Seguridad de Datos Personales en América

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre “Seguridad de Datos Personales en América”. Véase asimismo información respecto a la “Protección de Datos en América“.

Seguridad de Datos en América

Otras protecciones para los datos personales de los empleados transmitidos o almacenados electrónicamente

Además de la seguridad y privacidad de la SCA contra el acceso no autorizado a los puestos de los medios sociales de los empleados, varios estatutos federales exigen que los empleadores protejan una variedad de diferentes tipos de datos. Entre ellos figura la obligación de proteger los registros médicos en virtud de la HIPAA, así como los diversos requisitos previstos en la Ley de licencias médicas y familiares (FMLA), la Ley de no discriminación en materia de información genética (GINA), la Ley sobre los estadounidenses con discapacidades (ADAAA) y otras leyes que protegen específicamente la información de identificación personal, como la Ley de transacciones crediticias justas y precisas.

Obligaciones de notificación de violación de datos

Las diversas leyes específicas de cada sector contienen disposiciones sobre la seguridad de la información destinadas a proteger la información de identificación personal o la información personal confidencial contra la divulgación, la adquisición o el acceso no autorizados.

Las principales leyes de derechos de privacidad

Las principales leyes de derechos de privacidad que contienen disposiciones sobre la violación se examinan aquí y en otras partes de esta plataforma digital.

Ley HITECH

La ley sobre la tecnología de la información sanitaria para la salud económica y clínica (Ley HITECH) (Pub. L. 111-5) (2009) requiere que las empresas basadas en la web notifiquen a los consumidores cuando se viole la seguridad de su información médica electrónica. Se aplica tanto a los proveedores de historiales médicos personales, que proporcionan sistemas de mantenimiento de registros en línea que los consumidores pueden utilizar para rastrear sus historiales médicos, como a las entidades que ofrecen aplicaciones de terceros para historiales médicos personales.

Ley de Privacidad de 1974

“Salvaguardar y responder a la violación de la información de identificación personal” (Memorándum OMB M-07-16). En relación a las obligaciones de las Agencias del gobierno federal, la Ley Federal de Gestión de la Seguridad de la Información de 2002 (FISMA) y la Ley de Privacidad de 1974 requieren que las agencias federales implementen una política de notificación de infracciones para salvaguardar la “información de identificación personal”.

Pormenores

Tras la detección de una infracción, los organismos deben notificar a las partes afectadas sin demora injustificada, a menos que las autoridades encargadas de hacer cumplir la ley, la seguridad nacional o las necesidades del organismo permitan una demora .

Ley de Seguridad de la Información de Asuntos de Veteranos

Departamento de Asuntos de Veteranos 38 U.S.C. §§ 5724 y 5727

En caso de “violación de datos” de información personal delicada procesada o conservada por el Secretario de Asuntos de los Veteranos (VA), el Secretario debe asegurarse de que una entidad no perteneciente al VA o el Inspector General del VA lleven a cabo un análisis de riesgo independiente de la violación de datos para determinar el nivel de riesgo asociado (véase qué es, su concepto jurídico; y también su definición como “associate” en derecho anglo-sajón, en inglés) a la misma.

Ley de modernización de los servicios financieros

Seguridad de datos en el sector de las comunicaciones electrónicas

La principal legislación federal que regula la privacidad de las comunicaciones electrónicas es la Ley de privacidad de las comunicaciones electrónicas (ECPA) de 1986.

En su forma enmendada, la ECPA no sólo protege las comunicaciones por cable, orales y electrónicas mientras esas comunicaciones se realizan y están en tránsito, sino también cuando se almacenan en las computadoras. Por ejemplo, la ECPA otorga una mayor seguridad y privacidad de la privacidad al contenido de los mensajes de correo electrónico almacenados que a la información básica de los suscriptores.Entre las Líneas En algunos aspectos, estos niveles de seguridad y privacidad siguen la línea de la jurisprudencia establecida en la Cuarta Enmienda.

Protección de datos e investigación forense digital

Interceptación de datos de comunicación

Ley de privacidad de las comunicaciones electrónicas de 1986 (ECPA)

Desde la promulgación original de la ECPA, el Congreso ha tratado de mantener el ritmo de la rápida evolución de la tecnología y las amenazas a la seguridad de la nación aclarando y actualizando la ECPA. Algunas de esas actualizaciones, en particular la Ley Patriota de los Estados Unidos, han atenuado las restricciones a la capacidad de las fuerzas del orden de acceder a las comunicaciones almacenadas. En particular, en el caso Doe c. Ashcroft, un tribunal federal de distrito sostuvo que el artículo 2709 de la Ley Patriota violaba la Primera Enmienda, ya que permitía al FBI utilizar Cartas de Seguridad Nacional para obtener los registros de los clientes de los proveedores de servicios de Internet sin dar al proveedor de servicios de Internet un vehículo para impugnar la solicitud.

Lamentablemente, a pesar del nombre de la Ley, la Ley de seguridad y privacidad del consumidor permite al Gobierno solicitar diariamente y con relativa facilidad información recogida por proveedores de telefonía móvil, motores de búsqueda, sitios de redes sociales y otros sitios web. El Título I, que se aplica a las comunicaciones por cable, orales y electrónicas mientras están en tránsito, ofrece el nivel más alto de seguridad y privacidad. El Título II o Ley de comunicaciones almacenadas se aplica a las comunicaciones almacenadas por los proveedores de servicios y a los registros sobre el abonado, como el nombre del abonado, los registros de facturación y las direcciones de los proveedores de servicios de Internet.

Si bien la legislación exige que los operadores diseñen sus redes de manera que protejan “la privacidad y la seguridad de las comunicaciones y la información de identificación de llamadas que no esté autorizada para ser interceptada “, los críticos de CALEA sostienen que la Ley, y su continua expansión, es una violación masiva de los derechos de los usuarios.

Registro de la pluma y dispositivos de trampa y rastreo

El Título III, que se aplica a la utilización de dispositivos de registro de pluma y de trampas y rastreo que registran la información de marcación, enrutamiento, señalización y señalamiento utilizada en el proceso de transmisión de comunicaciones alámbricas o electrónicas, exige que los organismos encargados de hacer cumplir la ley obtengan una orden judicial ex parte antes de instalar un dispositivo para obtener esa información. Para obtener una orden judicial de instalación de un registro de plumas y dispositivos de captura y rastreo, el gobierno sólo debe demostrar que “la información que probablemente se obtenga por dicha instalación y uso es pertinente para una investigación penal en curso”. Obviamente, esta norma ofrece el nivel más bajo de seguridad y privacidad de la privacidad entre los tres títulos de la ECPA.

Protección de datos y vigilancia electrónica con fines de seguridad y defensa

Aunque la Cuarta Enmienda de la Constitución de los Estados Unidos regula las acciones de los organismos encargados de hacer cumplir la ley en las investigaciones penales, el impacto de la Enmienda en la recopilación de inteligencia extranjera está mediado por instrumentos legislativos como la Ley de vigilancia de la inteligencia extranjera (FISA). La Ley tiene por objeto facultar a las fuerzas del orden para que vigilen las amenazas a la seguridad nacional, manteniendo al mismo tiempo el secreto de esas investigaciones. Si bien los tribunales estadounidenses han elaborado una amplia jurisprudencia en el marco de la Cuarta Enmienda que trata de equilibrar los intereses de la privacidad con el interés de las fuerzas del orden en la investigación de delitos, cuando están en juego los intereses de la seguridad nacional, el Congreso ha tratado de equilibrar esos intereses mediante la Ley FISA y la legislación posterior. Habida cuenta de la posterior ampliación del alcance de la FISA, parece irónico que ésta haya nacido después de que el Church Committee denunciara el espionaje interno incontrolado de la Oficina Federal de Investigaciones (FBI) y la Agencia Central de Inteligencia (CIA)209 .

La Ley Patriota de los EE.UU.

El artículo 215 de la Ley Patriótica enmendaba el artículo 501 de la Ley FISA y ampliaba en gran medida los tipos de registros que el gobierno podía obtener, al tiempo que suavizaba el requisito de que la investigación estuviera conectada a una potencia extranjera o a su agente siempre que la información no se refiriera a personas de los Estados Unidos. De manera crítica, en lugar de obtener órdenes judiciales individualizadas, el gobierno comenzó a obtener órdenes de FISA para permitir la recolección masiva de “metadatos de telefonía” de las empresas de telecomunicaciones en virtud de la autoridad de registro y rastreo de plumas de FISA y los estatutos de la Carta de Seguridad Nacional (NSL).

La Ley de libertad de los Estados Unidos de América de 2015

La Ley de libertad de los Estados Unidos prohibió la recopilación masiva por la NSA de metadatos de llamadas y registros telefónicos de los Estados Unidos, que antes estaba permitida en virtud del artículo 215 de la Ley Patriota.

Para solicitar registros basados en el primer grado de separación (salto) de un término de selección específico, el gobierno debe tener:

• “motivos razonables para creer que los registros de detalles de la convocatoria que se pretende producir sobre la base de [un] término de selección específico … son pertinentes para una investigación [autorizada]”, y
• “una sospecha razonable y articulable” de que el término de selección está “asociado con una potencia extranjera que participa en el terrorismo internacional o en actividades de preparación de éste, o con un agente de una potencia extranjera que participa en el terrorismo internacional o en actividades de preparación de éste”.

Asistencia forzada al gobierno para evitar la seguridad de la contraseña

Un tema interesante sobre la seguridad de las contraseñas es si las empresas privadas como Apple deben ayudar al gobierno a evitar el sistema de seguridad de un teléfono móvil. Dos casos recientes de privacidad en las comunicaciones electrónicas involucran el intento del gobierno de obligar a Apple, Inc. a ayudar a los investigadores a evadir la seguridad de la contraseña del iPhone.Entre las Líneas En el primer caso, en el caso “In re Apple, Inc.”, un tribunal federal de distrito denegó la solicitud del gobierno de una orden judicial que habría obligado a Apple a pasar por alto la seguridad de la contraseña del teléfono.Entre las Líneas En ese caso, el gobierno estaba tratando de obtener datos de un teléfono móvil incautado en una búsqueda relacionada con una investigación de drogas.

Remedios y sanciones

Dado que los Estados Unidos carecen de una ley primordial de seguridad y privacidad de datos, los posibles remedios y sanciones disponibles se encuentran en la legislación específica del sector que se ha descrito anteriormente. El principal organismo de aplicación de la ley es la Comisión Federal de Comercio, que está facultada para entablar acciones de aplicación de la ley en virtud del artículo 5 de la Ley de la Comisión Federal de Comercio, que se refiere a las prácticas de procesamiento de datos engañosas o injustas.

Respecto a este último punto, un acto o una práctica es desleal cuando:

• causa o es probable que cause un daño sustancial a los consumidores,
• no puede ser evitado razonablemente por los consumidores, y
• no es compensado por los beneficios compensatorios para los consumidores o la competencia.

Además de la FTC, la Oficina de seguridad y privacidad Financiera del Consumidor, el Departamento de Salud y Servicios Humanos (HHS) y los cincuenta fiscales generales de los estados tienen varios niveles de responsabilidad en la aplicación de la ley.

Ley Gramm-Leach-Bliley

Las sanciones por violaciones de la Ley Gramm-Leach-Bliley, varían según la autoridad específica del organismo que inicia la acción de aplicación de la ley. La Ley autoriza los recursos y las multas por infracciones de los decretos de consentimiento de la sección 5.

En un nuevo desarrollo, el CFPB ha comenzado a utilizar su autoridad para regular los actos o prácticas injustos, engañosos o abusivos para entablar acciones de aplicación relacionadas con la seguridad de los datos, incluso en casos en que los consumidores no han experimentado un daño discernible. Según el CFPB, Dwolla, que recoge y almacena información personal delicada de los consumidores y proporciona una plataforma para las transacciones financieras, afirmó falsamente que sus prácticas de seguridad de datos “excedían” o “superaban” las normas de seguridad de la industria, así como afirmó falsamente que su información estaba cifrada y almacenada de forma segura.

Según los términos del decreto de consentimiento, Dwolla debe:

• pagar una multa civil de 100.000 dólares al Fondo de Sanciones Civiles del CFPB,
• dejar de tergiversar sus prácticas de seguridad de los datos y iii) capacitar adecuadamente a sus empleados y corregir cualquier deficiencia de seguridad que se encuentre en sus aplicaciones web y móviles.

Ley de la Comisión Federal de Comercio y Autoridad de Aplicación

Además de las acciones iniciadas en virtud de la Ley Gramm-Leach-Bliley, la FTC puede iniciar una amplia gama de acciones en virtud del apartado a) del artículo 5 de la Ley FTC para proteger la privacidad y la información personal de los consumidores. La Comisión Federal de Comercio está facultada para presentar reclamaciones en virtud de la Ley de la Comisión Federal de Comercio (FTC), 15 U.S.C.A. § 45(a), en el contexto de la divulgación de datos. A primera vista, puede parecer un poco exagerado ajustar las reclamaciones relacionadas con las violaciones de los datos y la seguridad en el marco del amplio mandato de la FTC de proteger a los consumidores contra las prácticas comerciales desleales.

Puntualización

Sin embargo, en el caso F.T.C. c. Wyndham Worldwide Corp., el Tribunal de Apelación del Tercer Circuito confirmó una decisión de un tribunal inferior en la que se sostenía que la Comisión Federal de Comercio estaba facultada para regular las prácticas de seguridad de los datos en virtud de la cláusula de injusticia del artículo 45 a) del título 15 del Código de los Estados Unidos.Entre las Líneas En particular, el Tercer Circuito rechazó el argumento de Wyndham de que la legislación posterior del Congreso, incluida la Ley Gramm-Leach-Bliley, la Ley de información crediticia equitativa y la Ley de seguridad y privacidad de la intimidad de los niños en línea, podía interpretarse en el sentido de que excluía la seguridad cibernética de la competencia de la Comisión Federal de Comercio. La Comisión Federal de Comercio también puede obtener sanciones monetarias civiles por violaciones de la Ley de seguridad y privacidad de la Privacidad de los Niños en Internet, la Ley de Información Crediticia Equitativa y la Regla de Ventas Telefónicas.

Mediante sus facultades administrativas, la FTC puede exigir a las empresas que apliquen programas integrales de privacidad y seguridad, que se sometan a evaluaciones bienales por parte de expertos independientes, que ofrezcan reparación monetaria a los consumidores, que devuelvan las ganancias obtenidas por medios ilícitos, que eliminen la información de los consumidores obtenida ilegalmente y que apliquen mecanismos sólidos de transparencia y elección a los consumidores.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

HIPAA

La Ley de Transferibilidad y Responsabilidad del Seguro Médico de 1996 autoriza al Departamento de Salud y Servicios Humanos de los Estados Unidos a imponer sanciones civiles a toda persona que infrinja las normas de privacidad de la HIPAA, por un monto de entre 100 y 50.000 dólares por infracción, con un total de 25.000 a 1,5 millones de dólares por todas las infracciones de un solo requisito en un año civil de hasta 1,5 millones de dólares a las entidades cubiertas (EC) que se determine que han infringido las normas de la HIPAA.

Como la mayoría de las leyes de seguridad y privacidad de datos de los EE.UU., la HIPAA es específica para cada dominio. Las normas protegen la “información de salud identificable individualmente” en poder de las entidades de atención de la salud. Dado que la HIPAA se dirige a las entidades de atención de la salud y a una estrecha clase de empresas que contratan con entidades de atención de la salud, en lugar de a todas las personas y empresas que manejan datos de atención de la salud, “la mayoría de los datos de atención de la salud controlados o procesados por personas ajenas al entorno tradicional de atención de la salud no estarán sujetos a las normas de la HIPAA”.

Litigio civil de consumidores

Los consumidores que han sido víctimas de una violación de datos suelen tener dificultades para presentar demandas civiles ante un tribunal federal en los casos en que no pueden identificar ningún daño real causado por la apropiación indebida y el presunto uso indebido de los datos.Entre las Líneas En varios casos recientes de demandas colectivas por violación de la seguridad de los datos, los tribunales han sostenido que los demandantes no han alegado un daño real y reconocible derivado de una violación de la seguridad de los datos.

Normas de derecho internacional privado

Legislación de los Estados Unidos

De conformidad con el compromiso nacional de los Estados Unidos con el comercio libre y justo, los Estados Unidos no tienen muchas normas específicas que rijan la transferencia de datos fuera del país, más allá de los “principios básicos de información justa para la notificación y las prohibiciones de prácticas comerciales engañosas o injustas”. Los Estados Unidos tampoco tienen ningún requisito de localización forzosa para los servidores de datos, con la excepción de los datos utilizados por ciertos organismos gubernamentales. Por ejemplo, en 2016, el Servicio de Impuestos Internos (IRS) emitió directrices de seguridad que requieren que las agencias federales “restrinjan la ubicación de los sistemas de información que reciben, procesan, almacenan o transmiten [información de impuestos federales] a áreas dentro de los territorios de los Estados Unidos, embajadas o instalaciones militares”.

La Ley sobre la Web segura enmendó la jurisdicción de la FTC en virtud del apartado a) del artículo 5 de la Ley de la FTC para regular los “actos o prácticas desleales o engañosos” a fin de incluir “los actos o prácticas relacionados con el comercio exterior” que:

• causen o “puedan causar un perjuicio razonablemente previsible dentro de los Estados Unidos, o
• impliquen “una conducta material que se produzca dentro de los Estados Unidos”.

La FTC y otros organismos reguladores de los Estados Unidos mantienen que las entidades reguladas siguen siendo responsables de “los datos exportados fuera de los Estados Unidos, el procesamiento de datos en el extranjero por subcontratistas y los subcontratistas que utilicen las mismas protecciones (como el uso de salvaguardias de seguridad, protocolos, auditorías y disposiciones contractuales) para los datos regulados cuando salen del país”.

Acuerdos internacionales

En 2016, el Departamento de Comercio de los Estados Unidos, la Comisión Europea y la administración suiza adoptaron el Marco del “Escudo de Protección de la Privacidad” con el objetivo de reforzar los derechos exigibles en relación con las transferencias de datos. El objetivo del Marco es proporcionar a las empresas “un mecanismo para cumplir con los requisitos de seguridad y privacidad de datos al transferir datos personales”. De conformidad con el Marco, las organizaciones con sede en los Estados Unidos deben autocertificarse ante el Departamento de Comercio y comprometerse a cumplir los requisitos del Marco.

Esos requisitos incluyen:

• requisitos de manejo de datos,
• salvaguardias claras y obligaciones de transparencia en el acceso del gobierno de los Estados Unidos,
• protección efectiva de los derechos individuales, y
• un mecanismo de examen conjunto anual.

Otros Elementos

Además, de conformidad con la Ley de reparación judicial, los ciudadanos de los Estados miembros de la Unión Europea pueden entablar acciones civiles en virtud de la Ley de seguridad y privacidad de la vida privada contra los organismos gubernamentales de los Estados Unidos por la divulgación ilícita de sus registros personales.

Datos verificados por: Conrad

Por Países

Recursos

Véase También

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.