Privacidad de los Datos Personales del Consumidor
Consumer privacy bill of rights act personal data de Estados Unidos El Presidente Obama propuso un borrador de la ley de la ley de derechos de privacidad del consumidor (CPBORA) el 27 de febrero de 2015. Si se aprueba, pues fue reintroducida más tarde, C
Privacidad Informativa o Privacidad de los Datos Personales del Consumidor
Este artículo es una ampliación de las guías y los cursos de Lawi. Examina el concepto jurídico y todo sobre este tema. Te explicamos, en el marco del derecho de consumo y los consumidores, qué es, sus características y contexto. Esta entrada examina las cuestiones de privacidad de información o privacidad de datos. Se discuten los problemas provocados por la llegada de Internet, que crearon muchas oportunidades de negocio pero amenazaron la privacidad personal.
Además de proponer una definición para la privacidad de la información, argumenta que la privacidad es también un derecho moral y en la protección de estos derechos, los encargados de la formulación de políticas deben guiarse por principios de transparencia y consentimiento fundamentado para que los usuarios puedan controlar adecuadamente el acceso a sus datos.
"Consumer privacy bill of rights act personal data" de Estados Unidos
El Presidente Obama propuso un borrador de la ley de la ley de derechos de privacidad del consumidor (CPBORA) el 27 de febrero de 2015. Si se aprueba, pues fue reintroducida más tarde, CPBORA será una ley de protección de datos paraguas para los Estados Unidos que se basará en las condiciones o principios. Será como el GDPR en Europa o POPI [la ley POPI en Sudáfrica establece las condiciones para que las empresas puedan procesar legalmente la información personal] en Sudáfrica – una ley que establece las condiciones para el procesamiento legal de datos personales. Todas las entidades de los Estados Unidos tendrán que hacer muchas cosas para cumplir. La propuesta fue criticada por la Comisión Federal de comercio y a los defensores de la privacidad por no contener suficientes protecciones al consumidor, y por la comunidad empresarial por la falta de claridad y el potencial para sofocar la innovación y crear otras Consecuencias. Parece improbable que el proyecto tenga mucha tracción en este Congreso.
Sin embargo, la propuesta de la casa blanca sirve como un punto de datos potencialmente útil para las organizaciones que buscan desarrollar o mantener programas de privacidad y códigos de conducta de la industria que se ocupan de las preocupaciones de los consumidores y los estrategas políticos. La legislación propuesta se aplicaría, con sujeción a exenciones específicas que se examinan a continuación, a "entidades cubiertas" que recojan, creen, procesen, retengan, utilicen o divulguen datos personales o afecten al comercio interestatal. El proyecto de ley define "datos personales" en términos generales.
Los datos personales generalmente incluirían datos vinculados a un individuo o dispositivo específico, pero no de otra manera generalmente disponibles para el público a través de medios lícitos.
Los datos personales también abarcarían "identificadores persistentes únicos" y otros identificadores o únicamente "información descriptiva sobre los dispositivos personales de la informática o de la comunicación." En consonancia con la propuesta 2012 de la administración, la propuesta identificaba siete principios fundamentales para salvaguardar la información personal:
Transparencia.
Explicaciones
Las entidades cubiertas tendrían que proporcionar a las personas avisos concisos, visibles y fácilmente comprensibles que ofrezcan información precisa, clara y oportuna sobre las prácticas de privacidad y seguridad de las entidades. La ley especifica los requisitos de contenido para tales avisos, incluyendo información sobre prácticas de retención, divulgaciones y mecanismos para obtener acceso a datos personales.
Control individual.
Explicaciones
Las entidades cubiertas deberán proporcionar a las personas medios razonables para controlar el tratamiento de sus datos personales que sean proporcionales a los riesgos de privacidad. La ley define el riesgo de privacidad como "el potencial de datos personales, por sí mismo o cuando se vincula con otra información sobre un individuo, para causar angustia emocional o daño físico, financiero, profesional o de otro modo a un individuo." La ley requeriría que las entidades cubiertas ofrezcan a las personas los medios para retirar su consentimiento al tratamiento de datos personales, con sujeción a excepciones tales como la prevención del fraude, la protección de los sistemas de comunicaciones, y donde la primera enmienda de una entidad cubierta los intereses o las obligaciones legales requieren un procesamiento continuo.
Respeto por el contexto. Si una entidad cubierta procesa datos personales de una manera que no es razonable a la luz de su "contexto", la ley requeriría que la entidad llevara a cabo un análisis de riesgo de privacidad y proporcionara a las personas "mayor transparencia y control individual" (es decir, avisos razonablemente diseñado para informar a los individuos de los riesgos de privacidad, así como un mecanismo que permite a las personas reducir el riesgo de privacidad). El contexto sería determinado por, entre otras cosas, las interacciones entre una entidad y los individuos y qué individuos razonables entenderían sobre las prácticas de la entidad cubierta. El análisis de riesgo de privacidad incluiría, pero no se limitaría a, "revisiones de fuentes de datos, sistemas, flujos de información, entidades asociadas y usos de datos y análisis".
Sin embargo, las juntas de revisión de privacidad de la industria aprobadas por la FTC podrían eximir a las entidades cubiertas de proporcionar un mayor aviso y control individual cuando las juntas de revisión de privacidad supervisen el procesamiento de datos que de otro modo no es razonable en términos de contexto.
Colección focalizada y uso responsable. A las entidades cubiertas se les permitiría recolectar, retener y utilizar los datos personales solo como razonables a la luz del contexto.
Explicaciones
Las entidades cubiertas tendrían que eliminar, destruir o desidentificar los datos personales en un plazo (véase más detalles en esta plataforma general) razonable después de cumplir con los fines para los que se recopilaron los datos.
Seguridad. Para asegurar los datos personales contra la pérdida, el compromiso, la alteración, y el uso no autorizado, o la divulgación, las entidades cubiertas serían necesarias llevar a cabo evaluaciones de riesgo de seguridad e implementar salvaguardias razonables de seguridad a la luz de esas evaluaciones.
Acceso y precisión.
Entre las Líneas En general, las entidades cubiertas tendrían la obligación de proporcionar a las personas, previa solicitud y con sujeción a la verificación de identificación, un acceso razonable a los datos personales sobre los mismos que controlan las entidades.Entre las Líneas En general, las entidades cubiertas tendrían que tomar medidas razonables, apropiadas a cualquier riesgo asociado (véase qué es, su concepto jurídico; y también su definición como "associate" en derecho anglo-sajón, en inglés) de privacidad, para asegurar que los datos personales en poder de las entidades sean exactos.
Responsabilidad. Se requeriría que las entidades cubiertas proporcionen capacitación a los empleados, realicen evaluaciones de privacidad, adopten la privacidad por procesos de diseño, exijan a los destinatarios de datos personales que utilicen los datos de manera consistente con las obligaciones de las entidades cubiertas, y tomen otras pasos razonables para asegurar el cumplimiento de la ley.
La ley eximiría a ciertas entidades cubiertas del marco y proporcionaría varias excepciones significativas a lo que constituye datos personales. Las siguientes entidades no estarán sujetas a la ley: organizaciones con veinticinco o menos empleados que solo procesan los datos personales y las organizaciones de empleados y trabajadores que no procesan "datos sensibles" y (1) recopilan datos personales de menos de 10.000 individuos y dispositivos durante un período de 12 meses o (2) tienen cinco o menos empleados.
Los datos confidenciales incluyen datos personales relacionados con historias médicas, origen nacional, orientación sexual, información financiera, identidad de género, información precisa de geolocalización, biometría y números de seguridad social.
Sin embargo, cabe señalar que los datos delicados no están sujetos a protecciones intensificadas en virtud de la ley. Los datos personales no incluirían la información de los empleados utilizada en relación con el empleo, información sobre los indicadores de amenazas cibernéticas o datos desidentificados. La definición de "desidentificación" de la ley es similar a la de la Comisión Federal de comercio.
Los datos de carácter personal se desidentifican si:
no es razonable vincular los datos a un individuo o dispositivo específico;
la entidad cubierta se compromete públicamente a no volver a identificar los datos y adopta controles para evitar la reidentificación; y
prohíbe a cada entidad que recibe datos desidentificados que se abstengan de volver a identificar los datos y a hacer un compromiso público con ese fin.
A pesar de estas exenciones y limitaciones, si la ley se promulgara, probablemente crearía cargas significativas de cumplimiento en las entidades y empresas cubiertas que hacen negocios con entidades cubiertas. Los mandatos de la ley sobre el contexto, por ejemplo, pueden requerir que las entidades cubiertas recojan información adicional de los consumidores con el fin de desarrollar una comprensión razonable del contexto de la relación.
Además, los derechos de acceso y los requisitos de responsabilidad de la ley crean nuevas obligaciones significativas en las entidades cubiertas. La ley define estas obligaciones vagamente y, en cierta medida, crea normas no probadas que probablemente serían difíciles de aplicar. Es probable que las empresas luchen para determinar cómo y hasta qué punto los consumidores deben tener acceso a sus datos personales. Determinar si y cuándo modificar los datos personales basándose en las solicitudes de los consumidores probablemente resultaría difícil. Y las empresas probablemente se verían retadas a anticipar con cierta certeza el tipo de angustia emocional que se consideraría que constituía un riesgo de privacidad. La ley no distingue explícitamente entre los coleccionistas de datos de primera y tercera parte, lo que podría dar lugar a que los consumidores se inundaran con avisos de privacidad y mecanismos de elección.
Los terceros, como los proveedores de servicios, los corredores de datos y los socios comerciales parecen estar sujetos a las obligaciones de transparencia y control individual de la ley. El cumplimiento de estos requisitos sería un reto para las entidades que no tienen relación directa con los consumidores. Si los terceros optan por cumplir con la ley poniéndose en contacto directamente con los consumidores, el alcance y la variedad de las notificaciones podrían abrumar muy bien a los consumidores y darles poco beneficio tangible. Las cuestiones que surgen de la potencial falta de claridad y de la carga de cumplimiento se agravan por el potencial de sanciones monetarias significativas. Las violaciones de la ley se tratarían como actos o prácticas injustas o engañosas en virtud del artículo 5 de la ley federal de la Comisión de comercio. La FTC sería capaz de emitir sanciones civiles de hasta $25 millones. Las sanciones se calcularían ya sea multiplicando el número de días en que una entidad violó la ley por una cantidad establecida por la FTC y no exceda $35.000 o multiplicando el número de consumidores directamente afectados por una cantidad que no exceda de $5.000. Este último método solo se permitiría si la FTC proporcionó a la entidad cubierta la notificación de sus presuntas violaciones y ofreció a la entidad cubierta que proporcionara una respuesta en un plazo (véase más detalles en esta plataforma general) de 45 días. Los Procuradores Generales del estado podrían perseguir el alivio judicial por violaciones en nombre de sus electores, pero no estarían autorizados a buscar otro alivio. Y la ley no proporciona ningún derecho de acción privado. El proyecto de ley prevé la creación de códigos de conducta de la industria, que la Comisión Federal de Comercio (FTC) revisará y posiblemente aprobará.
Explicaciones
Las entidades cubiertas que respeten los códigos de conducta aprobados estarán sujetas a un "puerto seguro" contra la observancia.
Además, en lo que parece ser un intento de no sofocar la innovación tecnológica, las entidades cubiertas no estarán sujetas a sanciones civiles en los primeros dieciocho meses después de la fecha en que la entidad cubierta haya creado o procesado datos personales por primera vez. El proyecto de ley no le daría a la FTC una amplia autoridad reglamentación, pero la FTC estaría autorizada a emitir reglas sobre el desarrollo de códigos de conducta de la industria vinculante, proporcionando más excepciones de la definición de "entidad cubierta", y estableciendo requisitos para las juntas de revisión de privacidad de la industria. El proyecto de ley no prevendría las leyes estatales de aplicación general, sino que prevendría las leyes estatales que regulan explícitamente el procesamiento de datos personales. Autor: Williams