Leyes de privacidad de datos: Lo que hay que saber en 2020

La mayoría de los sitios web recogen información sobre sus usuarios, ya sea enviada por estos o recogida automáticamente a través de cookies y otras tecnologías. Los propietarios de negocios necesitan información para entregar sus productos, anunciar sus servicios, comunicarse con los clientes y posibles clientes, y mejorar la funcionalidad de su sitio web. Los clientes y visitantes de su sitio web están naturalmente preocupados por lo que ocurre con su información personal: cómo se almacena, quién tiene acceso a ella y qué salvaguardias existen para proteger su privacidad.

Casi todos los países han promulgado algún tipo de ley de privacidad de datos para regular cómo se recoge la información, cómo se informa a los interesados y qué control tiene el interesado sobre su información una vez que se transfiere. El incumplimiento de las leyes de privacidad de datos puede dar lugar a multas, demandas judiciales e incluso a la prohibición del uso de un sitio web en determinadas jurisdicciones. Navegar por estas leyes y reglamentos puede ser desalentador, pero todos los operadores de sitios web deben estar familiarizados con las leyes de privacidad de datos que afectan a sus usuarios. Algunas de ellas son:

Leyes de privacidad de datos de Estados Unidos

No existe una ley federal completa que regule la privacidad de datos en Estados Unidos. Existe un complejo mosaico de leyes específicas para cada sector y para cada medio, entre las que se incluyen leyes y reglamentos que abordan las telecomunicaciones, la información sanitaria, la información crediticia, las instituciones financieras y el marketing.

La Ley de la Comisión Federal de Comercio (15 USC § 41 et seq.) tiene una amplia jurisdicción sobre las entidades comerciales en virtud de su autoridad para prevenir las prácticas comerciales desleales o «engañosas.» Aunque la FTC no regula explícitamente qué información debe incluirse en las políticas de privacidad de los sitios web, utiliza su autoridad para emitir reglamentos, hacer cumplir las leyes de privacidad y tomar medidas de ejecución para proteger a los consumidores. Por ejemplo, la FTC podría tomar medidas contra las organizaciones que…

  • No implementen y mantengan medidas de seguridad de datos razonables.
  • No cumplan con los principios de autorregulación aplicables del sector de la organización.
  • No sigan una política de privacidad publicada.
  • Transferir información personal de una manera que no se haya revelado en la política de privacidad.
  • Hacer representaciones inexactas de privacidad y seguridad (mentir) a los consumidores y en las políticas de privacidad.
  • No proporcionar suficiente seguridad para los datos personales.
  • Violentar los derechos de privacidad de los datos de los consumidores al recopilar, procesar o compartir la información de los consumidores es una violación del marco de privacidad de los consumidores de la FTC o de las leyes y reglamentos nacionales de privacidad.
  • Incurrir en prácticas publicitarias engañosas.
    • Otras leyes federales que rigen la recopilación de información en línea incluyen:

      • La Ley de Protección de la Privacidad de los Niños en Línea (15 USC §6501 et seq.), también conocida como COPPA, que rige la recopilación de información sobre menores.
      • La Ley de Portabilidad y Contabilidad del Seguro Médico (HIPAA – P.L.104-191), que regula la recopilación de información sanitaria.
      • La Ley Gramm Leach Bliley (15 USC § 6802 y siguientes) que regula la información personal recogida por los bancos y las instituciones financieras.
      • La Ley de Informes Crediticios Justos (15 USC § 1681), que regula la recopilación y el uso de información crediticia.

      Leyes estatales de privacidad de datos

      Además de las leyes y reglamentos federales, Estados Unidos cuenta con cientos de leyes de privacidad y seguridad de datos entre sus estados, territorios y localidades. En la actualidad, 25 fiscales generales de Estados Unidos supervisan las leyes de privacidad de datos que rigen la recopilación, el almacenamiento, la salvaguarda, la eliminación y el uso de los datos personales recogidos de sus residentes, especialmente en lo que respecta a las notificaciones de violaciones de datos y la seguridad de los números de la Seguridad Social. Algunas se aplican sólo a las entidades gubernamentales, otras a las privadas y otras a ambas.

      Ley de Privacidad del Consumidor de California (CCPA)

      La legislación estatal de privacidad de datos más completa hasta la fecha es la Ley de Privacidad del Consumidor de California (CCPA), promulgada el 28 de junio de 2018 y que entró en vigor el 1 de enero de 2020. La CCPA es una legislación intersectorial que introduce importantes definiciones y amplios derechos individuales de los consumidores e impone deberes sustanciales a las entidades o personas que recogen información personal sobre o de un residente de California. Estos deberes incluirán informar a los interesados de cuándo y cómo se recogen los datos, y darles la posibilidad de acceder, corregir y eliminar dicha información. Esta información deberá divulgarse en una política de privacidad expuesta en el sitio web de la entidad que recoge los datos.

      Ley SHIELD de Nueva York

      En julio de 2019, Nueva York aprobó la Ley para detener los hackeos y mejorar la seguridad de los datos electrónicos (SHIELD). Esta ley modifica la ley de notificación de violaciones de datos existente en Nueva York y crea más requisitos de seguridad de datos para las empresas que recopilan información sobre los residentes de Nueva York. A partir de marzo de 2020, la ley será plenamente aplicable. Esta ley amplía el alcance de la privacidad del consumidor y proporciona una mejor protección a los residentes de Nueva York frente a las violaciones de datos de su información personal.

      Otras leyes de privacidad de datos a nivel estatal

      California y Nueva York son los primeros estados en promulgar una amplia legislación que crea un impacto nacional, pero muchos otros estados de Estados Unidos también están considerando leyes de privacidad de datos. No tendrán el mismo aspecto que la CCPA o la Ley SHIELD, pero es probable que contengan requisitos similares para las necesidades específicas del estado.

      Como se puede imaginar, la colmena de leyes de privacidad estatales y federales en Estados Unidos es demasiado compleja para resumirla por completo. Es poco probable que veamos pronto una ley federal global (aunque cada vez hay más partidarios de una). Por lo tanto, como organización que recopila y procesa datos personales, es esencial asociarse con un servicio como Osano para mantener el cumplimiento en este entorno desafiante.

      Ley de privacidad de datos internacional: el GDPR

      La legislación de protección de datos más importante promulgada hasta la fecha es el Reglamento General de Protección de Datos (GDPR). Regula la recopilación, el uso, la transmisión y la seguridad de los datos recogidos de los residentes de cualquiera de los 28 países miembros de la Unión Europea. La ley se aplica a todos los residentes de la UE, independientemente de la ubicación de la entidad que recoge los datos personales. Se pueden imponer multas de hasta 20 millones de euros o el 4% del volumen de negocios total a nivel mundial a las organizaciones que no cumplan el RGPD. Algunos requisitos importantes del GDPR incluyen:

      Consentimiento

      Los sujetos de datos deben poder dar su consentimiento explícito e inequívoco antes de la recogida de datos personales. Los datos personales incluyen la información recogida mediante el uso de cookies. Alguna información que no suele considerarse «información personal» en Estados Unidos, como la dirección IP del ordenador del usuario, se considera «datos personales» según el GDPR.

      Notificación de violaciones de datos

      Las organizaciones están obligadas a notificar a las autoridades de supervisión y a los sujetos de los datos en un plazo de 72 horas en caso de que se produzca una violación de datos que afecte a la información personal de los usuarios en la mayoría de los casos.

      Derechos de los sujetos de los datos

      Los sujetos de los datos (personas cuyos datos se recogen y procesan) tienen ciertos derechos en relación con su información personal. Estos derechos deben ser comunicados a los sujetos de los datos en una política de privacidad clara y de fácil acceso en el sitio web de la organización.

  1. El derecho a ser informado. Los sujetos de los datos deben ser informados sobre la recopilación y el uso de sus datos personales cuando se obtienen los datos.
  2. El derecho a acceder a sus datos. Un interesado puede solicitar una copia de sus datos personales a través de una solicitud del interesado. Los responsables del tratamiento deben explicar los medios de recogida, qué se está tratando y con quién se comparte.
  3. El derecho de rectificación. Si los datos de un interesado son inexactos o están incompletos, tiene derecho a pedirle que los rectifique.
  4. El derecho de supresión. Los interesados tienen derecho a solicitar la supresión de los datos personales relacionados con ellos por determinados motivos en un plazo de 30 días.
  5. El derecho a restringir el tratamiento. Los interesados tienen derecho a solicitar la limitación o supresión de sus datos personales (aunque puedes seguir almacenándolos).
  6. El derecho a la portabilidad de los datos. Los titulares de los datos pueden hacer que sus datos se transfieran de un sistema electrónico a otro en cualquier momento de forma segura y sin interrumpir su usabilidad.
  7. El derecho de oposición. Los interesados pueden oponerse a la forma en que se utiliza su información para fines de marketing, ventas o no relacionados con el servicio. El derecho de objeción no se aplica cuando se lleva a cabo la autoridad legal u oficial, una tarea se lleva a cabo por interés público, o cuando la organización necesita procesar los datos para proporcionarle un servicio para el que se inscribió.

Importancia de las políticas de privacidad en las leyes de protección de datos

Cualquier sitio web debe tener una política de privacidad que explique a sus usuarios qué información se recoge, cómo se utiliza, cómo puede compartirse y cómo se asegura. Para cumplir plenamente con las leyes de protección de datos estadounidenses y europeas, todos los interesados deben tener la oportunidad de dar su consentimiento para la recogida de información personal. Aunque gran parte de la información sobre los usuarios se proporciona voluntariamente cuando se registran para recibir boletines informativos, completan formularios o envían solicitudes por correo electrónico, la información recopilada de terceros y a través del uso de cookies también debe ser revelada, y los usuarios deben tener la oportunidad de consentir, bloquear o desactivar las cookies.

Cómo hacer que su empresa cumpla con las leyes de privacidad de datos

Incluso si su empresa tiene su sede en una jurisdicción que no ha implementado una legislación integral de privacidad de datos, es esencial considerar dónde podrían residir sus usuarios potenciales y qué regulaciones se aplican. Si tiene intención de hacer algún tipo de negocio en California, Nueva York o la Unión Europea, debe conocer los requisitos de la CCPA, la Ley SHIELD y el GDPR. En la mayoría de los casos, es más sencillo y menos costoso para su organización adherirse a estas normas para todos sus clientes en lugar de aplicar diferentes reglas según la ubicación.

La protección de datos es cada vez más importante y afectará a las decisiones de los usuarios sobre dónde realizan su navegación y compras online. Cada vez más, la reputación de una empresa por el manejo responsable de los datos personales será un activo que puede conducir a más tráfico en el sitio web, conversiones y un impacto positivo en los beneficios.

Si estás preparado para tomarte en serio las leyes de privacidad de datos, regístrate en Osano. Osano es una plataforma de privacidad de datos fácil de usar que hace que su sitio web cumpla al instante con la CCPA, la Ley SHIELD, el GDPR y otras leyes de privacidad. Osano es «compliance in a box», que ayuda inmediatamente a su sitio web a cumplir con las leyes de privacidad de datos. Cumpla con la normativa ahora.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *