¿Cuáles son algunas de las leyes sobre seguridad de datos e Internet?

¿Qué es la ley de Internet?

La ley de Internet, a veces llamada ciberlegislación, se refiere a los principios y normativas legales que rigen el uso de Internet. Las leyes de Internet no siempre son claras y sencillas por los siguientes motivos:

• El Internet es relativamente nuevo y continúa evolucionando, lo que significa que es difícil actualizar los marcos legales.
• Las leyes de Internet a menudo incorporan y aplican principios provenientes de diferentes campos legales, como leyes de privacidad o leyes de contratos, que son anteriores al Internet y pueden estar abiertas a interpretación.
• No existe una única ley que regule la privacidad en línea. En cambio, se aplica un conglomerado aleatorio de leyes federales y estatales. Además, las distintas jurisdicciones alrededor el mundo pueden tener diferentes interpretaciones sobre cómo aplicar las leyes de privacidad en Internet.

La Unión Europea tiene una ley general de privacidad de datos conocida como RGPD, el Reglamento General de Protección de Datos. Por el contrario, EE. UU. no tiene una ley central de privacidad en Internet a nivel federal. En cambio, existen varias leyes federales de privacidad enfocadas verticalmente y varias leyes de privacidad orientadas al consumidor en los diferentes estados. En esta descripción general, se analizan algunas de las leyes fundamentales de seguridad en Internet que debes conocer.

Ley de privacidad de EE. UU. de 1974

Aunque la Ley de Privacidad de 1974 existe desde antes que el Internet, es posiblemente la base de muchas leyes que abordan la privacidad de los datos y de Internet en los EE. UU. La ley fue aprobada en reconocimiento de la cantidad de datos personales que las agencias gubernamentales de los Estados Unidos mantenían en bases de datos informáticas. La ley cubría lo siguiente:

• El derecho de los ciudadanos estadounidenses a acceder a los datos en poder de las agencias gubernamentales y el derecho a una copia de esos datos.
• El derecho de los ciudadanos a corregir cualquier error de información.
• La necesidad de que las agencias recopilen solo la información mínima relevante y necesaria para lograr sus fines.
• La restricción del acceso a los datos cuando se solicitan por la "necesidad de conocerlos".
• La restricción del intercambio de información entre agencias federales (y no federales); es decir, solo se permite bajo ciertas condiciones.

Sin embargo, la invención del Internet cambió la definición de privacidad y obligó a promulgar nuevas leyes de seguridad de datos relacionadas con las comunicaciones electrónicas.

Ley de la Comisión Federal de Comercio

La Ley de la Comisión Federal de Comercio de 1914 estableció la Comisión Federal de Comercio de los EE. UU. (FTC, por sus siglas en inglés) y fue diseñada para prohibir los métodos desleales de competencia y los actos o prácticas desleales que afectan al comercio.

Hoy, aunque la FTC no regula explícitamente qué información debe incluirse en las políticas de privacidad de un sitio web, usa su autoridad para emitir regulaciones, hacer cumplir las leyes de privacidad y proteger a los consumidores. Por ejemplo, la FTC podría actuar contra organizaciones que hagan lo siguiente:

• No siguen una política de privacidad publicada.
• Transfieren información personal de una manera que no se describe correctamente en una política de privacidad.
• Hacen declaraciones de privacidad y seguridad inexactas a los consumidores y en las políticas de privacidad. 
• No implementan ni mantienen medidas razonables de seguridad de datos.
• No siguen los principios de autorregulación que pueden aplicarse a la industria de la organización.

La FTC desempeña un papel en la regulación de Internet, sobre todo porque examina las representaciones engañosas realizadas por las principales empresas de tecnología y redes sociales en relación con la privacidad de los datos que recopilan de los consumidores. Por ejemplo, anteriormente, la FTC ha investigado quejas contra Facebook por su uso de datos de clientes.

Ley de Protección de la Privacidad en Línea para Niños

La Ley de Protección de la Privacidad en Línea para Niños de 1998, también conocida como COPPA, es una ley federal de EE. UU. Su objetivo es que los padres controlen la información que se recopila en línea acerca de sus hijos pequeños. La COPPA se aplica a los operadores de sitios web comerciales y servicios en línea (incluidas las aplicaciones móviles y los dispositivos de Internet de las cosas) dirigidos a niños menores de 13 años y que recopilan información personal de niños.

Algunos de los requisitos clave de la COPPA incluyen lo siguiente:

• Los sitios web, las aplicaciones y las herramientas en línea dirigidas a niños menores de 13 años deben notificar y obtener el consentimiento de los padres antes de recopilar información de los niños.
• Deben tener una política de privacidad clara y completa.
• Deben mantener segura y protegida cualquier información que obtengan de los niños.

Si bien la ley se originó en los primeros días de Internet, se volvió especialmente relevante en la era de las redes sociales y los anuncios programáticos. Una cuestión clave con la COPPA es saber hasta qué punto un sitio está "dirigido" a niños menores de 13 años. En los EE. UU., la Comisión Federal de Comercio evalúa los sitios según varios criterios, que incluyen lo siguiente:

• Temática principal
• Contenido
• Uso de personajes animados
• Uso de actividades o incentivos orientados a los niños
• Edad de los modelos
• Presencia de celebridades infantiles o celebridades que atraen a los niños
• Publicidad en el sitio dirigida a niños

Algunos sitios web o servicios filtran a sus usuarios por edad, por lo que no tienen que cumplir con las regulaciones de la COPPA. Por ejemplo, muchas redes sociales, cuyo modelo de negocio se basa en la recopilación y monetización de datos de los usuarios, establecen a los 13 años como edad mínima para los usuarios registrados.

Otra pregunta planteada por la COPPA es qué constituye "recopilar información personal". La recopilación de nombres, direcciones y fotografías se incluye en esta categoría. Sin embargo, elementos menos obvios son los anuncios de comportamiento, es decir, los anuncios que rastrean el comportamiento del usuario en sitios web y aplicaciones, que también constituye una recopilación de información personal según lo que indica la COPPA. Incluso si un proveedor externo publica esos anuncios de comportamiento, el propietario del sitio web es responsable de ellos si aparecen en un sitio web dirigido a niños. Dado que los anuncios de comportamiento forman gran parte del ecosistema de Internet, esto tiene implicaciones significativas para los sitios web dirigidos a niños.

Ley de Privacidad del Consumidor de California

La Ley de Privacidad del Consumidor de California, o CCPA, se convirtió en ley en el 2018. Su objetivo era abordar la privacidad del consumidor para los residentes de California extendiendo las protecciones de privacidad del consumidor a Internet. La CCPA se considera la legislación de privacidad de datos centrada en Internet más completa de los EE. UU., sin equivalente alguno a nivel federal.

Al igual que el RGPD de la UE, otorga a los consumidores el derecho a acceder a sus datos, junto con el derecho a eliminar y optar por no participar en el procesamiento de datos en cualquier momento. Sin embargo, la CCPA difiere del RGPD en que este último otorga a los consumidores el derecho a corregir o rectificar datos personales incorrectos, mientras que la CCPA no lo hace. El RGPD también requiere el consentimiento explícito en el momento en que los consumidores entregan sus datos. Por el contrario, la CCPA solo indica que debe haber una nota de privacidad disponible en los sitios web que informe a los consumidores que tienen derecho a optar por no participar en cierta recopilación de datos. Otras características de la CCPA incluyen lo siguiente:

• Los consumidores tienen derecho a acceder a sus datos a través de una solicitud de acceso del interesado.
• Las empresas no pueden vender la información personal de los consumidores sin proporcionar un aviso por Internet y sin darles la posibilidad de no participar.
• Los consumidores tienen un derecho de acción limitado para demandar si son víctimas de una violación de datos.
• El Fiscal general del Estado tiene una capacidad más general para demandar a las empresas en nombre de los residentes.

La CCPA tiene una definición amplia de información personal: "información que identifica a un consumidor u núcleo familiar en particular, que se relaciona con estos, que los describe, que puede asociarse con ellos o que podría estar razonablemente vinculada a ellos, de forma directa o indirecta". Esto es similar a la visión expansiva de datos personales del RGPD.

Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos de la UE, o RGPD, entró en vigor en el 2018. Es un marco legal que establece pautas para recopilar y procesar información personal de individuos que viven en la Unión Europea. El RGPD se aplica sin importar la ubicación base de los sitios web, lo que significa que todos los sitios que atraen visitantes europeos deben respetarlo. El RGPD se considera una de las leyes de seguridad de datos más estrictas del mundo.

El RGPD especifica que los usuarios del sitio web deben recibir una notificación sobre los datos que un sitio está recopilando, y los usuarios deben dar expresamente su consentimiento para esa recopilación de datos. Esta es la razón por la que muchos sitios web tienen ventanas emergentes que piden a los usuarios su consentimiento para que se recopilen cookies, es decir, pequeños archivos que contienen información personal, como la configuración y las preferencias del sitio.

Las características clave del RGPD incluyen lo siguiente:

• Los consumidores tienen derecho a saber cómo se recopilan y utilizan sus datos.
• Los consumidores pueden preguntar a los sitios web qué información se recopiló sobre ellos (sin pagar una tarifa).
• Si hay errores en los datos de los consumidores, pueden solicitar que se corrijan.
• Los consumidores pueden solicitar que se eliminen sus datos de los registros.
• Los consumidores tienen derecho a rechazar el procesamiento de datos, por ejemplo, con fines de marketing.
• Los sitios deben notificar a los usuarios si sus datos fueron comprometidos o infringidos.

La Comisión Europea explica el RGPD en detalle en su sitio web oficial. Hubo algunas sanciones llamativas a grandes empresas por infracciones al RGPD, entre las que se incluyen la multa a Google por 57 millones de dólares porque se ocultaba información importante cuando los usuarios configuraban nuevos teléfonos Android, lo que significa que los usuarios no sabían qué políticas de recopilación de datos estaban aceptando. También se incluye la multa a British Airways por 28 millones de dólares cuando se robaron 500 000 registros de reservas de clientes en un ataque.

Ley de Portabilidad y Responsabilidad de Seguros Médicos

La Ley de Portabilidad y Responsabilidad de seguros médicos de 1996 (HIPAA, por sus siglas en inglés) es una ley federal de los EE. UU. centrada en la regulación de seguros médicos, que incluye secciones de seguridad y privacidad de los datos. Evita que los proveedores de atención médica, las empresas y las personas que trabajan con ellos divulguen la información médica de los consumidores sin su permiso.

Cuando la gente habla de la HIPAA, normalmente se refieren a la disposición de la Regla de privacidad establecida en el 2003. Esta regla se introdujo en parte porque el Congreso de los EE. UU. reconoció que Internet aumentaba la probabilidad de que se produjeran violaciones de la privacidad de la salud. La regla de privacidad de la HIPAA les da a los consumidores el derecho a controlar la divulgación de su información médica, a fin de que puedan decirle a su proveedor de atención médica qué elementos compartir.

Sin embargo, la HIPAA solo protege la información de atención médica en poder de tipos específicos de proveedores de atención médica. Por ejemplo, los datos de atención médica en tu rastreador deportivo generalmente no están cubiertos por la HIPAA. Los datos genéticos que ingresas en sitios web como Ancestry.com tampoco están cubiertos por la HIPAA. Otras leyes o acuerdos, como las divulgaciones de privacidad requeridas en muchas aplicaciones, pueden proteger esa información, pero no es el caso en la HIPAA.

Ley Gramm-Leach-Bliley

La Ley Gramm-Leach-Bliley (GLBA, por sus siglas en inglés), también conocida como Ley de Modernización de Servicios Financieros de 1999, es una ley bancaria y financiera que contiene elementos de seguridad y privacidad de los datos. Su protección de la información personal se basa en leyes anteriores sobre datos financieros del consumidor, como la Ley de informes crediticios justos (FCRA, por sus siglas en inglés).

Básicamente, la GLBA protege la información personal no pública, lo que se define como cualquier "información recopilada sobre un individuo en relación con la prestación de un producto o servicio financiero, a menos que esa información esté disponible públicamente". La referencia a "disponible públicamente" significa registros de propiedad o cierta información hipotecaria que puede ser de dominio público.

La regla de protección de la GLBA requiere que los recopiladores de datos protejan la información personal y creen sistemas de seguridad de datos del tamaño adecuado. En otras palabras, los grandes bancos nacionales necesitan protecciones más sofisticadas que, por ejemplo, una cooperativa de crédito de algun barrio.

La regla exige que las empresas realicen pruebas con regularidad. Además, deben implementar medidas de seguridad en sus operaciones diarias, como realizar verificaciones de antecedentes de los empleados y establecer planes de acción para infracciones en caso de ataque.

La GLBA hace que el pretexting sea ilegal. Esto se refiere a alguien que obtiene acceso indebido a información no pública. El término a menudo se asocia con hackeos de ingeniería social, por ejemplo, cuando alguien se hace pasar por un gerente o agente de la ley para obtener información. Las estafas de phishing, que a veces implican la creación de sitios web falsos que engañan a las personas para que divulguen información privada, son otro ejemplo de pretexting. La GLBA exige que las instituciones financieras establezcan medidas que eviten el pretexting como parte de sus planes de seguridad.

Leyes de privacidad en Internet: Conclusión

Diferentes jurisdicciones de todo el mundo tienen sus propias leyes de seguridad de datos y privacidad en Internet. Por ejemplo, Brasil tiene la Lei Geral de Proteção de Dados (LGPD), mientras que Canadá tiene la Ley de Protección de la Privacidad del Consumidor (CPPA), que tienen un alcance muy similar al RGPD de la UE o la CCPA de California.

En los EE. UU., no existe una ley federal integral que gobierne la privacidad de los datos. La regulación de Internet es un mosaico complejo de leyes específicas del sector y del medio, lo que incluye leyes y regulaciones que abordan las telecomunicaciones, la información médica, la información crediticia, las instituciones financieras y el marketing. 

Una de las mejores formas de proteger tu privacidad en línea y la seguridad de tus datos es utilizar una solución antivirus integral. Un producto como Kaspersky Total Security bloquea amenazas comunes y complejas como virus, malware, ransomware, aplicaciones espía y las últimas actividades de hackers.

Artículos relacionados:

• ¿Qué es la privacidad de datos? (en inglés) Cómo protegerte
• ¿Qué es la seguridad en Internet? Cómo protegerte en línea
• Cómo cuidar tu privacidad en línea cuando lo laboral se mezcla con lo personal
• Cómo ocultar tu dirección IP