¿Cuáles son algunas de las leyes sobre seguridad de datos e Internet?

¿Qué es la Ley de Internet?

La Ley de Internet, a veces llamada ciberlegislación, hace referencia a los principios y normativas legales que rigen el uso de Internet. Las leyes de Internet no siempre son claras y sencillas por los siguientes motivos:

• Internet es relativamente nuevo y continúa evolucionando, por lo que resulta difícil actualizar los marcos legales.
• Las leyes de Internet incorporan y aplican a menudo principios procedentes de diferentes campos legales, como leyes de privacidad o leyes de contratos, que son anteriores a Internet y pueden estar abiertas a interpretación.
• No existe una única ley que regule la privacidad online. En cambio, se aplica un conglomerado aleatorio de leyes federales y estatales. Además, las jurisdicciones de todo el mundo pueden tener diferentes interpretaciones sobre cómo aplicar las leyes de privacidad en Internet.

La Unión Europea tiene una ley general de privacidad de datos conocida como RGPD (Reglamento General de Protección de Datos). Por el contrario, EE. UU. no cuenta con una ley central de privacidad en Internet a nivel federal. En cambio, existen varias leyes federales de privacidad enfocadas verticalmente y varias leyes de privacidad orientadas al consumidor en los diferentes estados. En esta descripción general analizaremos algunas de las leyes fundamentales de seguridad en Internet que debes conocer.

Ley de privacidad de EE. UU. de 1974

Aunque la Ley de Privacidad de 1974 es anterior a Internet, es posiblemente la base de muchas leyes que abordan la privacidad de los datos y de Internet en los EE. UU. La ley fue aprobada como reconocimiento de la cantidad de datos personales que las agencias gubernamentales de los Estados Unidos mantenían en bases de datos informáticas. La ley trataba lo siguiente:

• El derecho de los ciudadanos estadounidenses a acceder a los datos en poder de las agencias gubernamentales y el derecho a obtener una copia de los mismos.
• El derecho de los ciudadanos a corregir cualquier error de información.
• La necesidad de que las agencias recopilen solo la información mínima relevante y necesaria para lograr sus fines.
• La restricción del acceso a los datos cuando se solicitan por la "necesidad de conocerlos".
• La restricción del intercambio de información entre agencias federales (y no federales); es decir, solo se permite bajo ciertas condiciones.

Sin embargo, la creación de Internet cambió la definición de privacidad y obligó a promulgar nuevas leyes de seguridad de datos relacionadas con las comunicaciones electrónicas.

Ley de la Comisión Federal de Comercio

La Ley de la Comisión Federal de Comercio de 1914 estableció la Comisión Federal de Comercio de los EE. UU. (FTC, por sus siglas en inglés) y fue diseñada para prohibir los métodos desleales de competencia y los actos o prácticas desleales que afectan al comercio.

En la actualidad, aunque la FTC no regula explícitamente el tipo de información que debe incluirse en las políticas de privacidad de un sitio web, usa su autoridad para emitir normativas, hacer cumplir las leyes de privacidad y proteger a los consumidores. Por ejemplo, la FTC podría actuar contra organizaciones que hagan lo siguiente:

• no sigan una política de privacidad publicada;
• transfieran información personal de una manera que no se describa correctamente en una política de privacidad;
• hagan declaraciones de privacidad y seguridad inexactas a los consumidores y en las políticas de privacidad; 
• no implementen ni mantengan medidas razonables de seguridad de los datos;
• no sigan los principios de autorregulación que sean aplicables al sector de la organización.

La FTC desempeña un papel en la regulación de Internet, sobre todo porque examina las representaciones engañosas realizadas por las principales empresas de tecnología y redes sociales relacionadas con la privacidad de los datos que recopilan de los consumidores. Por ejemplo, en el pasado, la FTC ha investigado quejas contra Facebook por su uso de los datos de los clientes.

Ley de Protección de la Privacidad Online para Niños

La Ley de Protección de la Privacidad Online para Niños de 1998, también conocida como COPPA, es una ley federal de EE. UU. Su objetivo es que los padres controlen la información que se recopila online acerca de sus hijos pequeños. La COPPA se aplica a los operadores de sitios web comerciales y servicios online (incluidas las aplicaciones móviles y los dispositivos del Internet de las cosas) dirigidos a niños menores de 13 años y que recopilan información personal de niños.

Estos son algunos de los requisitos clave de la COPPA:

• Los sitios web, las aplicaciones y las herramientas online dirigidas a niños menores de 13 años deben notificarlo y obtener el consentimiento de los padres antes de recopilar información de los niños.
• Deben contar con una política de privacidad clara y completa.
• Deben mantener segura y protegida cualquier información que obtengan de los niños.

Si bien la ley surgió en los primeros días de Internet, se ha vuelto especialmente relevante en la era de las redes sociales y los anuncios programáticos. Una cuestión clave para la COPPA es saber hasta qué punto un sitio está "dirigido" a niños menores de 13 años. En los EE. UU., la Comisión Federal de Comercio evalúa los sitios según varios criterios, que incluyen los siguientes:

• Temática principal
• Contenido
• Uso de personajes animados
• Uso de actividades o incentivos orientados a los niños
• Edad de los modelos
• Presencia de niños famosos o famosos que interesan a los niños
• Publicidad en el sitio dirigida a niños

Algunos sitios web o servicios filtran a sus usuarios por edad, por lo que no tienen que cumplir con las regulaciones de la COPPA. Por ejemplo, muchas redes sociales, cuyo modelo de negocio se basa en la recopilación y monetización de los datos de los usuarios, han establecido una edad mínima de 13 años para los usuarios registrados.

Otra pregunta que plantea la COPPA es qué constituye "recopilar información personal". La recopilación de nombres, direcciones y fotografías se incluye en esta categoría. Sin embargo, elementos menos obvios son los anuncios de comportamiento, es decir, los anuncios que hacen un seguimiento del comportamiento del usuario en sitios web y aplicaciones, lo que también constituye una recopilación de información personal según lo que indica la COPPA. Incluso si un proveedor externo publica esos anuncios de comportamiento, el propietario del sitio web será responsable de ellos si aparecen en un sitio web dirigido a niños. Dado que los anuncios de comportamiento forman gran parte del ecosistema de Internet, esto tiene implicaciones significativas para los sitios web dirigidos a niños.

Ley de Privacidad del Consumidor de California

La Ley de Privacidad del Consumidor de California, o CCPA, se convirtió en ley en 2018. Su objetivo era abordar la privacidad del consumidor para los residentes de California mediante la ampliación de las protecciones de privacidad del consumidor a Internet. La CCPA se considera la legislación de privacidad de datos centrada en Internet más completa de los EE. UU., sin equivalente alguno a nivel federal.

Al igual que el RGPD de la UE, otorga a los consumidores el derecho a acceder a sus datos, junto con el derecho a eliminar y optar por no participar en el procesamiento de datos en cualquier momento. Sin embargo, la CCPA difiere del RGPD en que este último otorga a los consumidores el derecho a corregir o rectificar datos personales incorrectos, mientras que la CCPA no lo hace. El RGPD también requiere el consentimiento explícito en el momento en que los consumidores entregan sus datos. Por el contrario, la CCPA solo indica que debe haber una nota de privacidad disponible en los sitios web que informe a los consumidores de que tienen derecho a optar por no participar en cierta recopilación de datos. Otras características de la CCPA incluyen:

• Los consumidores tienen derecho a acceder a sus datos a través de una solicitud de acceso del interesado.
• Las empresas no pueden vender la información personal de los consumidores sin proporcionar un aviso por Internet y sin darles la opción de no participar.
• Los consumidores tienen un derecho de acción limitado para demandar si son víctimas de una infracción de datos.
• El Fiscal general del Estado tiene una capacidad más general para demandar a las empresas en nombre de los residentes.

La CCPA tiene una definición amplia de información personal: "información que identifica a un consumidor o núcleo familiar en particular, que se relaciona con estos, que los describe, que puede asociarse con ellos o que podría estar razonablemente vinculada a ellos, de forma directa o indirecta". Es similar a la visión expansiva de datos personales del RGPD.

Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos de la UE, o RGPD, entró en vigor en 2018. Se trata de un marco legal que establece pautas sobre la recopilación y el procesamiento de información personal de individuos que viven en la Unión Europea. El RGPD se aplica sin importar la ubicación de los sitios web, lo que significa que todos los sitios que atraen visitantes europeos deben respetarlo. El RGPD se considera una de las leyes de seguridad de datos más estrictas del mundo.

El RGPD especifica que los usuarios del sitio web deben recibir una notificación sobre los datos que recopila el sitio, y los usuarios deben dar expresamente su consentimiento para esa recopilación de datos. Esta es la razón por la que muchos sitios web tienen ventanas emergentes que piden a los usuarios su consentimiento para que se recopilen cookies, es decir, pequeños archivos que contienen información personal, como la configuración y las preferencias del sitio.

Las características clave del RGPD incluyen:

• Los consumidores tienen derecho a saber cómo se recopilan y utilizan sus datos.
• Los consumidores pueden preguntar a los sitios web qué información se recopiló sobre ellos (sin pagar una tarifa).
• Si hay errores en los datos de los consumidores, pueden solicitar que se corrijan.
• Los consumidores pueden solicitar que se eliminen sus datos de los registros.
• Los consumidores tienen derecho a rechazar el procesamiento de datos, por ejemplo, con fines de marketing.
• Los sitios deben notificar a los usuarios si sus datos se han visto comprometidos o infringidos.

La Comisión Europea explica el RGPD en detalle en su sitio web oficial. Se han producido algunas sanciones llamativas a grandes empresas por incumplimiento del RGPD, entre las que se incluyen la multa a Google por 57 millones de dólares porque se ocultaba información importante cuando los usuarios configuraban nuevos teléfonos Android, lo que significa que los usuarios no sabían qué políticas de recopilación de datos estaban aceptando. Otro ejemplo es la multa a British Airways por 28 millones de dólares cuando se robaron 500 000 registros de reservas de clientes en un ataque.

Ley de Portabilidad y Responsabilidad de Seguros Médicos

La Ley de Portabilidad y Responsabilidad de seguros médicos de 1996 (HIPAA, por sus siglas en inglés) es una ley federal de los EE. UU. centrada en la regulación de seguros médicos, que incluye secciones de seguridad y privacidad de los datos. Evita que los proveedores de atención médica, las empresas y las personas que trabajan con ellos divulguen la información médica de los consumidores sin su permiso.

Cuando la gente habla de la HIPAA, normalmente se refieren a la cláusula sobre Regla de privacidad establecida en 2003. Esta regla se introdujo en parte porque el Congreso de los EE. UU. reconoció que Internet aumentaba la probabilidad de que se produjeran infracciones de la privacidad de la salud. La Regla de privacidad de la HIPAA ofrece a los consumidores el derecho a controlar la divulgación de su información médica, para que puedan decirle a su proveedor de atención médica qué elementos compartir.

No obstante, la HIPAA solo protege la información de atención médica en poder de tipos específicos de proveedores de atención sanitaria. Por ejemplo, los datos de atención médica de una pulsera deportiva no suelen estar cubiertos por la HIPAA. Los datos genéticos que introduces en sitios web como Ancestry.com tampoco están cubiertos por la HIPAA. Otras leyes o acuerdos, como la divulgación de privacidad que requieren muchas aplicaciones, pueden proteger esa información, pero no es el caso en la HIPAA.

Ley Gramm-Leach-Bliley

La Ley Gramm-Leach-Bliley (GLBA, por sus siglas en inglés), también conocida como Ley de Modernización de Servicios Financieros de 1999, es una ley bancaria y financiera que contiene elementos de seguridad y privacidad de los datos. Su protección de la información personal se basa en leyes anteriores sobre datos financieros del consumidor, como la Ley de Informes Crediticios Justos (FCRA, por sus siglas en inglés).

Básicamente, la GLBA protege la información personal no pública, lo que se define como cualquier "información recopilada sobre un individuo en relación con la prestación de un producto o servicio financiero, a menos que esa información esté disponible públicamente". La referencia a "disponible públicamente" significa registros de propiedad o cierta información hipotecaria que puede ser de dominio público.

La regla de protección de la GLBA requiere que los encargados de recopilar los datos protejan la información personal y creen sistemas de seguridad de datos del tamaño adecuado. Es decir, los grandes bancos nacionales necesitan protecciones más sofisticadas que, por ejemplo, una cooperativa de crédito de algún barrio.

La regla exige que las empresas realicen pruebas con regularidad. Además, deben implementar medidas de seguridad en sus operaciones diarias, como realizar verificaciones de antecedentes de los empleados y establecer planes de acción para infracciones en caso de ataque.

La GLBA establece la ilegalidad del pretexting. Este término hace referencia a alguien que obtiene acceso indebido a información no pública. El término a menudo se asocia con hackeos de ingeniería social, por ejemplo, cuando alguien se hace pasar por un gerente o agente de la ley para obtener información. Las estafas de phishing, que a veces implican la creación de sitios web falsos que engañan a las personas para que divulguen información privada, son otro ejemplo de pretexting. La GLBA exige que las instituciones financieras establezcan medidas que eviten el pretexting como parte de sus planes de seguridad.

Leyes de privacidad en Internet: conclusión

Las diferentes jurisdicciones de todo el mundo disponen de sus propias leyes de seguridad de datos y privacidad en Internet. Por ejemplo, Brasil tiene la Ley General de Protección de Datos (LGPD) y Canadá la Ley de Protección de la Privacidad del Consumidor (CPPA), cuyo alcance es muy similar al del RGPD de la UE o la CCPA de California.

En los EE. UU., no existe una ley federal integral que rija la privacidad de los datos. La regulación de Internet es un mosaico complejo de leyes específicas del sector y del medio, lo que incluye leyes y regulaciones que abordan las telecomunicaciones, la información médica, la información crediticia, las instituciones financieras y el marketing. 

Una de las mejores formas de proteger la privacidad online y la seguridad de los datos es utilizar una solución antivirus integral. Un producto como Kaspersky Total Security bloquea amenazas comunes y complejas como virus, malware, ransomware, aplicaciones espía y las últimas actividades de hackers.

Artículos relacionados:

• ¿Qué es la privacidad de los datos? Cómo protegerse
• ¿Qué es la seguridad en Internet? Cómo protegerse en Internet
• Cómo proteger la privacidad online cuando lo laboral se mezcla con lo personal
• Cómo proteger y ocultar la dirección IP