene disposiciones similares a la CCPA e impide que los proveedores revelen a sabiendas información personal sin el consentimiento escrito del abonado78 . Estas denegaciones han incluido casos relacionados con el número de serie de Roku de un consumidor79, así como con un número de serie cifrado en un dispositivo de transmisión digital80.

Basado en la experiencia de varios autores, mis opiniones y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2024 o antes, y el futuro de esta cuestión):

Aunque la Comisión Federal de Comercio propuso en 2010 un mecanismo de “no rastreo” que permitiría a los consumidores elegir si permiten que los sitios web recopilen información sobre su actividad en Internet, en la actualidad, corresponde a los motores de búsqueda de Internet aplicar voluntariamente cambios en sus navegadores para bloquear los formatos de anuncios molestos81 . Muchas de estas medidas de protección contra el robo de identidad imponen a las entidades comerciales la obligación de proteger los números de seguridad social y datos personales similares contra la utilización no autorizada.82 La Ley de protección de la privacidad en línea de California exige a toda persona o entidad que recopile información de identificación personal de residentes de California a través de un sitio web o un servicio en línea de Internet con fines comerciales, que identifique las categorías de información que recopila sobre los consumidores individuales y que publique una política de privacidad visible en su sitio web o servicio en línea.83 Por lo menos cuatro estados han promulgado legislación que protege la información personal de los usuarios de servicios y tecnologías de libros digitales.84

B. Comunicaciones electrónicas con fines de comercialización
El reducido número de leyes que regulan la comercialización (vender lo que se produce; véase la comercialización, por ejemplo, de productos) o/y, en muchos casos, marketing, o mercadotecnia (como actividades empresariales que tratan de anticiparse a los requerimientos de su cliente; producir lo que se vende) electrónica se refieren a canales (véase qué es, su definición, o concepto, y su significado como “canals” en el contexto anglosajón, en inglés) de comercialización (vender lo que se produce; véase la comercialización, por ejemplo, de productos) o/y, en muchos casos, marketing, o mercadotecnia (como actividades empresariales que tratan de anticiparse a los requerimientos de su cliente; producir lo que se vende) específicos85 . A nivel federal, la Ley CAN-SPAM de 2003 regula todos los mensajes comerciales por correo electrónico86 (se puede analizar algunas de estas cuestiones en la presente plataforma online de ciencias sociales y humanidades). Fundamentalmente, otorga a los destinatarios de los mensajes de correo electrónico comerciales el derecho a prohibir a los comerciantes que sigan enviándolos por correo electrónico87 . Abarca todos los mensajes comerciales, que la ley define como “todo mensaje de correo electrónico cuyo propósito principal sea la publicidad comercial o la promoción de un producto o servicio comercial”. Esto incluye todo correo electrónico que promueva el contenido de sitios web comerciales.88 La ley no hace ninguna excepción para el correo electrónico de empresa a empresa, ya que incluso los mensajes a antiguos clientes que anuncien nuevos productos deben cumplir la ley.89 Es importante señalar que la Ley CAN-SPAM no crea un derecho privado de acción para los consumidores, sino que la responsabilidad principal de la aplicación de la Ley recae en la jurisdicción de la Comisión Federal de Comercio.90 Una serie de organismos federales y estatales, junto con los proveedores de servicios de Internet (ISP), también tienen la capacidad de hacer cumplir las disposiciones de la Ley.91

Desde la perspectiva de los defensores del derecho a la intimidad, la Comisión Federal de Comercio no ha protegido adecuadamente los derechos de los consumidores a la intimidad en lo que respecta a la recopilación de información sobre los consumidores y el uso de los grandes datos92 .Entre las Líneas En lugar de redactar normas que regulen la forma en que las empresas recopilan datos sobre los consumidores, el organismo ha optado por una estrategia menos conflictiva que trata de concienciar sobre las cuestiones que las empresas deben tener en cuenta al recopilar los datos93 . Mientras que los funcionarios estadounidenses y los representantes de la industria sostienen que el enfoque sectorial de América para la regulación de datos es más ágil que las protecciones generales de privacidad de Europa, algunos legisladores europeos sostienen que el enfoque estadounidense protege el comercio a expensas de los consumidores.96 En lugar de imponer regulaciones fuertes con respecto a la recolección de datos de los consumidores, la FTC ha redactado los Principios de la Publicidad Basada en el Comportamiento.97 Estos principios sugieren que los operadores de sitios web que recolectan y/o almacenan datos de los consumidores para la publicidad basada en el comportamiento deben proporcionar una seguridad razonable de los datos.98

C. Ley de protección de la privacidad de los niños en línea de 1998 (COPPA)
La COPPA regula la recopilación y el uso de la información obtenida de niños menores de trece años por medio de sitios web de Internet y aplicaciones móviles. El Congreso ha asignado la responsabilidad principal de la aplicación de la ley a la FTC y ha dado a la agencia la facultad de promulgar normas para guiar la interpretación y la aplicación de la ley.Entre las Líneas En 2000, la FTC promulgó por primera vez la Regla de protección de la privacidad de los niños en línea. Esa Regla detallaba las normas que rigen la recopilación y el uso de información personal de y sobre los niños en línea. Si bien la norma original de la FTC prohibía a los operadores de sitios web o servicios en línea dirigidos a los niños recopilar información personal de un niño, a medida que la tecnología ha evolucionado para ampliar las formas en que los anunciantes pueden dirigirse potencialmente a los niños, la FTC ha actualizado y ampliado el enfoque de las normas de la COPPA. Concretamente, en 2013, la FTC modificó la norma de la COPPA y amplió la definición de “información personal” para incluir identificadores persistentes que reconocen a los usuarios a lo largo del tiempo y en diferentes servicios en línea. Toda la publicidad de comportamiento en plataformas en línea dirigida a los niños ahora requiere la notificación y el consentimiento de los padres. Específicamente, la COPPA exige que los sitios web para niños publiquen políticas de privacidad que describan “qué información es recopilada de los niños por el operador, cómo utiliza el operador dicha información y las prácticas de divulgación del operador para dicha información”. Se aplica a los operadores de sitios web o servicios en línea dirigidos a los niños, incluidos los fabricantes de aplicaciones móviles, y “cualquier operador que tenga conocimiento real de que está recopilando información personal de un niño”. La legislación también exige a los operadores de sitios web de Internet que obtengan un consentimiento paterno verificado si un operador trata de revelar la información personal de un niño a terceros o de ponerla a disposición del público.

En virtud de las normas enmendadas promulgadas por la Comisión Federal de Comercio, que entraron en vigor en 2013, los “datos de comunicaciones” incluyen los siguientes tipos de información:

a) El nombre y el apellido de un niño;

b) Una dirección de domicilio u otra dirección física, incluidos el nombre de la calle y el nombre de una ciudad o pueblo;

c) Información de contacto en línea;

d) Una pantalla o nombre de usuario que funcione como información de contacto en línea;

e) Un número de teléfono;

f) Un número de seguridad social;

g) Un identificador persistente que pueda utilizarse para reconocer a un usuario a lo largo del tiempo y en diferentes sitios web o servicios en línea;

(h) un archivo de fotografía, vídeo o audio, cuando dicho archivo contenga la imagen o la voz de un niño;

(i) información de geolocalización suficiente para identificar el nombre de la calle y el nombre de una ciudad o pueblo; o información relativa al niño o a los padres de ese niño que el operador recoge en línea del niño y combina con un identificador descrito anteriormente.

Desde que la Comisión Federal de Comercio promulgó los cambios de política de 2013, el organismo ha publicado orientaciones adicionales en las que se establece que los juguetes y otros dispositivos conectados a Internet destinados a los niños entran en el ámbito de aplicación de las disposiciones de la Ley. Con respecto a las políticas de protección y retención de datos de la COPPA, los nuevos cambios exigen que los operadores de los sitios web cubiertos adopten procedimientos razonables para la retención y eliminación de datos. La legislación también exige que los padres tengan la posibilidad de revisar la información personal recopilada sobre sus hijos y solicitar su eliminación. (Tal vez sea de interés más investigación sobre el concepto). La ley COPPA exige que los operadores de los sitios protejan la confidencialidad y la seguridad de toda la información que se recopile de los niños en línea. Aunque la Comisión Federal de Comercio ha sugerido que los operadores de los sitios requieran el uso de contraseñas para acceder a la información personal del sitio web, la instalación de software de detección de intrusos para vigilar el acceso no autorizado y el uso de servidores web y cortafuegos seguros para garantizar la confidencialidad, se han producido violaciones de los datos.

La FTC es el principal organismo encargado de perseguir las violaciones de la ley COPPA a nivel federal. Dado que las violaciones de la ley COPPA se consideran prácticas comerciales injustas o engañosas en virtud del artículo 5 de la Ley de la Comisión Federal de Comercio, la FTC puede imponer sanciones civiles por su violación. (Tal vez sea de interés más investigación sobre el concepto). Los fiscales generales de los estados también están autorizados a entablar acciones de cumplimiento en los tribunales federales de distrito. Aunque la Ley COPPA en sí misma no establece cifras de penalización en dólares, los tribunales determinan los daños y perjuicios con arreglo al artículo 5 de la Ley de la Comisión Federal de Comercio. Si bien la cifra de la pena máxima para las violaciones del artículo 5 fue fijada originalmente por el Congreso en 16.000 dólares por violación, a partir del 1 de agosto de 2016, la pena civil máxima casi se duplicó a 40.654 dólares por violación para cumplir con la Ley de Mejoras de la Ley de Ajuste de la Inflación de Sanciones Civiles Federales de 201599 .

En el caso de 2003, Estados Unidos c. Boston Scientific Corp.100, se elaboró un proceso de seis etapas para determinar los daños y perjuicios de conformidad con el artículo 45 a) 1) del título 15 del Código de los Estados Unidos. Esos factores incluyen: el nivel de daño al público; los beneficios obtenidos por el demandado; la buena o mala fe del infractor (conducta deliberada frente a conducta negligente); la capacidad de pago del demandado; el valor disuasorio de la pena para este demandado y otros operadores; y una cantidad necesaria para reivindicar la autoridad de la FTC. Aunque no existe una causa de acción privada para las violaciones de la ley COPPA, los Estados pueden entablar acciones civiles para obtener mandamientos judiciales y daños y perjuicios en interés de sus ciudadanos.

D. Sistemas de exclusión obligatoria
La Ley de control del asalto a la pornografía y la comercialización (vender lo que se produce; véase la comercialización, por ejemplo, de productos) o/y, en muchos casos, marketing, o mercadotecnia (como actividades empresariales que tratan de anticiparse a los requerimientos de su cliente; producir lo que se vende) no solicitadas (CAN-SPAM) de 2003, abarca todos los mensajes comerciales101, que la ley define como “todo mensaje de correo electrónico cuya finalidad principal sea la publicidad comercial o la promoción de un producto o servicio comercial”, incluido el correo electrónico que promueva el contenido de sitios web comerciales. De conformidad con esta Ley, el remitente del mensaje debe revelar de manera clara y notoria que el mensaje es un anuncio102 . El mensaje debe explicar cómo los destinatarios pueden optar por no recibir futuros mensajes de correo electrónico utilizando un lenguaje claro y notorio que una persona ordinaria pueda reconocer, leer y comprender103 . Las posibles sanciones que pueden imponerse por cada correo electrónico enviado en violación de la ley incluyen una multa de hasta 40.654 dólares106 .

Otros Elementos

Además, después de que el consumidor haya presentado una solicitud de exclusión, ni el remitente ni ninguna persona que conozca la solicitud de exclusión podrá “vender, intercambiar o transferir de otro modo la dirección de correo electrónico del destinatario sin su consentimiento expreso (véase su concepto jurídico, así como el del consentimiento absoluto), salvo en los casos previstos por la ley “107 .

E. Tratamiento de los datos personales de los empleados
1. Correo electrónico y almacenamiento en la computadora
Por regla general, los empleados de los Estados Unidos disfrutan de pocos derechos de privacidad en el lugar de trabajo. La Ley de privacidad de las comunicaciones electrónicas de 1986 (ECPA) es la principal ley federal que rige la vigilancia de las comunicaciones electrónicas en el lugar de trabajo108 . La ECPA modificó el Título III de la Ley general de control del delito y seguridad en las calles de 1968, que originalmente abordaba la interceptación de “comunicaciones por cable”. Si bien la ECPA en general prohíbe a los particulares y las empresas interceptar comunicaciones orales, por cable y electrónicas109, hay dos excepciones a esta prohibición que se aplican en el lugar de trabajo. Según la excepción relativa a la finalidad comercial, los empleadores pueden vigilar las comunicaciones electrónicas de los empleados siempre que la vigilancia se realice en el “curso ordinario de los negocios” y el empleador utilice ciertos tipos limitados de equipo para vigilar las comunicaciones110 . Los tribunales federales han sostenido que todo correo electrónico enviado utilizando equipo de la empresa se considera propiedad de ésta111 .

Otros Elementos

Además, los empleadores tienen derecho a rastrear los sitios web visitados por sus empleados, a bloquear a los empleados para que no visiten determinados sitios de Internet o a limitar la cantidad de tiempo que un empleado puede pasar en un sitio web específico114 .

Detalles

Por último, es importante reconocer que, dado que la definición de “comunicaciones electrónicas” del Título III no incluye las comunicaciones almacenadas electrónicamente, los tribunales han dado rienda suelta a la lectura de los correos electrónicos privados de los empleados almacenados en sistemas como un tablero de anuncios electrónico115 .

Incluso si el programa de vigilancia del empleador no promueve explícitamente un propósito comercial, los empleadores pueden vigilar legalmente las comunicaciones en virtud de la “excepción de consentimiento” siempre que tengan el consentimiento de un empleado para la vigilancia117 . Algunos tribunales han sostenido que el consentimiento puede estar implícito en los casos en que los empleadores han informado a sus empleados: “1) de la manera en que se llevará a cabo la vigilancia; y 2) que se someterá a dicha vigilancia “118.

Los empleados que trabajan para empleadores públicos como agencias federales y estatales también gozan de la protección de la Cuarta Enmienda de la Constitución de los Estados Unidos. Esta enmienda y la jurisprudencia que la rodea protegen a los empleados públicos de “registros gubernamentales irrazonables”.119 Los empleadores públicos que realizan registros que exceden el alcance de un propósito comercial legítimo pueden correr el riesgo de violar la Constitución y exponer a su agencia a una demanda presentada de conformidad con 42 U.S.C. § 1983.

Puntualización

Sin embargo, el alcance de las protecciones de la Cuarta Enmienda en el lugar de trabajo puede estar disminuyendo en el mundo digital. Si bien el Tribunal Supremo, en el caso O’Connor c. Ortega120, sostuvo que un empleado del gobierno tenía una expectativa legítima de privacidad en el contenido de su escritorio y de sus archivadores121, el Tribunal declaró que, al determinar si la expectativa de privacidad de un empleado es razonable, los tribunales deben equilibrar la expectativa legítima de privacidad del empleado con la necesidad del gobierno de supervisión, control y funcionamiento eficiente del lugar de trabajo122.

Otros Elementos

Además, los empleadores gubernamentales pueden debilitar las expectativas de privacidad de los empleados simplemente informando a los empleados por adelantado que sus escritorios, computadoras y casilleros pueden ser revisados para un propósito comercial legítimo123 .

Además de la ECPA, los empleados han tratado de presentar reclamaciones contra los empleadores utilizando las protecciones del derecho consuetudinario a nivel estatal contra la invasión de la privacidad.

Puntualización

Sin embargo, esas causas de acción proporcionan a los empleados sólo protecciones muy limitadas contra la vigilancia. Los empleados que tratan de obtener una indemnización por daños y perjuicios recurriendo a las teorías de la intrusión en el aislamiento y la publicación de hechos privados deben demostrar que tienen una expectativa razonable de privacidad en la información que ha sido objeto de vigilancia124 .

Algunos estados, en particular California y Massachusetts, han promulgado legislación sobre el derecho a la intimidad125 . A pesar del nombre de la ley, la Ley sobre el derecho a la intimidad de Massachusetts126 no crea nuevos derechos de intimidad significativos para los empleados127 : “Una persona tendrá derecho a no ser objeto de una injerencia irrazonable, sustancial o grave en su vida privada “128. Cuando los tribunales han interpretado la ley en el contexto del lugar de trabajo, han utilizado una prueba de equilibrio que trata de “equilibrar el interés comercial legítimo del empleador en la obtención y publicación de la información con el carácter sustancial de la intrusión en la vida privada del empleado resultante de la divulgación “129.

2. Cámaras de CCTV
No existe una protección explícita en la ley federal de los Estados Unidos que proteja a los empleados contra el uso de cámaras de CCTV con fines de vigilancia, a menos que los empleados participen en “actividades concertadas protegidas” como las reuniones sindicales. El artículo 7 de la Ley Nacional de Relaciones Laborales protege el “derecho de los trabajadores a organizarse, formar, unirse o ayudar a organizaciones laborales, negociar colectivamente a través de representantes de su propia elección y participar en otras actividades concertadas con el fin de negociar colectivamente u otra ayuda o protección mutua”.130 Los empleadores que vigilan las actividades de organización sindical pueden enfrentarse a denuncias de que han tratado de intimidar o disuadir a los empleados de ejercer sus derechos federales.131

Los empleadores que buscan monitorear el desempeño de los empleados a través del uso de cámaras de vigilancia ocultas deben avisar a los sindicatos antes de instalar las cámaras en el lugar de trabajo.

Otros Elementos

Además, los empleadores deben dar la oportunidad de negociar y negociar sobre esta acción. (Tal vez sea de interés más investigación sobre el concepto). Hay límites clave para las protecciones de los trabajadores bajo la Ley Nacional de Relaciones Laborales.Entre las Líneas En particular, la ley no se aplica a nadie que esté empleado por el gobierno federal, estatal o local, a los trabajadores agrícolas, a cualquiera que esté empleado como supervisor, a los empleados de ferrocarriles y aerolíneas, y a los empleados de minoristas cuyo volumen bruto anual sea inferior a $500,000.132

3. Compartir la información de los empleados publicada en los medios sociales en el contexto disciplinario
La vigilancia por parte de los empleadores de la actividad de los empleados en las redes sociales puede entrar en conflicto con la Ley de comunicaciones almacenadas (SCA)133, con los reglamentos estatales, así como desencadenar la responsabilidad en el marco de una reclamación por invasión de la privacidad en el derecho anglosajón134 .

Puntualización

Sin embargo, no protege las comunicaciones electrónicas que están fácilmente disponibles para el público o que han sido divulgadas por un usuario autorizado de la cuenta136 . Los empleados que comparten información sobre sus empleadores en plataformas de medios sociales como Facebook con otros empleados no pueden recuperar los daños si sus compañeros “amigos” de Facebook comparten esa información con sus supervisores.Entre las Líneas En Ehling c. Monmouth-Ocean Hospital Service Corp., el Tribunal denegó el amparo a la demandante que fue despedida basándose en el contenido de sus publicaciones en Facebook137 . Aunque el Tribunal sostuvo que las publicaciones privadas en Facebook entran dentro de las protecciones del SCA, el empleador había obtenido legalmente acceso a las publicaciones de otro “usuario autorizado”, un compañero de trabajo y “amigo” de la demandante en Facebook138 . Dado que la demandante autorizó a su compañero de trabajo a acceder a su muro de Facebook como su “amigo” de Facebook, cuando el compañero de trabajo de la demandante compartió la información con su empleador, el acceso obtenido por el empleador quedó comprendido en la excepción de “acceso autorizado” al SCA139 .

Los empleadores que obtienen acceso no autorizado a las cuentas de los empleados y utilizan ese acceso para disciplinar o despedir a los empleados corren el riesgo de incurrir en responsabilidad civil en virtud del Subcomité 140. Incluso en los casos en que el empleador obtiene material mediante el acceso autorizado a esas cuentas, los empleadores deben tener cuidado de no “infringir innecesariamente los derechos de los empleados en virtud del artículo 7 de la Ley nacional de relaciones laborales de quejarse de las condiciones de empleo “141.

Puntualización

Sin embargo, el artículo 7 no protege a los empleados cuyos puestos afecten negativamente a la imagen de la empresa, siempre que el empleador haya obtenido legalmente acceso a esos puestos142.Entre las Líneas En lo que respecta a los blogs, en varios casos se ha dictaminado que un empleador que obtiene acceso no autorizado al blog protegido con contraseña de un empleado -y castiga o despide al empleado por el contenido que aparece en ese blog- puede violar el Acuerdo de salvaguardias especiales y, si se le considera responsable, se le podría exigir el pago de daños y perjuicios al empleado agraviado143 .

Otra cuestión clave con respecto a la privacidad de las cuentas de los empleados en los medios sociales es si los empleadores pueden obligar a los empleados o posibles empleados a revelar sus contraseñas para permitir que el empleador supervise esas cuentas. Desde 2012, veinticinco estados han promulgado leyes que impiden que los empleadores obliguen a los empleados a revelar sus contraseñas144 . Dieciséis estados han aprobado leyes que prohíben a las instituciones educativas exigir a los estudiantes que revelen sus contraseñas145 . Un estado, Wisconsin, prohíbe a los propietarios exigir a los inquilinos que compartan sus contraseñas146 .

Datos verificados por: Conrad
[sc name=”derecho-comparado”][/sc] [sc name=”derecho-constitucional-comparado”][/sc]

Recursos

[rtbs name=”informes-jurídicos-y-sectoriales”][rtbs name=”quieres-escribir-tu-libro”]

Véase También

▷ Esperamos que haya sido de utilidad. Si conoce a alguien que pueda estar interesado en este tema, por favor comparta con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.