Protección de Datos Personales en América

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre “Protección de Datos Personales en América”. Véase asimismo información respecto a la “Protección de Datos en América“.

Protección de Datos en América

Otras protecciones para los datos personales de los empleados transmitidos o almacenados electrónicamente

Además de la protección de la SCA contra el acceso no autorizado a los puestos de los medios sociales de los empleados, varios estatutos federales exigen que los empleadores protejan una variedad de diferentes tipos de datos. Entre ellos figura la obligación de proteger los registros médicos en virtud de la HIPAA, así como los diversos requisitos previstos en la Ley de licencias médicas y familiares (FMLA), la Ley de no discriminación en materia de información genética (GINA), la Ley sobre los estadounidenses con discapacidades (ADAAA) y otras leyes que protegen específicamente la información de identificación personal, como la Ley de transacciones crediticias justas y precisas. De conformidad con esta legislación, los empleadores deben mantener la información sobre la condición médica, la genética, la discapacidad, las adaptaciones razonables y los resultados positivos de las pruebas de detección de drogas de un empleado en un archivo electrónico o físico separado, confidencial y seguro, y divulgarla sólo a quienes dentro de la empresa necesiten conocer la información.

Obligaciones de notificación de violación de datos

A pesar de los esfuerzos por aprobar legislación a nivel federal que obligue a establecer procedimientos de notificación en todos los sectores industriales, la única legislación federal aplicable hasta la fecha es la legislación específica de los sectores del crédito, los servicios financieros, la atención de la salud, el gobierno, los valores y la Internet. Las diversas leyes específicas de cada sector contienen disposiciones sobre la seguridad de la información destinadas a proteger la información de identificación personal o la información personal confidencial contra la divulgación, la adquisición o el acceso no autorizados.

Las principales leyes de derechos de privacidad

Las principales leyes de derechos de privacidad que contienen disposiciones sobre la violación se examinan aquí y en otras partes de esta plataforma digital. Véase también detalles sobre la legislación sobre derechos de privacidad con disposiciones de incumplimiento.

Ley HITECH

La ley sobre la tecnología de la información sanitaria para la salud económica y clínica (Ley HITECH) (Pub. L. 111-5) (2009) requiere que las empresas basadas en la web notifiquen a los consumidores cuando se viole la seguridad de su información médica electrónica. Se aplica tanto a los proveedores de historiales médicos personales, que proporcionan sistemas de mantenimiento de registros en línea que los consumidores pueden utilizar para rastrear sus historiales médicos, como a las entidades que ofrecen aplicaciones de terceros para historiales médicos personales.

Ley de Privacidad de 1974

“Salvaguardar y responder a la violación de la información de identificación personal” (Memorándum OMB M-07-16). En relación a las obligaciones de las Agencias del gobierno federal, la Ley Federal de Gestión de la Seguridad de la Información de 2002 (FISMA) y la Ley de Privacidad de 1974 requieren que las agencias federales implementen una política de notificación de infracciones para salvaguardar la “información de identificación personal”.

Pormenores

Las agencias deben reportar todos los incidentes que involucren información de identificación personal dentro de la hora de descubrimiento/detección. (Tal vez sea de interés más investigación sobre el concepto). Tras la detección de una infracción, los organismos deben notificar a las partes afectadas sin demora injustificada, a menos que las autoridades encargadas de hacer cumplir la ley, la seguridad nacional o las necesidades del organismo permitan una demora .

Ley de Seguridad de la Información de Asuntos de Veteranos

Departamento de Asuntos de Veteranos 38 U.S.C. §§ 5724 y 5727

En caso de “violación de datos” de información personal delicada procesada o conservada por el Secretario de Asuntos de los Veteranos (VA), el Secretario debe asegurarse de que una entidad no perteneciente al VA o el Inspector General del VA lleven a cabo un análisis de riesgo independiente de la violación de datos para determinar el nivel de riesgo asociado (véase qué es, su concepto jurídico; y también su definición como “associate” en derecho anglo-sajón, en inglés) a la misma.

Ley de modernización de los servicios financieros

Ley Gramm-Leach-Bliley) Instituciones dedicadas a la industria de los servicios financieros

Respecto a la norma § 501(b) de la Ley Gramm-Leach-Bliley (GLB), cuando se produce una infracción, la institución debe llevar a cabo una investigación para determinar la probabilidad de que la información ha sido o será utilizada de forma indebida. Si se ha producido un uso indebido o es razonablemente posible, la institución debe notificar al cliente afectado lo antes posible, salvo en los casos en que los organismos encargados de hacer cumplir la ley determinen que la notificación interferirá con una investigación penal159.

Ley de Informes de Crédito Justos Negocios minoristas

Ley de Informes de Crédito Justos Negocios minoristas, 15 U.S.C. § 1681

El FACTA incluye un requisito de “truncamiento” que se aplica a cualquiera que acepte tarjetas de crédito o débito como forma de pago. Según este requisito, la entidad comercial no puede imprimir un recibo que contenga más de los cinco últimos dígitos del número de la tarjeta ni imprimir la fecha de caducidad de la tarjeta en ningún recibo que se le entregue al cliente en el momento de la transacción. (Tal vez sea de interés más investigación sobre el concepto). Las transacciones en las que el consumidor introduce el número de cuenta a mano o la empresa utiliza una impresión de la tarjeta no están sujetas a este requisito.Entre las Líneas En virtud de las disposiciones de la Ley, toda persona que viole negligentemente el requisito de truncamiento podrá ser obligada a pagar los daños y perjuicios reales y los honorarios de los abogados. Véase 15 U.S.C. §§ 1681o(a), 1681n(a)). Cuando se sospecha un robo de identidad, la agencia de informes crediticios debe incluir una alerta de fraude en el archivo de ese consumidor, y también proporcionar esa alerta junto con cualquier puntuación crediticia generada.

Los consumidores tienen derecho a recibir gratuitamente informes de crédito anuales de los principales organismos de información crediticia. La Ley también exige a algunos bancos y otras instituciones financieras que revelen información sobre informes de crédito a sus consumidores y que elaboren programas para prevenir y mitigar el robo de identidad.

Protección de datos en el sector de las comunicaciones electrónicas

La principal legislación federal que regula la privacidad de las comunicaciones electrónicas es la Ley de privacidad de las comunicaciones electrónicas (ECPA) de 1986. La ECPA actualizó la Ley federal de escuchas telefónicas de 1968, que “abordaba la interceptación de conversaciones mediante líneas telefónicas “duras”, pero no se aplicaba a la interceptación de comunicaciones informáticas y otras comunicaciones digitales y electrónicas”. La ECPA regula la interceptación de tres tipos de comunicaciones:

• comunicaciones por cable (Por “comunicación por hilo” se entiende toda transferencia auditiva efectuada en su totalidad o en parte mediante la utilización de medios para la transmisión de comunicaciones por hilo, cable u otra conexión análoga entre el punto de origen y el punto de recepción (incluida la utilización de esa conexión en una estación de conmutación) proporcionada o explotada por cualquier persona que se dedique a proporcionar o explotar esos medios para la transmisión de comunicaciones interestatales o extranjeras o comunicaciones que afecten al comercio interestatal o exterior),
• comunicaciones orales (Las “comunicaciones orales” suelen interceptarse mediante micrófonos u otros dispositivos de grabación y transmisión y consisten en “cualquier comunicación oral pronunciada por una persona que demuestre la expectativa de que esa comunicación no está sujeta a interceptación en circunstancias que justifiquen esa expectativa, pero ese término no incluye ninguna comunicación electrónica”. Véase § 2510(2)) y comunicaciones electrónicas.

Respecto a este último punto, por “comunicación electrónica” se entenderá toda transferencia de signos, señales, escritos, imágenes, sonidos, datos o inteligencia de cualquier índole transmitidos en su totalidad o en parte por un cable, un sistema radioeléctrico, electromagnético, fotoelectrónico o fotoóptico que afecte al comercio interestatal o exterior, pero no incluye:

• cualquier comunicación por cable o verbal;
• cualquier comunicación realizada a través de un dispositivo de paginación de sólo tono;
• cualquier comunicación desde un dispositivo de rastreo (como se define en la sección 3117 de este título); o
• la información sobre transferencias electrónicas de fondos almacenada por una institución financiera en un sistema de comunicaciones utilizado para el almacenamiento y la transferencia electrónica de fondos.

En su forma enmendada, la ECPA no sólo protege las comunicaciones por cable, orales y electrónicas mientras esas comunicaciones se realizan y están en tránsito, sino también cuando se almacenan en las computadoras. Por ejemplo, la ECPA otorga una mayor protección de la privacidad al contenido de los mensajes de correo electrónico almacenados que a la información básica de los suscriptores.Entre las Líneas En algunos aspectos, estos niveles de protección siguen la línea de la jurisprudencia establecida en la Cuarta Enmienda.

Lamentablemente, los intentos de invocar las disposiciones de la Ley de prevención del delito de terrorismo en virtud del Título I (Ley de escuchas telefónicas) o del Título II (Ley de comunicaciones almacenadas) para restringir el uso de información personal por parte de entidades comerciales suelen fracasar porque la Ley de prevención del delito de terrorismo no se aplica en los casos de consentimiento del usuario.Entre las Líneas En Campbell c (se puede analizar algunas de estas cuestiones en la presente plataforma online de ciencias sociales y humanidades). Facebook Inc., un tribunal federal de distrito de California sostuvo que la notificación de Facebook a los consumidores de que podría utilizar la información para el análisis de datos era insuficiente para permitir a la empresa escanear los mensajes privados de los usuarios a fin de orientar la publicidad dirigida.

Protección de datos e investigación forense digital

Interceptación de datos de comunicación

Ley de privacidad de las comunicaciones electrónicas de 1986 (ECPA)

Desde la promulgación original de la ECPA, el Congreso ha tratado de mantener el ritmo de la rápida evolución de la tecnología y las amenazas a la seguridad de la nación aclarando y actualizando la ECPA. Algunas de esas actualizaciones, en particular la Ley Patriota de los Estados Unidos, han atenuado las restricciones a la capacidad de las fuerzas del orden de acceder a las comunicaciones almacenadas. En particular, en el caso Doe c. Ashcroft, un tribunal federal de distrito sostuvo que el artículo 2709 de la Ley Patriota violaba la Primera Enmienda, ya que permitía al FBI utilizar Cartas de Seguridad Nacional para obtener los registros de los clientes de los proveedores de servicios de Internet sin dar al proveedor de servicios de Internet un vehículo para impugnar la solicitud.

Lamentablemente, a pesar del nombre de la Ley, la Ley de protección del consumidor permite al Gobierno solicitar diariamente y con relativa facilidad información recogida por proveedores de telefonía móvil, motores de búsqueda, sitios de redes sociales y otros sitios web. El Título I, que se aplica a las comunicaciones por cable, orales y electrónicas mientras están en tránsito, ofrece el nivel más alto de protección. El Título II o Ley de comunicaciones almacenadas se aplica a las comunicaciones almacenadas por los proveedores de servicios y a los registros sobre el abonado, como el nombre del abonado, los registros de facturación y las direcciones de los proveedores de servicios de Internet.

Además del Título I de la ECPA, la Ley de asistencia en materia de comunicaciones para la aplicación de la ley de 1994 (CALEA) también tiene por objeto regular la interceptación de las comunicaciones electrónicas. Esta Ley exige a los operadores de telecomunicaciones que rediseñen sus arquitecturas de red para facilitar al gobierno la intervención de las llamadas telefónicas digitales Para cumplir con la ley CALEA, los proveedores de comunicaciones deben ser “capaces de aislar todas las comunicaciones electrónicas y por cable a y desde cualquier cuenta que sea objeto de la aplicación de la ley e identificar los números o cuentas con los que el destinatario se ha comunicado “. Si bien la legislación exige que los operadores diseñen sus redes de manera que protejan “la privacidad y la seguridad de las comunicaciones y la información de identificación de llamadas que no esté autorizada para ser interceptada “, los críticos de CALEA sostienen que la Ley, y su continua expansión, es una violación masiva de los derechos de los usuarios.

Preservación y acceso a los datos informáticos alojados en un sistema informático

La Ley de comunicaciones almacenadas establece los procedimientos que deben seguir los agentes gubernamentales para obtener los registros de las comunicaciones y el contenido de las comunicaciones electrónicas o por cable. De conformidad con el 18 U.S.C. § 2703, la Ley exige que el Gobierno obtenga una orden judicial o una autorización para acceder a los datos de los clientes que obran en poder de los proveedores de servicios de Internet. En el caso de los primeros, el gobierno debe obtener una orden judicial respaldada por una causa probable para obtener los datos. Para obtener comunicaciones almacenadas durante más de 180 días, el gobierno sólo tiene que dar aviso previo al abonado y cumplir la norma mencionada anteriormente, demostrando que existen “motivos razonables” para creer que las comunicaciones son pertinentes para una investigación penal en curso.Entre las Líneas En el caso de que el gobierno opte por no dar aviso previo al abonado, deberá obtener una orden judicial.

Además, cuando un proveedor de servicios públicos de comunicación electrónica (SCE) o un proveedor de servicios públicos de computación a distancia (SPR) descubre inadvertidamente información relativa a la comisión de un delito, el proveedor puede revelar la información directamente al gobierno en una situación en la que el proveedor crea de buena fe que una emergencia “que implique un peligro de muerte o de lesiones físicas graves para cualquier persona requiere la divulgación”.

Registro de la pluma y dispositivos de trampa y rastreo

El Título III, que se aplica a la utilización de dispositivos de registro de pluma y de trampas y rastreo que registran la información de marcación, enrutamiento, señalización y señalamiento utilizada en el proceso de transmisión de comunicaciones alámbricas o electrónicas, exige que los organismos encargados de hacer cumplir la ley obtengan una orden judicial ex parte antes de instalar un dispositivo para obtener esa información. Para obtener una orden judicial de instalación de un registro de plumas y dispositivos de captura y rastreo, el gobierno sólo debe demostrar que “la información que probablemente se obtenga por dicha instalación y uso es pertinente para una investigación penal en curso”. Obviamente, esta norma ofrece el nivel más bajo de protección de la privacidad entre los tres títulos de la ECPA.

El Título III permite a los funcionarios gubernamentales interceptar las comunicaciones por cable o electrónicas de las personas que “traspasan” las computadoras protegidas si:

• el propietario u operador de la computadora protegida autoriza la interceptación de las comunicaciones del intruso en la computadora protegida;
• la persona que actúa con color de la ley participa legalmente en una investigación;
• la persona que actúa con color de la ley tiene motivos razonables para creer que el contenido de las comunicaciones del intruso en la computadora será pertinente para la investigación; y
• dicha interceptación no adquiere comunicaciones distintas de las transmitidas hacia o desde el intruso en la computadora.

El Título III abre la puerta a las sanciones penales en tres circunstancias.Entre las Líneas En primer lugar, de conformidad con el artículo 18 U.S.C. § 2511 1) c), podrá ser castigado quien intencionalmente “revele o trate de revelar a otra persona el contenido de cualquier comunicación por cable, oral o electrónica que tenga motivos para saber que la información se obtuvo mediante la interceptación de una comunicación por cable, oral o electrónica”.Entre las Líneas En segundo lugar, es un delito federal revelar, “con la intención de obstruir la justicia penal, cualquier información derivada de escuchas telefónicas o escuchas electrónicas lícitas por parte de la policía “.

Detalles

Por último, la tercera proscripción contra la revelación se aplica a los proveedores de servicios de comunicaciones electrónicas “que divulguen intencionadamente el contenido de la comunicación durante su transmisión” a cualquier persona que no sea el remitente y el destinatario previsto. Las personas o entidades que violen estas disposiciones pueden incurrir en responsabilidad penal en virtud de la prohibición general de divulgación, 18 U.S.C. § 2511 1) c), y responsabilidad civil en virtud de 18 U.S.C. § 2520.

Retención de datos: Preservación de documentos digitales en el contexto de litigios

Los abogados y sus clientes tienen desde hace mucho tiempo el deber jurídico de adoptar medidas razonables para impedir la destrucción intencional o por negligencia de pruebas que puedan utilizarse como prueba en futuros litigios. Mucho antes de los albores de la era digital y de la creación de pruebas electrónicas, los tribunales estadounidenses tenían la facultad de declarar en desacato a las partes que se consideraba que interferían en el proceso judicial.

Puntualización

Sin embargo, no fue sino hasta que el Congreso aprobó la Ley Sarbanes-Oxley, que hubo un estatuto federal específico que prohibía la destrucción de documentos. Concretamente, en 18 U.S.C. § 1519 se tipifica como delito toda destrucción “a sabiendas” de documentos con la intención de obstaculizar una investigación “contemplada”. Esta prohibición de expoliación se extiende ahora a la conservación de pruebas electrónicas. Dado que las violaciones de las leyes civiles pueden a veces dar lugar a un enjuiciamiento penal, una vez que un cliente empresarial es notificado de una posible investigación penal, tiene el deber de conservar las pruebas digitales. De conformidad con 18 U.S.C. § 1519, es un delito para “alterar, destruir, mutilar, ocultar, encubrir, falsificar, a sabiendas, en cualquier registro, documento u objeto tangible con la intención de impedir, obstruir o influenciar la investigación o la administración apropiada de cualquier asunto con administración de cualquier asunto dentro de la jurisdicción de cualquier departamento u organismo de los Estados Unidos o cualquier caso presentado en virtud del Título 11, o en relación con o la contemplación de cualquier asunto o caso de ese tipo.”

Aunque el lenguaje de la Ley parece ser bastante amplio, en Estados Unidos c. Aguilar, el Tribunal Supremo de los Estados Unidos sostuvo que el artículo 1519 sólo se aplica a las acciones emprendidas después de que se haya iniciado efectivamente un procedimiento judicial.

El artículo 1512 b) de la Ley tiene por objeto castigar a quienes ordenen o induzcan a otros a destruir documentos pertinentes para un procedimiento. El gobierno debe probar que el acusado:

• sabía o tenía conocimiento de la probabilidad de un ‘procedimiento oficial’;
• se dedicó a sabiendas a intimidar, amenazar, persuadir de manera corrupta o engañar;
• con la intención de causar o inducir a cualquier persona a alterar o destruir documentos pertinentes para el procedimiento.

Cuando el gobierno tiene pruebas digitales que exculpan al acusado, el gobierno tiene el deber afirmativo de revelar esa información a la defensa. En algunos casos, los acusados han solicitado sin éxito al tribunal una instrucción de jurado alegando que el gobierno no preservó posibles pruebas electrónicas en un intento de anular una condena u obtener un nuevo juicio.

Protección de datos y vigilancia electrónica con fines de seguridad y defensa

Aunque la Cuarta Enmienda de la Constitución de los Estados Unidos regula las acciones de los organismos encargados de hacer cumplir la ley en las investigaciones penales, el impacto de la Enmienda en la recopilación de inteligencia extranjera está mediado por instrumentos legislativos como la Ley de vigilancia de la inteligencia extranjera (FISA). La Ley tiene por objeto facultar a las fuerzas del orden para que vigilen las amenazas a la seguridad nacional, manteniendo al mismo tiempo el secreto de esas investigaciones. Si bien los tribunales estadounidenses han elaborado una amplia jurisprudencia en el marco de la Cuarta Enmienda que trata de equilibrar los intereses de la privacidad con el interés de las fuerzas del orden en la investigación de delitos, cuando están en juego los intereses de la seguridad nacional, el Congreso ha tratado de equilibrar esos intereses mediante la Ley FISA y la legislación posterior. Habida cuenta de la posterior ampliación del alcance de la FISA, parece irónico que ésta haya nacido después de que el Church Committee denunciara el espionaje interno incontrolado de la Oficina Federal de Investigaciones (FBI) y la Agencia Central de Inteligencia (CIA).

En su versión enmendada, FISA establece un marco de normas y procedimientos para el uso de la vigilancia electrónica por parte del gobierno, las búsquedas físicas, los registros comerciales, así como los registros con bolígrafo y los dispositivos de captura y rastreo. El tribunal se reúne en secreto y principalmente lleva a cabo procedimientos ex parte para examinar las solicitudes de autorización de las solicitudes de vigilancia. Si bien el gobierno debe establecer que existe una causa probable de que la parte objeto de la vigilancia sea una “potencia extranjera” o un “agente de una potencia extranjera”, no es necesario que el gobierno demuestre que el agente está involucrado en una actividad delictiva.

Puntualización

Sin embargo, si la persona a la que se apunta es un ciudadano estadounidense, el gobierno debe establecer un caso probable de que las actividades de la persona “pueden” o “están a punto” de implicar una violación penal.

En los casos en que el Fiscal General certifique que no hay “ninguna probabilidad sustancial de que la vigilancia adquiera el contenido de cualquier comunicación en la que un estadounidense sea parte” y que la vigilancia se dirige únicamente a comunicaciones entre potencias extranjeras o entre ellas, o a “la adquisición de inteligencia técnica… de propiedades o locales bajo el control abierto y exclusivo de una potencia extranjera”, el Presidente podrá autorizar la vigilancia electrónica para adquirir información de inteligencia extranjera por períodos de hasta un año sin una orden judicial de la FISC2.

La Ley Patriota de los EE.UU.

Tras los ataques del 11-S, el uso de los poderes de la FISA por parte del gobierno federal aumentó drásticamente. Entre las disposiciones de la ley hay varias que impactaron o modificaron la FISA.Entre las Líneas En particular, el artículo 215 de la Ley Patriótica amplió la capacidad del gobierno para obtener registros comerciales en poder de terceros. Antes de la Ley Patriota, el FBI podía solicitar al tribunal de la FISA que obtuviera una orden para exigir a terceros que entregaran los registros comerciales de empresas de transporte, hoteles y moteles, agencias de alquiler de automóviles y camiones e instalaciones de alquiler de almacenamiento si el gobierno certificaba que los registros se buscaban para una investigación de inteligencia extranjera o de terrorismo internacional que estaba llevando a cabo el FBI y que tenía “specific y hechos articulables que daban motivos para creer” que el sujeto de los registros era una potencia extranjera o un agente de una potencia extranjera.

El artículo 215 de la Ley Patriótica enmendaba el artículo 501 de la Ley FISA y ampliaba en gran medida los tipos de registros que el gobierno podía obtener, al tiempo que suavizaba el requisito de que la investigación estuviera conectada a una potencia extranjera o a su agente siempre que la información no se refiriera a personas de los Estados Unidos. De manera crítica, en lugar de obtener órdenes judiciales individualizadas, el gobierno comenzó a obtener órdenes de FISA para permitir la recolección masiva de “metadatos de telefonía” de las empresas de telecomunicaciones en virtud de la autoridad de registro y rastreo de plumas de FISA y los estatutos de la Carta de Seguridad Nacional (NSL).

En virtud de las disposiciones de varios instrumentos legislativos, el FBI tenía derecho a exigir a las organizaciones pertinentes que produjeran registros de telecomunicaciones, registros financieros, registros de crédito, así como informes de consumidores cuando esa información fuera pertinente para la reunión de inteligencia extranjera o para fines de una investigación sobre terrorismo sin que se demostrara una causa probable. Por ejemplo, entre 2003 y 2006, el Inspector General del Departamento de Justicia ha informado de que el FBI emitió casi 200.000 NSL. Aunque el programa de recopilación de metadatos funcionó sin demasiada fanfarria durante años, eso cambió cuando Edward Snowden dio a conocer la existencia del programa en 2013. Dos años después de las divulgaciones de Snowden, el Congreso decidió prohibir la recolección masiva de metadatos mediante la promulgación de la Ley de Libertad de los Estados Unidos de América de 2015.

La Ley de libertad de los Estados Unidos de América de 2015

La Ley de libertad de los Estados Unidos prohibió la recopilación masiva por la NSA de metadatos de llamadas y registros telefónicos de los Estados Unidos, que antes estaba permitida en virtud del artículo 215 de la Ley Patriota.Entre las Líneas En lugar de permitir la recopilación masiva de datos por parte del gobierno, la Ley exige que las solicitudes gubernamentales de registros de llamadas se basen en un “término de selección específico” (SST) que “identifique específicamente a una persona, una cuenta, una dirección o un dispositivo personal” de manera que “limite, en la mayor medida que sea razonablemente posible, el alcance de las cosas tangibles buscadas de manera coherente con el propósito de buscar las cosas tangibles”. En particular, la Ley eliminó la presunción de pertinencia para la producción de información e impidió la producción para meras evaluaciones de amenazas.

Para solicitar registros basados en el primer grado de separación (salto) de un término de selección específico, el gobierno debe tener:

• “motivos razonables para creer que los registros de detalles de la convocatoria que se pretende producir sobre la base de [un] término de selección específico … son pertinentes para una investigación [autorizada]”, y
• “una sospecha razonable y articulable” de que el término de selección está “asociado con una potencia extranjera que participa en el terrorismo internacional o en actividades de preparación de éste, o con un agente de una potencia extranjera que participa en el terrorismo internacional o en actividades de preparación de éste”.

Otras disposiciones de la Ley incluyen requisitos de minimización en el uso de la tecnología prohibiendo la retención de información que no pertenezca al objetivo de la búsqueda. La Ley ordena la “pronta destrucción de todos los registros de detalles de llamadas” que se determine que no son “información de inteligencia extranjera”.

Otros Elementos

Además, la Ley otorga a los jueces de los tribunales de la FISA la facultad de “imponer procedimientos adicionales y particularizados de minimización” con respecto a cualquier “información no disponible para el público relativa a personas de los Estados Unidos que no hayan dado su consentimiento”.

Detalles

Por último, la Ley también trata de adoptar medidas para aumentar la transparencia de la vigilancia gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) exigiendo la publicación anual del número de órdenes solicitadas y concedidas, así como el número de personas de los Estados Unidos que fueron objeto de esas órdenes.

Asistencia forzada al gobierno para evitar la seguridad de la contraseña

Un tema interesante sobre la seguridad de las contraseñas es si las empresas privadas como Apple deben ayudar al gobierno a evitar el sistema de seguridad de un teléfono móvil. Dos casos recientes de privacidad en las comunicaciones electrónicas involucran el intento del gobierno de obligar a Apple, Inc. a ayudar a los investigadores a evadir la seguridad de la contraseña del iPhone.Entre las Líneas En el primer caso, en el caso “In re Apple, Inc.”, un tribunal federal de distrito denegó la solicitud del gobierno de una orden judicial que habría obligado a Apple a pasar por alto la seguridad de la contraseña del teléfono.Entre las Líneas En ese caso, el gobierno estaba tratando de obtener datos de un teléfono móvil incautado en una búsqueda relacionada con una investigación de drogas.

El segundo caso, en “re Search iPhone de Apple”, el gobierno trató de obligar a Apple a desactivar la función de cifrado del teléfono que borra automáticamente los datos del teléfono después de que un usuario introduce una contraseña incorrecta diez veces consecutivas. Este caso recibió mucha publicidad porque el iPhone pertenecía a Syed Farook, un terrorista doméstico que conspiró con su esposa para matar a catorce personas en una instalación del gobierno en San Bernardino, California, en diciembre de 2015. Aunque el juez federal de primera instancia concedió inicialmente la solicitud ex parte del gobierno, Apple presentó entonces una moción para anular la orden y oponerse a la moción del gobierno de obligar a la asistencia. Apple argumentó que la creación de una puerta trasera para dispositivos como el iPhone haría que el dispositivo fuera vulnerable a las infracciones de otros actores. Mientras Apple luchaba contra la orden del tribunal, el Departamento de Justicia contrató a un tercero que irrumpió con éxito en el teléfono haciendo que el asunto fuera discutible.

Remedios y sanciones

Dado que los Estados Unidos carecen de una ley primordial de protección de datos, los posibles remedios y sanciones disponibles se encuentran en la legislación específica del sector que se ha descrito anteriormente. El principal organismo de aplicación de la ley es la Comisión Federal de Comercio, que está facultada para entablar acciones de aplicación de la ley en virtud del artículo 5 de la Ley de la Comisión Federal de Comercio, que se refiere a las prácticas de procesamiento de datos engañosas o injustas.

Respecto a este último punto, un acto o una práctica es desleal cuando:

• causa o es probable que cause un daño sustancial a los consumidores,
• no puede ser evitado razonablemente por los consumidores, y
• no es compensado por los beneficios compensatorios para los consumidores o la competencia.

Además de la FTC, la Oficina de Protección Financiera del Consumidor, el Departamento de Salud y Servicios Humanos (HHS) y los cincuenta fiscales generales de los estados tienen varios niveles de responsabilidad en la aplicación de la ley.

Ley Gramm-Leach-Bliley

Las sanciones por violaciones de la Ley Gramm-Leach-Bliley, varían según la autoridad específica del organismo que inicia la acción de aplicación de la ley. Por ejemplo, si la Comisión Federal de Comercio interpone la acción con arreglo al apartado l) del artículo 5 de la Ley FTC, las sanciones pueden llegar a ser de hasta 40.000 dólares por delito. La Ley de la Comisión Federal de Comercio no crea una causa de acción privada.

Indicaciones

En cambio, la Ley autoriza los recursos y las multas por infracciones de los decretos de consentimiento de la sección 5. La Oficina Federal de Protección Financiera del Consumidor (CFPB) puede iniciar acciones de aplicación de adjudicaciones administrativas o acciones en el tribunal federal de distrito contra personas o entidades que infrinjan las leyes financieras federales para el consumidor de conformidad con las disposiciones de la Ley de Reforma y Protección del Consumidor Dodd-Frank Wall Street.

En un nuevo desarrollo, el CFPB ha comenzado a utilizar su autoridad para regular los actos o prácticas injustos, engañosos o abusivos para entablar acciones de aplicación relacionadas con la seguridad de los datos, incluso en casos en que los consumidores no han experimentado un daño discernible. Según el CFPB, Dwolla, que recoge y almacena información personal delicada de los consumidores y proporciona una plataforma para las transacciones financieras, afirmó falsamente que sus prácticas de seguridad de datos “excedían” o “superaban” las normas de seguridad de la industria, así como afirmó falsamente que su información estaba cifrada y almacenada de forma segura.

Según los términos del decreto de consentimiento, Dwolla debe:

• pagar una multa civil de 100.000 dólares al Fondo de Sanciones Civiles del CFPB,
• dejar de tergiversar sus prácticas de seguridad de los datos y iii) capacitar adecuadamente a sus empleados y corregir cualquier deficiencia de seguridad que se encuentre en sus aplicaciones web y móviles.

En el ámbito de las acciones penales, las personas que violan la ley GLBA al obtener fraudulentamente información financiera perteneciente a otra persona pueden enfrentarse a una pena de hasta cinco años de prisión. Si la persona es condenada por este delito mientras viola otra ley de los EE.UU. o como un patrón de actividad ilegal que implica más de 100.000 dólares por año, la persona también puede enfrentarse a sanciones penales de hasta diez años de prisión y multas de hasta 500.000 dólares (individual) o 1.000.000 de dólares (empresa).

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Ley de la Comisión Federal de Comercio y Autoridad de Aplicación

Además de las acciones iniciadas en virtud de la Ley Gramm-Leach-Bliley, la FTC puede iniciar una amplia gama de acciones en virtud del apartado a) del artículo 5 de la Ley FTC para proteger la privacidad y la información personal de los consumidores. La Comisión Federal de Comercio está facultada para presentar reclamaciones en virtud de la Ley de la Comisión Federal de Comercio (FTC), 15 U.S.C.A. § 45(a), en el contexto de la divulgación de datos. A primera vista, puede parecer un poco exagerado ajustar las reclamaciones relacionadas con las violaciones de los datos y la seguridad en el marco del amplio mandato de la FTC de proteger a los consumidores contra las prácticas comerciales desleales.

Puntualización

Sin embargo, en el caso F.T.C. c. Wyndham Worldwide Corp., el Tribunal de Apelación del Tercer Circuito confirmó una decisión de un tribunal inferior en la que se sostenía que la Comisión Federal de Comercio estaba facultada para regular las prácticas de seguridad de los datos en virtud de la cláusula de injusticia del artículo 45 a) del título 15 del Código de los Estados Unidos.Entre las Líneas En particular, el Tercer Circuito rechazó el argumento de Wyndham de que la legislación posterior del Congreso, incluida la Ley Gramm-Leach-Bliley, la Ley de información crediticia equitativa y la Ley de protección de la intimidad de los niños en línea, podía interpretarse en el sentido de que excluía la seguridad cibernética de la competencia de la Comisión Federal de Comercio. La Comisión Federal de Comercio también puede obtener sanciones monetarias civiles por violaciones de la Ley de Protección de la Privacidad de los Niños en Internet, la Ley de Información Crediticia Equitativa y la Regla de Ventas Telefónicas.

Si la Comisión Federal de Comercio cree que una persona o empresa ha violado la ley, el primer paso del organismo suele ser obtener el cumplimiento voluntario mediante la firma de una orden de consentimiento con la empresa. Una empresa que firma una orden de consentimiento no tiene por qué admitir su responsabilidad, pero debe convenir en poner fin a las prácticas objeto de controversia, consentir la entrada de una orden definitiva y renunciar a sus derechos a una revisión judicial. Antes de que una orden sea definitiva, la Comisión Federal de Comercio (FTC) hará constar en acta una orden durante treinta días de comentarios públicos. Mediante sus facultades administrativas, la FTC puede exigir a las empresas que apliquen programas integrales de privacidad y seguridad, que se sometan a evaluaciones bienales por parte de expertos independientes, que ofrezcan reparación monetaria a los consumidores, que devuelvan las ganancias obtenidas por medios ilícitos, que eliminen la información de los consumidores obtenida ilegalmente y que apliquen mecanismos sólidos de transparencia y elección a los consumidores.

En ausencia de una orden de consentimiento, la FTC puede iniciar una queja administrativa.

Informaciones

Los demandados pueden apelar las decisiones tomadas por un juez de derecho administrativo ante la Comisión. (Tal vez sea de interés más investigación sobre el concepto). La decisión de la Comisión puede apelarse ante un Tribunal de Apelaciones de los Estados Unidos y, en última instancia, ante la Corte Suprema. Como alternativa a la búsqueda de medidas administrativas, la FTC puede solicitar medidas cautelares en los tribunales federales.

Otros Elementos

Además, si la empresa infringe una orden de la FTC, la Comisión también puede solicitar sanciones civiles o un mandamiento judicial.

HIPAA

La Ley de Transferibilidad y Responsabilidad del Seguro Médico de 1996 autoriza al Departamento de Salud y Servicios Humanos de los Estados Unidos a imponer sanciones civiles a toda persona que infrinja las normas de privacidad de la HIPAA, por un monto de entre 100 y 50.000 dólares por infracción, con un total de 25.000 a 1,5 millones de dólares por todas las infracciones de un solo requisito en un año civil de hasta 1,5 millones de dólares a las entidades cubiertas (EC) que se determine que han infringido las normas de la HIPAA.

Como la mayoría de las leyes de protección de datos de los EE.UU., la HIPAA es específica para cada dominio. Las normas protegen la “información de salud identificable individualmente” en poder de las entidades de atención de la salud. Dado que la HIPAA se dirige a las entidades de atención de la salud y a una estrecha clase de empresas que contratan con entidades de atención de la salud, en lugar de a todas las personas y empresas que manejan datos de atención de la salud, “la mayoría de los datos de atención de la salud controlados o procesados por personas ajenas al entorno tradicional de atención de la salud no estarán sujetos a las normas de la HIPAA”.

Las penas impuestas a los infractores de la Ley HIPAA se basan en el nivel de negligencia. Mientras que la Oficina de Derechos Civiles (OCS) dentro del HHS investiga las infracciones civiles, el Departamento de Justicia es responsable de llevar a cabo las acciones penales en virtud de la Ley. Las sanciones penales pueden ir desde una multa de hasta 50.000 dólares y el encarcelamiento de hasta un año para las entidades y personas que “a sabiendas” obtengan o revelen información de salud identificable individualmente.Entre las Líneas En el extremo superior del espectro de sanciones se encuentran los delitos cometidos con la intención de vender, transferir o utilizar información de salud identificable individualmente para obtener ventajas comerciales, beneficios personales o daños dolosos. Las condenas en virtud de esas disposiciones pueden dar lugar a multas de hasta 250.000 dólares y a penas de prisión de hasta diez años.

Litigio civil de consumidores

Los consumidores que han sido víctimas de una violación de datos suelen tener dificultades para presentar demandas civiles ante un tribunal federal en los casos en que no pueden identificar ningún daño real causado por la apropiación indebida y el presunto uso indebido de los datos.Entre las Líneas En varios casos recientes de demandas colectivas por violación de la seguridad de los datos, los tribunales han sostenido que los demandantes no han alegado un daño real y reconocible derivado de una violación de la seguridad de los datos.

Otras disposiciones de aplicación penal

Existen otros estatutos federales cuya violación puede dar lugar a sanciones penales.

Normas de derecho internacional privado

Legislación de los Estados Unidos

De conformidad con el compromiso nacional de los Estados Unidos con el comercio libre y justo, los Estados Unidos no tienen muchas normas específicas que rijan la transferencia de datos fuera del país, más allá de los “principios básicos de información justa para la notificación y las prohibiciones de prácticas comerciales engañosas o injustas”. Los Estados Unidos tampoco tienen ningún requisito de localización forzosa para los servidores de datos, con la excepción de los datos utilizados por ciertos organismos gubernamentales. Por ejemplo, en 2016, el Servicio de Impuestos Internos (IRS) emitió directrices de seguridad que requieren que las agencias federales “restrinjan la ubicación de los sistemas de información que reciben, procesan, almacenan o transmiten [información de impuestos federales] a áreas dentro de los territorios de los Estados Unidos, embajadas o instalaciones militares”.

Las organizaciones extranjeras que operan en los Estados Unidos se consideran partes responsables según la ley estadounidense siempre que la organización satisfaga los requisitos jurisdiccionales estadounidenses. Las organizaciones extranjeras pueden estar sujetas a leyes sectoriales específicas, como las que aplican la Comisión Federal de Comercio y el Departamento de Salud y Servicios Humanos.

La Ley sobre la Web segura306 enmendó la jurisdicción de la FTC en virtud del apartado a) del artículo 5 de la Ley de la FTC para regular los “actos o prácticas desleales o engañosos” a fin de incluir “los actos o prácticas relacionados con el comercio exterior” que:

• causen o “puedan causar un perjuicio razonablemente previsible dentro de los Estados Unidos, o
• impliquen “una conducta material que se produzca dentro de los Estados Unidos”.

Así pues, si una organización extranjera realiza actividades de comercio interestatal en los Estados Unidos, la FTC tiene jurisdicción.

La FTC y otros organismos reguladores de los Estados Unidos mantienen que las leyes y reglamentos aplicables de los Estados Unidos siguen aplicándose a los datos después de que salen de los Estados Unidos.Entre las Líneas En particular, las entidades reguladas siguen siendo responsables de “los datos exportados fuera de los Estados Unidos, el procesamiento de datos en el extranjero por subcontratistas y los subcontratistas que utilicen las mismas protecciones (como el uso de salvaguardias de seguridad, protocolos, auditorías y disposiciones contractuales) para los datos regulados cuando salen del país”.

Otros Elementos

Además, el Departamento de Defensa exige que todos los proveedores de servicios de computación en nube que trabajan para el departamento almacenen los datos a nivel nacional.Entre las Líneas En virtud de la Ley Gramm-Bliley-Leach, una institución financiera debe divulgar su notificación de privacidad y ofrecer a la persona la oportunidad de optar por no participar en determinadas actividades de intercambio con terceros no afiliados (tanto si la transferencia se realiza dentro como fuera de los Estados Unidos).

Acuerdos internacionales

En 2016, el Departamento de Comercio de los Estados Unidos, la Comisión Europea y la administración suiza adoptaron el Marco del “Escudo de Protección de la Privacidad” con el objetivo de reforzar los derechos exigibles en relación con las transferencias de datos. El objetivo del Marco es proporcionar a las empresas “un mecanismo para cumplir con los requisitos de protección de datos al transferir datos personales”. De conformidad con el Marco, las organizaciones con sede en los Estados Unidos deben autocertificarse ante el Departamento de Comercio y comprometerse a cumplir los requisitos del Marco.

Esos requisitos incluyen:

• requisitos de manejo de datos,
• salvaguardias claras y obligaciones de transparencia en el acceso del gobierno de los Estados Unidos,
• protección efectiva de los derechos individuales, y
• un mecanismo de examen conjunto anual.

Otros Elementos

Además, de conformidad con la Ley de reparación judicial, los ciudadanos de los Estados miembros de la Unión Europea pueden entablar acciones civiles en virtud de la Ley de protección de la vida privada contra los organismos gubernamentales de los Estados Unidos por la divulgación ilícita de sus registros personales.

Datos verificados por: Conrad

Por Países

Recursos

Véase También

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.