Legislación sobre protección de datos

Las leyes de privacidad de información, privacidad de datos o protección de datos provienen de un margo legal para obtener, usar y almacenar datos de personas naturales. Las distintas leyes alrededor del mundo describen los derechos de las personas naturales para controlar quién usa sus datos. Esto incluye normalmente el derecho a obtener detalles sobre qué datos han sido almacenados, con qué objetivo, y para pedir el borrado en caso de que el objetivo ya no se de.

Alrededor de 80 países y territorios independientes, incluyendo casi todos los países en Europa y varios en América Latina y el Caribe, Asia y África, han adoptado leyes de protección de datos. [1]​ La Unión Europea tiene el Reglamento General de Protección de Datos,[2]​ desde el 25 de mayo de 2018. Los Estados Unidos no han adoptado una ley clara, pero han limitado ciertos servicios en ciertas áreas como California, con el California Consumer Privacy Act (CCPA).[3]

Estas leyes están basadas en líneas generales desarrolladas por el Department for Health, Education and Welfare (HEW) (después llamado Departamento de Salud y Servicios Humanos), por un Comité Especial sobre los Sistemas Automáticos de Datos Personales, bajo la supervisión del pionero en computación y privacidad Willis H. Ware. Éste informe enviado por el Comité al HHS fue titulado "Records, Computers and Rights of Citizens (07/01/1973) (Grabaciones, Computadores y Derechos de los Ciudadanos en español)",[4][5]​ y propone principios universales sobre privacidad, protección del consumidor y de los datos del ciudadano.

  • Para todos los datos almacenados, debe existir un objetivo claro.
  • La información obtenida de una persona no debe ser revelada a organizaciones o personas a menos que sea autorizado específicamente por la ley o por consentimiento de la persona.
  • Los datos sobre una persona deben ser precisos y actualizados.
  • Deben existir mecanismos para que las personas puedan revisar los datos sobre ellas, para asegurar la precisión. Esto puede incluir informes periódicos.
  • Los datos deben ser borrados cuando no cumplan el objetivo inicial.
  • La transmisión de información personal a lugares donde no exista protección de datos "equivalente" está prohibida.
  • Ciertos datos son demasiado sensibles para ser almacenados, a menos que existan circunstancias extremas (por ejemplo orientación sexual, religión).

Por jurisdicción

El Estado alemán de Hessia redactó la primera legislación del mundo de protección de datos en 1970. En Alemania el término autodeterminación internacional fue usada por primera vez en el contexto de la legislación alemana relacionada con información personal obtenida durante el censo de 1983.

Asia

China aprobó el Ley de Protección de información personal de República Popular China el día 20 de agosto de 2021, y entró en vigor en 1 de noviembre de 2021. Basada aproximadamente en el RGPD (Reglamento general de protección de datos) de EU, se enfoca principalmente en consentimiento, los derechos a la intimidad y la transparencia del procesamiento de datos. A diferencia del RGPD, esta ley se requiere consentimiento para todo tipo de actividad de procesamiento de datos, especialmente cuando se transfieren datos personales al extranjero.


La Ley de Protección de información personal de República Popular China se divide en 8 capítulos y 73 artículos.[6]

  1. Principios generales
  2. Reglas para el manejo de la información personal:
    1. Disposiciones generales
    2. Reglas para el tratamiento de información sensible personal
    3. Regulación especial sobre el tratamiento de información personal por parte del Estado
  3. Normas para el suministro transfronterizo de información personal
  4. Derechos de las personas en el tratamiento de la información personal
  5. Obligaciones de los procesadores de información personal
  6. Departamento que desempeñan responsabilidades de protección de datos personales
  7. Responsabilidad legal
  8. Disposiciones suplementales


Proceso de legislación del Ley de Protección de información personal de República Popular China[7]

  • El día 20 de diciembre de 2018, la ley de protección de datos personales de República Popular China se ha incluido en el plan de legislativo de Comité Permanente del Congreso Nacional.
  • El día 20 de octubre de 2019, la ley de protección de datos personales de República Popular China se ha incluido en el plan legislativo del Comité Permanente de la XIII Asamblea Popular Nacional.
  • En noviembre de 2020, en el borrador de la ley de protección de datos personales de República Popular China se describió que en caso de acto ilegal grave puede llegar a una multa de cincuenta millones de yuanes (CNY).
  • El día 26 de abril de 2021, en el segundo borrador se estipula, los procesadores de información personal que proporcionan los servicios básicos en plataforma de internet que contiene gran cantidad de usuarios con tipo de negocio complejo deberán establecerse un organismo independiente compuesto principalmente por miembros externos, supervisando las actividades de procesamiento de información personal, y publicar periódicamente informes de responsabilidad social sobre protección de datos personales.
  • El día 20 de agosto de 2021 se aprobó la Ley de Protección de información personal de República Popular China, y entró en vigor el 1 de noviembre de 2021.

Filipinas

En las Filipinas, la ley de Privacidad de Datos de 2012 obligaba a a creación de la Comisión Nacional de Privacidad que monitorizaría y mantendría políticas que involucraban protección de datos personales y privacidad de información en el país. Modelada después de la Directiva Europea de Protección de Datos y el marco de privacidad del Foro de Cooperación Económica Asia-Pacífico, el cuerpo independiente que aseguraría el cumplimiento del país con los estándares internacionales establecidos para la protección de datos.[8]​ La ley requiere que el gobierno y las organizaciones privadas compuestas por al menos 250 empleados, o aquellas que tengan acceso a la información personal de al menos 1000 personas, nombrar a un Responsable de Protección de Datos que se encargue de gestionar el control de la información en estas entidades.[9]​ En resumen, la ley identifica puntos importantes en relación con la gestión de la información personal de la siguiente forma:

  1. La información personal debe ser recogida por razones que sean específicas, legítimas y razonables.
  2. La información personal debe ser gestionada adecuadamente. Debe ser mantenida precisa, relevante, usada para los fines establecidos, y conservada sólo durante el tiempo que sea necesario. La ley requiere que las entidades sean activas en asegurar que partes no autorizadas no tengan acceso a la información de los clientes.
  3. La información personal debe ser eliminada de forma que terceras partes no puedan acceder a los datos descartados.

Japón

La Ley de Protección de la Información Personal[10]​ de Japón (APPI) es una normativa sobre la protección de información personal, que fue diseñada para regular el manejo de la información personal, tanto por parte de individuos u organizaciones, incluyendo agencias gubernamentales, empresas y organizaciones sin fines de lucro. Esta regulación fue implementada y es gestionada hoy en día, por una organización gubernamental central supervisora en cuestiones de protección de privacidad, siendo esta la Comisión de Protección de la Información Personal,[11]​ también conocida como PPC (Personal Information Protection Commission).

La APPI requiere que las organizaciones que deseen recopilar información personal obtengan el consentimiento de los individuos antes de recopilar, usar o compartir dicha información, pero solamente en casos específicos, como cuando la información es sensible o se transferirá a un tercero o fuera de Japón. Actualmente se sigue modificando la APPI, por lo que es posible que hayan nuevas actas que cubran casos concretos.

  • En 2003, se promulgó la APPI original, pero fue modificada y las modificaciones entraron en vigor el 30 de mayo de 2017.
  • El 5 de junio de 2020, se aprobó un proyecto que significaba modificar aún más la APPI. La APPI Modificada entró en vigor el 1 de abril de 2022.


La Ley de Protección de la Información Persona de Japón se encuentra organizada en 8 capítulos y 185 artículos de la siguiente manera:

  1. Capítulo I Disposiciones Generales (Artículos 1 al 3)
  2. Capítulo II Responsabilidades de los Gobiernos Nacional y Locales (Artículos 4 al 6)
  3. Capítulo III Medidas para Proteger la Información Personal (Artículos 7 al 15)
  4. Capítulo IV Obligaciones de las Empresas que Manejan Información Personal (Artículos 16 al 59)
  5. Capítulo V Obligaciones de las Entidades Administrativas (Artículos 60 al 129)
  6. Capítulo VI La Comisión de Protección de la Información Personal (Artículos 130 al 170)
  7. Capítulo VII Disposiciones Varias (Artículos 171 al 175)
  8. Capítulo VIII Disposiciones Penales (Artículos 176 al 185)

Europa

Fuente de información: General Data Protection Regulation

El derecho a la privacidad de los datos está fuertemente regulado y se cumple de forma activamente en Europa. El artículo 8 del  Convención Europea de Derechos Humanos - Wikipedia, la enciclopedia libre (CEDH) proporciona el derecho al respeto de la “vida privada y familiar, de su hogar y sus correspondencia” de una persona, sujeto a ciertas restricciones. El Tribunal Europeo de Derecho Humanos ha dado a este artículo una interpretación muy amplia en su jurisprudencia. De acuerdo con la ley de la Corte, la recopilación de información por los funcionarios del Estado sobre un individuo sin su consentimiento siempre cae dentro de ámbito del artículo 8. Así juntar información para el censo oficial, , registrar huellas dactilares y fotografías en un registro policial, recopilar datos médicas o detalles sobre gasto personal, y implementación de un sistema de identificación personal ha sido juzgado como un problema de privacidad de datos. Lo que también se incluye en los “datos sensibles a la privacidad” según el RGPD es información como raza o etnia, opiniones política, religión o filosofía y información ligada con la vida sexual o orientación sexual de una persona.[12]

Cualquier interferencia estatal en la privacidad de una persona solo es aceptable para la Corte si cumple con las tres condiciones:

  1. La interferencia está de acuerdo con la ley.
  2. La interferencia tiene un fin legítimo.
  3. La interferencia es necesaria para una sociedad democrática.

El gobierno no es la única entidad que representar una amenaza para privacidad de los datos. Otros ciudadanos, y sobre todo las compañías privadas, pueden también involucrarse en actividades amenazantes, especialmente desde que se generalizó el procesamiento automático de los datos. El Convenio de la protección de los individuos con el procesamiento automático de datos personales se concluyó en el Consejo de Europa en 1981. Este convenio obliga a los signatarios a representar legislación sobre el procesamiento automático de datos personales.

Todos los Estados miembros de la Unión Europea son también signatarios de la Convenio Europeo de Derechos Humanos y el Convenio para la Protección de los Individuos con respecto al Procesamiento Automático de Datos Personales, la Comisión Europea le preocupan que surgieran legislación de protección de datos divergentes que impidieran el libre flujo de datos dentro de la zona UE. Por lo tanto. La Comisión Europea decidió proponer la armonización de la ley de protección de datos dentro de la UE. La Directiva de Protección de Datos resultante fue adoptada por el Parlamento Europeo y los ministro de los gobierno nacional en 1995 y tuvo que transponerse en la ley nacional a finales de 1998.

La directiva contiene un seria de principios clave con los que los Estados miembros deben cumplir. Cualquier persona que procese datos personales debe cumplir con los ocho principios aplicables de buenas prácticas.[13]​ Indican que los datos deben ser:

  1. Procesado de manera justa y legal.
  2. Procesado para propósitos limitados.
  3. Adecuado, oportuno y no excesivo.
  4. Preciso.
  5. No conservar más de lo necesario.
  6. Procesado de acuerdo con los derechos del sujeto.
  7. Seguro.
  8. Solo se puede transferir en los países con protección adecuada.

Los datos personales cubren los hechos y los opiniones sobre el individuo.[13]​ Estos también incluyen informaciones sobre las intenciones del controlador de datos hacia el individuo, aunque en algunas circunstancias limitadas se aplicaran exenciones. Con el procesamiento, la definición es muchos más amplia que antes. Por ejemplo, incorpora los conceptos de “obtención”, “posesión” y “revelación”[14]

Todos los estados de UE adoptaron legislación de conformidad con esta directiva o adaptaron sus leyes existentes. Cada país también tiene sus propios supervisores para controlar el nivel de protección.[15]

Debido a esto, en teoría la transferencia de información personal de UE a EE.UU está prohibida cuando no existe una protección de privacidad equivalente a la de EE. UU. Las compañías americanas que trabajarían con datos de UE deben cumplir con la marco de puerto seguro. Los principios básicos de datos protegidos son la recopilación limitado, consenso del propietario, la precisión, la integridad, la seguridad, el derecho del sujeto a revisar y eliminar. Como resultado, los cliente de organización internacional como Amazon y eBay en UE tiene la habilidad de revisar y eliminar informaciones mientras que los estadounidenses no.

En Estados Unidos, la filosofía rectora equivalente es el Código de prácticas justa de información (FTC).

La diferencia de lenguaje aquí es importante: en los Estados Unidos el debate es sobre la privacidad mientras que el la Comunidad Europea el debate es sobre la protección de datos. El movimiento sobre el debate de privacidad a la protección de datos es visto por algunos filósofos como un mecanismo para avanzar en el ámbito práctico sin requerir un acuerdo sobre cuestiones fundamentales sobre la naturaleza de la privacidad.

Francia

Francia adaptó su existente ley “nª 78-17 de 6 de enero de 1978 sobre tecnología de la información, archivos y libertades civiles”[16]

Alemania

En Alemania, el gobierno federal y los estados ambos promulgaron leyes.[17]

Suiza

Suiza no es miembro de la Unión Europea(UE) ni de Área Económica Europea(AEE), implemento parcialmente la Directiva UE sobre la protección de datos personales en 2006 al consentir a STE 108 acuerdos del Consejo de Europea y una modificación correspondiente  de la Ley federal de protección de datos. Sin embargo, la ley suiza impone menos restricciones al procesamiento de datos que la Directiva en varios aspectos.[18]

En Suiza, el derecho a la privacidad esta garantizado en el artículo 13 de la Constitución Federal Suiza. LA Ley Federal de protección de datos suiza (DPA)[19]​ y la Ordenanza federal suiza de protección de datos (DPO) entraron en vigor el 1 de julio de 1993. Las últimas modificaciones de DPA Y DPO entraron en vigor el 1 de enero de 2008.

El DPA se aplica al procesamiento de datos personales por los personas privadas y agencia del gobierno federal. A diferencia de la legislación de protección de datos de muchos otros países, el DPA protege a datos personales pertenecientes a personas físicas como jurídicas.[20]

El Comisionado Federal de Protección de Datos e Información de Suiza, en particular supervisa el cumplimiento de las agencias de gobiernos federal con el DPA, proporciona consejos a personas privadas sobre protección de datos, realiza investigaciones y hace recomendaciones sobre prácticas de protección de datos.

Algunos archivos de datos deben registrarse con el Comisionado Federal Protección de datos y información antes de que se creen. En el caso de que una transferencia de datos personal fuera de Suiza, se deben cumplir requisitos especiales y, según las circunstancias, el con el Comisionado Federal Protección de datos y información debe ser informado ante de la realizar la transferencia.[20]

La mayoría de los cantones suizos han promulgado sus propias leyes de protección de datos que regulan el procesamiento de datos personales por parte de organismo cantonales y municipales.

Reino Unido

En el Reino Unido, la ley de Protección de Datos de 1998(c 29)(Comisionado de información) implemento la Directiva de la UE sobre la protección de datos personal. Reemplazo la Ley de Protección de datos de 1984(c 35). Reemplazo la Ley de Protección de Datos de 1984(c 35). El Reglamento General de Protección de Datos de 2016 reemplazo las Leyes de Protección anteriores. La Ley de Protección de Datos 2018(c 12) actualizo las leyes de proyección de datos en el Reino Unido. Es una ley nacional que complementa el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Norte de América

Canadá

En Canadá, la Ley de Protección de Información Personal y Documentos Electrónicos(PIPEDA) entró en vigor el 1 de enero de 2001, aplicable a entidades privadas reguladas por el gobierno federal. Todas otras organizaciones son incluidas en 1 de enero de 2004.[21][22]​ PIDEDA hace que Canadá cumpla con la ley de protección de datos de UE.

PIPEDA especifica las reglas que guía la recopilación, el uso o la divulgación de la información personal en el camino de reconocimiento del derecho a la privacidad de las personas con respecto a su información personal. Además, especifica las reglas para las organizaciones recopilen, usen y divulguen información personal.

PIPEDA se aplican a:

Las organizaciones recopilan, usan o divulgan en materia de uso comercial.

Las organizaciones y los empleados de la organización recopilan, usan o divulgan en la guía de la operación de una obra federal, empresa o negocio.

PIPEDA NO se aplica a:

Instituciones gubernamentales a las que se aplica la Ley de Privacidad.

Individuos que recopilan, usan o divulgan información personal para fines y usos personales.

Organizaciones que recopilan, usan o divulgan solo con fines periodísticos, artísticos o literarios.

Como se especifica en PIPEDA:

Información personal” significa información sobre una persona identificable, pero no incluye el nombre, el cargo, la dirección comercial o el número de teléfono de un empleado de una organización.

Organización” significa una asociación, una sociedad, una persona y un sindicato.

“Obra federal, empresa o negocio” significa cualquier obra, empresa o negocio que este dentro de la autoridad legislativa del Parlamento. Incluido:

  1. Un trabajo, empresa o negocio que se opere o lleve a cabo para o en conexión con la navegación y transporte, ya sea terrestre o marítimo, incluida la operación de barcos y transporte por barco en cualquier parte de Canadá.
  2. Un ferrocarril, canal, telégrafo u otra obra o empresa que conecta con provincia con otra provincia o se extienda más allá de los límites de una provincia.
  3. Una línea de barco que une una provincia con otra provincia o que extienda más allá de los límites de una provincia.
  4. Una balsa entra una provincia y otra provincia o entre una provincia y un país que no sea Canadá.
  5. Aeródromo, aeronaves o una línea de transporte aéreo
  6. Una estación de radiodifusión.
  7. Un banco.
  8. Una obra que aunque totalmente situada dentro de una provincia, ante o después de su ejecución declarado por Parlamento como para el beneficio general de Canadá o para el beneficio de dos o más provincia.
  9. Una obra, empresa o negocio fuera de la exclusiva legislatura de las provincias.
  10. Un trabajo, empresa o negocio al que se aplican las leyes federales, dentro de la significación de la sección 2 de la Ley de Océanos, aplica dentro de la sección 20 de esa Ley y cualquier regulación hecha bajo el párrafo 26(1)(k) de esa Ley

PIPEDA otorga a los individuos el derecho a:

  1. Comprender las razones por las que organizaciones recopilan, usan o divulgan información personal
  2. Contar que las organizaciones recopilen, usen o divulgue información personal de manera razonable y adecuada.
  3. Entender quién es responsable de proteger la información personal de individuos en la organización.
  4. Figurar que las organizaciones protejan la información personal de manera razonable y segura.
  5. Figurar que la información personal en poder de las organizaciones sea precisa, completa y actualizada.
  6. Tener acceso a su información personal y solicitar cualquier corrección o tener el derecho a presentar dejas ante las organizaciones.

PIPEDA exige a las organizaciones:

  1. Obtener el consentimiento ante de recopilar, usar y divulgar cualquier información personal.
  2. Recopilar información personal de manera razonable, apropiada y legal.
  3. Establecer políticas de información personal que sean claras, razonables y disponible de proteger la información personal de las personas.

Estados Unidos

Artículo principal: Ley de privacidad de los Estados Unidos

La privacidad de los datos no está muy legislada ni regulada en los EE. UU[23]. En los Estados Unidos, el acceso a contenidos de datos privado, por ejemplo, informes crediticios de terceros puede buscarse al buscar empleo o atención médica, o al realizar compras en condiciones de crédito. Aunque existen reglamentaciones parciales, no hay una ley integral que regule la adquisición, el almacenamiento o el uso de datos personales en EE. UU. En término general, en EE.UU, se considera que quien tenga la molestia de ingresar los datos la molestia de ingresar los datos tiene derecho a almacenarlos y usarlos, incluso si los datos se recopilaron sin permiso, excepto en la medida en que estén regulados por leyes y reglas, como las disposiciones de la Ley de comunicaciones federal y las reglas de implementación de la Comisión federal de comunicaciones, que regulan el uso de la información de red de propiedad del cliente(CPNI). Por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro Médica de 1996(HIPAA), la Ley de Protección de Privacidad Infantil en Línea de 1998(COPPA) y la Ley de Transacciones de Crédito Justas y Precisas de 2003(FACTA) son ejemplos de leyes federales de EE. UU disposiciones que tienden a promover la eficiencia del flujo de información.

La Corte Suprema interpretó la Constitución para otorgar un derecho a la privacidad de los individuos en Griswol v. Connecticut. Sin embargo, muy pocos estados reconocen el derecho de la privacidad de los individuos, sobre todo California. El inalienable derecho a la privacidad esta consagrado en el artículo 1, sección 1 de la Constitución de California, y la legislatura de California ha promulgado varias leyes destinado a proteger este derecho. La Ley de Protección de la Privacidad en Línea de California(OPPA) de 2003 requiere que los operadores de sitio web comerciales o servicios en línea que recopila informaciones personales en residentes de California a través de un sitio web publiquen de manera visible una política de privacidad en el sitio web y que cumplan con su política.

El Principios internacionales safe harbor fue desarrollado por el Departamento Comercia de los Estados Unidos para proporcionar un medio para las empresas estadounidenses a demostrar el cumplimiento de las Directivas de la Comisión Europea y así simplificar las relaciones entre ellas y las empresas europeas.[24]

Recientemente, los legisladores de varios estados han propuesto leyes para cambiar la forma en que las empresas en líneas manejan la información de los usuarios. Entre los que generan una atención significativa se encuentran varios legislaciones de No Rastrear y la Ley del derecho a saber (Proyecto de Ley AB 1291 de California). La Ley del Derecho a Saber de California, si se aprueba, requeriría que todo los empresas que siguen guardando informaciones de usuarios proporcionen a sus usuarios una copia de la información almacenada cuando así lo soliciten.[25]​ El proyecto de ley se enfrentó fuertemente a las oposiciones de grupos comerciales como Google, Microsoft, y Facebook, y no fue aprobado.[26]

El 28 e3 junio de 2018, la legislatura de California aprobó AB 375, la Ley de Privacidad del Consumidor de California de 2018, a partir de 1 de enero de 2020.[27]​ Si la ley no se modifica antes de entrar en vigor, La Ley de Privacidad del Consumidor de California, AB. 375- otorga a los residentes de California una serie de nuevos derechos, comenzando con el derecho a ser informado sobre que tipos de datos personales será recopilado por la compañía y porque se recopilan.[28]

HIPPA

La Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPPA) fue promulgada por el Congreso de los EE.UU. en 1996 y es también conocido como Ley de Portabilidad y Responsabilidad de Seguros Médicos Kennedy-Kassebaum(HIPPA- Ley Pública 104-191), en vigor el 21 de agosto de 1996. La idea básica de HIPPA es que un individuo que es una sujeción de información de salud identificable individualmente debe tener:

  • Procedimientos establecidos para el ejercicio de los derechos de privacidad información de salud individual.
  • El uso y divulgación de información de salud individual debe ser autorizado o requerido.

Una dificultad con HIPPA es que debe haber un mecanismo de autentificación al paciente quien demanda sus accesos a sus datos. Como resultado, mecanismo médicas que facilite obtener solicitando el Número de Seguridad Social a los pacientes, lo que posiblemente disminuya la privacidad al simplificar el acro de correlacionar los registros de salud con otros registros. El tema del consentimiento es problemático bajo HIPPA, porque los proveedores medicaos simplemente hacen que la atención este contingente al acuerdo con los estándares de privacidad en la práctica.

FCRA

La ley de informes crediticios justos aplica los principios del código de prácticas justas de información a los informes crediticios de agencias. FCRA permite individuos optar por no recibir ofertas de créditos no deseadas:

  • Equifax (888) 567-8688 Opciones de Equifax, P.O. Apartado 74’123 Atlanta GA 20274-0123.
  • Experian(800) 353-0809 o (888) 5OPTOUT P.O. Apartado 919, Allen, TX 75013
  • TransUnion(800) 680-7293 o (888) 5OPTOUT P.O. Apartado 97328, Jackson MS 39238.

Debido a la Ley de Transacciones de Crédito Justas y Precisas, cada persona puede obtener un informe crediticio anual gratuito.

La Ley de informes crediticios justos ha sido eficaz para prevenir la proliferación de las engañosas guías de créditos privadas. Antes de 1970, las guías privadas de crédito privadas ofrecían información detallada, aunque poco fiable, sobre personas fácilmente identificables.[29]​ Antes de la Ley de informes crediticios justos, se podía incluir material lascivo sin fundamento y, de hecho, los chismes se incluían ampliamente en los informes crediticios. EPIC tiene una página FCRA. La Asociación de la Industria de Datos del Consumidor, que representa a la industria de informes del consumidor, también un sitio web con información de FCRA

La Ley de informes crediticios justos brinda a los consumidores la capacidad de ver, corregir, contestar, y limitar los usos de informes de los informes crediticios. FCRA también protege a la agencia de crédito del cargo de liberación negligente en caso de declaración falsa por parte del solicitante. Las agencias de créditos deben preguntar al solicitante el propósito de la divulgación de información solicitada, pero no deben hacer ningún esfuerzo para verificar la veracidad de las afirmaciones del solicitante. De hecho, los tribunales han dictaminado que, “La Ley claramente no proporciona un remedio para el uso ilícito o abusivo de la información sobre los consumidores” (Henry v Forbes, 1976). Se cree ampliamente que para evitar FCRA, Equifax creó ChoicePoint , momento en el que la empresa matriz copio todos sus registros a su subsidiaria recién creada. ChoicePoint no es una agencia de informes crediticios y, por tanto, no se aplica la FCRA.[30]

La Ley de Prácticas Justas de Cobro de Deudas limita de manera similar la difusión de información sobre las transacciones financieras de un consumidor. Impide que los acreedores o sus agentes revelen el hecho de que un individuo esta en deuda con tercero, aunque permite que los acreedores y sus agentes intenten obtener información sobre la ubicación de un deudor. Limita las acciones de quienes buscan el pago de una deuda. Por ejemplo, las agencias de cobro de deudas tienen prohíbo acosar o contactar a personas en el trabajo. La Ley de Protección al Consumidor y Prevención de Abuso de Quiebras de 2005(que en realidad eliminó las protecciones al consumidor, por ejemplo, en caso de quiebra como resultado de costes médicas) limito algunos de estos controles sobre los deudores

ECPA

La Ley de privacidad de las comunicaciones electrónicas (ECPA) establece sanciones penales por la interceptación de las comunicaciones electrónicas. Sin embargo, la legislación ha sido criticada por la falta de impacto debido a escapatorias.

Seguridad informática, privacidad y derecho penal

A continuación, se resumen algunas de las leyes, reglamentos y directivas relacionadas con la protección de los sistemas de información:

Varias agencias federales de EE. UU. tienen estatutos de privacidad que cubren su recopilación y uso de información privada. Estos incluyen la Oficina del Censo, el Servicio de Impuestos Internos y el Centro Nacional de Estadísticas Educativas (bajo la Ley de Reforma de las Ciencias de la Educación). Además, el estatuto de CIPSEA protege la confidencialidad de los datos recopilados por las agencias federales de estadística.

Sudamérica

Brasil

La Ley General de Protección de Datos Personales de Brasil (LGPD) entró en vigor el 18 de septiembre de 2020. El objetivo principal de la ley es unificar 40 leyes brasileñas diferentes que regulan el procesamiento de datos personales. El proyecto de ley tiene 65 artículos y tiene muchas similitudes con el RGPD.[31]

México

La salvaguarda de la información personal en México constituye un derecho consagrado en el artículo 16, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos. Dicho artículo garantiza a toda persona el derecho a la protección de sus datos personales, así como al acceso, rectificación y cancelación de los mismos. En el ámbito mexicano, la protección de datos personales se encuentra regulada por distintas normativas dependiendo del sector correspondiente. En el ámbito privado, se destaca la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), mientras que en el ámbito público, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) establece las pautas pertinentes.

La entrada en vigencia de esta última normativa condujo a que las leyes de ambos sectores, público y privado, incorporaran una serie de principios que regulan las normas y obligaciones que rigen el manejo de datos personales por parte de los responsables. Además, cada entidad federativa de México está obligada a contar con una legislación que regule el tratamiento de datos personales en el ámbito público, de acuerdo con su jurisdicción territorial. Conforme a las leyes mencionadas anteriormente, aquellos que manejan datos personales deben tener en consideración las directrices y documentos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”). [32]


Argentina

En Argentina, el marco vigente de protección de datos ha estado en funcionamiento por más de dos décadas. Sin embargo, ante los avances tecnológicos y los desafíos emergentes de la economía digital globalizada, se ha vuelto imperativo ajustar la legislación existente. En consecuencia, el Poder Ejecutivo ha propuesto un nuevo Proyecto de Ley de Protección de Datos Personales con el propósito de reforzar las capacidades estatales en la regulación y gestión de políticas públicas en este ámbito. A continuación se citan algunos de los cambios propuestos por el nuevo proyecto de ley:

- Definiciones precisas y ampliadas: El proyecto incorpora nuevos términos y definiciones vinculados al tratamiento de datos personales, tales como el consentimiento, la transferencia internacional de datos, los datos genéticos y biométricos, entre otros.

- Ámbito territorial extendido: Similar al Reglamento General de Protección de Datos (RGPD), el proyecto se extiende a organizaciones fuera de Argentina que proporcionen bienes o servicios a personas en Argentina o supervisen su comportamiento.

- Principios actualizados: El proyecto introduce nuevos principios para el procesamiento de datos, como la limitación del uso de datos y la responsabilidad proactiva y demostrada.

- Base legal ampliada: A diferencia de la Ley de Protección de Datos Personales (LPDP) actual, que se basa exclusivamente en el consentimiento como fundamento legal para el tratamiento de datos personales, el Proyecto de Ley permite otras bases legales, como el interés legítimo.

- Protección de datos sensibles: El proyecto establece bases legales adicionales para el procesamiento de datos personales sensibles y define criterios de responsabilidad reforzada en su tratamiento.

- Protección de datos de niños: Se contempla una protección especial para los datos personales de los niños y se establecen normas específicas para salvaguardar su información cuando se procesa en servicios de la sociedad. [33]

Principios internacionales de "Safe Harbor"

Artículo principal: acuerdo de Safe Harbor

A diferencia del enfoque de EE. UU. para la protección de la privacidad, que se basa en la legislación, la regulación y la autorregulación específicas de la industria, la Unión Europea se basa en la legislación de privacidad integral. La Directiva europea sobre protección de datos que entró en vigor en octubre de 1998 incluye, por ejemplo, el requisito de crear agencias gubernamentales de protección de datos, el registro de bases de datos con esas agencias y, en algunos casos, la aprobación previa antes de que pueda comenzar el procesamiento de datos personales. Con el fin de unir estos diferentes enfoques de privacidad y proporcionar un medio simplificado para que las organizaciones de EE. UU. cumplan con la Directiva, el Departamento de Comercio de EE. UU., en consulta con la Comisión Europea, desarrolló un marco de "Safe Harbor".

Referencias

  1. Greenleaf, Graham (6 de febrero de 2012). Global Data Privacy Laws: 89 Countries, and Accelerating. Social Science Electronic Publishing, Inc. SSRN 2000034. 
  2. Adopting a Virtual Data Protection Officer Archivado el 23 de febrero de 2019 en Wayback Machine. Published by Dativa, June 7, 2018, retrieved June 11, 2018
  3. «California Consumer Privacy Act (CCPA)». State of California - Department of Justice - Office of the Attorney General (en inglés). 15 de octubre de 2018. Consultado el 2 de julio de 2020. 
  4. Ware, Willis H. «Records, Computers and the Rights of Citizens». Rand.org. 
  5. «Records, Computers and the Rights of Citizens (HHS)». 14 de junio de 2016. 
  6. «中华人民共和国个人信息保护法_滚动新闻_中国政府网». www.gov.cn. Consultado el 23 de noviembre de 2023. 
  7. «中华人民共和国个人信息保护法». 百度百科. Consultado el 23 de noviembre de 2023. 
  8. «Philippine Data Privacy Law is Signed into Law». HL Chronicle of Data Protection. 23 Aug 2012. Archivado desde el original el 14 de septiembre de 2019. Consultado el 12 de junio de 2021. 
  9. «Republic Act No. 10173: Data Privacy Act of 2012». 15 Aug 2012. 
  10. «Act on the Protection of Personal Information - English - Japanese Law Translation». www.japaneselawtranslation.go.jp. Consultado el 28 de noviembre de 2023. 
  11. «Personal Information Protection Commission, Japan |PPC Personal Information Protection Commission,Japan». www.ppc.go.jp. Consultado el 28 de noviembre de 2023. 
  12. «What personal data is considered sensitive?». commission.europa.eu (en inglés). Consultado el 1 de abril de 2023. 
  13. a b «Data Protection Act 1998». 
  14. «"International Business, Trade and Taxation".». Archivado desde el original el 29 de abril de 2014. Consultado el 4 de abril de 2023. 
  15. «EUR-Lex - 32016R0679 - EN - EUR-Lex». eur-lex.europa.eu (en inglés). Consultado el 4 de abril de 2023. 
  16. «CNIL |». www.cnil.fr. 
  17. «Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit». web.archive.org. 22 de abril de 2009. Archivado desde el original el 22 de abril de 2009. 
  18. «Fedlex». www.fedlex.admin.ch. 
  19. Commissioner (FDPIC), Federal Data Protection and Information. «An error has occurred». www.edoeb.admin.ch (en inglés). 
  20. a b «Homepage». – dataprotection.ch – Walder Wyss Ltd. (en inglés). 
  21. Canada, Office of the Privacy Commissioner of (21 de marzo de 2023). «Office of the Privacy Commissioner of Canada». www.priv.gc.ca. 
  22. https://web.archive.org/web/20090227230648/http://www.privcom.gc.ca/legislation/02_06_01_e.asp. Archivado desde el original el 27 de febrero de 2009. Consultado el 6 de abril de 2023.  Falta el |título= (ayuda)
  23. http://www.frontiertechnology.co.uk/about-us/news/differences-between-eu-and-us-data-laws/.  Falta el |título= (ayuda)
  24. «Federal Register :: Request Access». unblock.federalregister.gov. 
  25. «Bill Text - AB-1291 Privacy: Right to Know Act of 2013: disclosure of a customer’s personal information.». leginfo.legislature.ca.gov. 
  26. «Silicon Valley companies quietly try to kill Internet privacy bill». The Mercury News (en inglés estadounidense). 19 de abril de 2013. 
  27. «Bill Text - AB-375 Privacy: personal information: businesses.». leginfo.legislature.ca.gov. 
  28. Ghosh, Dipayan. «What You Need to Know About California’s New Data Privacy Law». Harvard Business Review. ISSN 0017-8012. 
  29. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2432955.  Falta el |título= (ayuda)
  30. https://epic.org/documents/choicepoint-2/.  Falta el |título= (ayuda)
  31. «What is the LGPD? Brazil’s version of the GDPR». GDPR.eu (en inglés estadounidense). 31 de julio de 2019. 
  32. «Normativa y legislación en PDP Leyes en México para la protección de datos personales». inai.org.mx. 
  33. «Reforma de la Ley de Protección de Datos Personales en Argentina». laworatory.com. 6 de julio de 2023.