La Ley de Internet, a veces llamada ciberlegislación, hace referencia a los principios y normativas legales que rigen el uso de Internet. Las leyes de Internet no siempre son claras y sencillas por los siguientes motivos:
La Unión Europea tiene una ley general de privacidad de datos conocida como RGPD (Reglamento General de Protección de Datos). Por el contrario, EE. UU. no cuenta con una ley central de privacidad en Internet a nivel federal. En cambio, existen varias leyes federales de privacidad enfocadas verticalmente y varias leyes de privacidad orientadas al consumidor en los diferentes estados. En esta descripción general analizaremos algunas de las leyes fundamentales de seguridad en Internet que debes conocer.
Aunque la Ley de Privacidad de 1974 es anterior a Internet, es posiblemente la base de muchas leyes que abordan la privacidad de los datos y de Internet en los EE. UU. La ley fue aprobada como reconocimiento de la cantidad de datos personales que las agencias gubernamentales de los Estados Unidos mantenían en bases de datos informáticas. La ley trataba lo siguiente:
Sin embargo, la creación de Internet cambió la definición de privacidad y obligó a promulgar nuevas leyes de seguridad de datos relacionadas con las comunicaciones electrónicas.
La Ley de la Comisión Federal de Comercio de 1914 estableció la Comisión Federal de Comercio de los EE. UU. (FTC, por sus siglas en inglés) y fue diseñada para prohibir los métodos desleales de competencia y los actos o prácticas desleales que afectan al comercio.
En la actualidad, aunque la FTC no regula explícitamente el tipo de información que debe incluirse en las políticas de privacidad de un sitio web, usa su autoridad para emitir normativas, hacer cumplir las leyes de privacidad y proteger a los consumidores. Por ejemplo, la FTC podría actuar contra organizaciones que hagan lo siguiente:
La FTC desempeña un papel en la regulación de Internet, sobre todo porque examina las representaciones engañosas realizadas por las principales empresas de tecnología y redes sociales relacionadas con la privacidad de los datos que recopilan de los consumidores. Por ejemplo, en el pasado, la FTC ha investigado quejas contra Facebook por su uso de los datos de los clientes.
La Ley de Protección de la Privacidad Online para Niños de 1998, también conocida como COPPA, es una ley federal de EE. UU. Su objetivo es que los padres controlen la información que se recopila online acerca de sus hijos pequeños. La COPPA se aplica a los operadores de sitios web comerciales y servicios online (incluidas las aplicaciones móviles y los dispositivos del Internet de las cosas) dirigidos a niños menores de 13 años y que recopilan información personal de niños.
Estos son algunos de los requisitos clave de la COPPA:
Si bien la ley surgió en los primeros días de Internet, se ha vuelto especialmente relevante en la era de las redes sociales y los anuncios programáticos. Una cuestión clave para la COPPA es saber hasta qué punto un sitio está "dirigido" a niños menores de 13 años. En los EE. UU., la Comisión Federal de Comercio evalúa los sitios según varios criterios, que incluyen los siguientes:
Algunos sitios web o servicios filtran a sus usuarios por edad, por lo que no tienen que cumplir con las regulaciones de la COPPA. Por ejemplo, muchas redes sociales, cuyo modelo de negocio se basa en la recopilación y monetización de los datos de los usuarios, han establecido una edad mínima de 13 años para los usuarios registrados.
Otra pregunta que plantea la COPPA es qué constituye "recopilar información personal". La recopilación de nombres, direcciones y fotografías se incluye en esta categoría. Sin embargo, elementos menos obvios son los anuncios de comportamiento, es decir, los anuncios que hacen un seguimiento del comportamiento del usuario en sitios web y aplicaciones, lo que también constituye una recopilación de información personal según lo que indica la COPPA. Incluso si un proveedor externo publica esos anuncios de comportamiento, el propietario del sitio web será responsable de ellos si aparecen en un sitio web dirigido a niños. Dado que los anuncios de comportamiento forman gran parte del ecosistema de Internet, esto tiene implicaciones significativas para los sitios web dirigidos a niños.
La Ley de Privacidad del Consumidor de California, o CCPA, se convirtió en ley en 2018. Su objetivo era abordar la privacidad del consumidor para los residentes de California mediante la ampliación de las protecciones de privacidad del consumidor a Internet. La CCPA se considera la legislación de privacidad de datos centrada en Internet más completa de los EE. UU., sin equivalente alguno a nivel federal.
Al igual que el RGPD de la UE, otorga a los consumidores el derecho a acceder a sus datos, junto con el derecho a eliminar y optar por no participar en el procesamiento de datos en cualquier momento. Sin embargo, la CCPA difiere del RGPD en que este último otorga a los consumidores el derecho a corregir o rectificar datos personales incorrectos, mientras que la CCPA no lo hace. El RGPD también requiere el consentimiento explícito en el momento en que los consumidores entregan sus datos. Por el contrario, la CCPA solo indica que debe haber una nota de privacidad disponible en los sitios web que informe a los consumidores de que tienen derecho a optar por no participar en cierta recopilación de datos. Otras características de la CCPA incluyen:
La CCPA tiene una definición amplia de información personal: "información que identifica a un consumidor o núcleo familiar en particular, que se relaciona con estos, que los describe, que puede asociarse con ellos o que podría estar razonablemente vinculada a ellos, de forma directa o indirecta". Es similar a la visión expansiva de datos personales del RGPD.
El Reglamento General de Protección de Datos de la UE, o RGPD, entró en vigor en 2018. Se trata de un marco legal que establece pautas sobre la recopilación y el procesamiento de información personal de individuos que viven en la Unión Europea. El RGPD se aplica sin importar la ubicación de los sitios web, lo que significa que todos los sitios que atraen visitantes europeos deben respetarlo. El RGPD se considera una de las leyes de seguridad de datos más estrictas del mundo.
El RGPD especifica que los usuarios del sitio web deben recibir una notificación sobre los datos que recopila el sitio, y los usuarios deben dar expresamente su consentimiento para esa recopilación de datos. Esta es la razón por la que muchos sitios web tienen ventanas emergentes que piden a los usuarios su consentimiento para que se recopilen cookies, es decir, pequeños archivos que contienen información personal, como la configuración y las preferencias del sitio.
Las características clave del RGPD incluyen:
La Comisión Europea explica el RGPD en detalle en su sitio web oficial. Se han producido algunas sanciones llamativas a grandes empresas por incumplimiento del RGPD, entre las que se incluyen la multa a Google por 57 millones de dólares porque se ocultaba información importante cuando los usuarios configuraban nuevos teléfonos Android, lo que significa que los usuarios no sabían qué políticas de recopilación de datos estaban aceptando. Otro ejemplo es la multa a British Airways por 28 millones de dólares cuando se robaron 500 000 registros de reservas de clientes en un ataque.
La Ley de Portabilidad y Responsabilidad de seguros médicos de 1996 (HIPAA, por sus siglas en inglés) es una ley federal de los EE. UU. centrada en la regulación de seguros médicos, que incluye secciones de seguridad y privacidad de los datos. Evita que los proveedores de atención médica, las empresas y las personas que trabajan con ellos divulguen la información médica de los consumidores sin su permiso.
Cuando la gente habla de la HIPAA, normalmente se refieren a la cláusula sobre Regla de privacidad establecida en 2003. Esta regla se introdujo en parte porque el Congreso de los EE. UU. reconoció que Internet aumentaba la probabilidad de que se produjeran infracciones de la privacidad de la salud. La Regla de privacidad de la HIPAA ofrece a los consumidores el derecho a controlar la divulgación de su información médica, para que puedan decirle a su proveedor de atención médica qué elementos compartir.
No obstante, la HIPAA solo protege la información de atención médica en poder de tipos específicos de proveedores de atención sanitaria. Por ejemplo, los datos de atención médica de una pulsera deportiva no suelen estar cubiertos por la HIPAA. Los datos genéticos que introduces en sitios web como Ancestry.com tampoco están cubiertos por la HIPAA. Otras leyes o acuerdos, como la divulgación de privacidad que requieren muchas aplicaciones, pueden proteger esa información, pero no es el caso en la HIPAA.
La Ley Gramm-Leach-Bliley (GLBA, por sus siglas en inglés), también conocida como Ley de Modernización de Servicios Financieros de 1999, es una ley bancaria y financiera que contiene elementos de seguridad y privacidad de los datos. Su protección de la información personal se basa en leyes anteriores sobre datos financieros del consumidor, como la Ley de Informes Crediticios Justos (FCRA, por sus siglas en inglés).
Básicamente, la GLBA protege la información personal no pública, lo que se define como cualquier "información recopilada sobre un individuo en relación con la prestación de un producto o servicio financiero, a menos que esa información esté disponible públicamente". La referencia a "disponible públicamente" significa registros de propiedad o cierta información hipotecaria que puede ser de dominio público.
La regla de protección de la GLBA requiere que los encargados de recopilar los datos protejan la información personal y creen sistemas de seguridad de datos del tamaño adecuado. Es decir, los grandes bancos nacionales necesitan protecciones más sofisticadas que, por ejemplo, una cooperativa de crédito de algún barrio.
La regla exige que las empresas realicen pruebas con regularidad. Además, deben implementar medidas de seguridad en sus operaciones diarias, como realizar verificaciones de antecedentes de los empleados y establecer planes de acción para infracciones en caso de ataque.
La GLBA establece la ilegalidad del pretexting. Este término hace referencia a alguien que obtiene acceso indebido a información no pública. El término a menudo se asocia con hackeos de ingeniería social, por ejemplo, cuando alguien se hace pasar por un gerente o agente de la ley para obtener información. Las estafas de phishing, que a veces implican la creación de sitios web falsos que engañan a las personas para que divulguen información privada, son otro ejemplo de pretexting. La GLBA exige que las instituciones financieras establezcan medidas que eviten el pretexting como parte de sus planes de seguridad.
Las diferentes jurisdicciones de todo el mundo disponen de sus propias leyes de seguridad de datos y privacidad en Internet. Por ejemplo, Brasil tiene la Ley General de Protección de Datos (LGPD) y Canadá la Ley de Protección de la Privacidad del Consumidor (CPPA), cuyo alcance es muy similar al del RGPD de la UE o la CCPA de California.
En los EE. UU., no existe una ley federal integral que rija la privacidad de los datos. La regulación de Internet es un mosaico complejo de leyes específicas del sector y del medio, lo que incluye leyes y regulaciones que abordan las telecomunicaciones, la información médica, la información crediticia, las instituciones financieras y el marketing.
Una de las mejores formas de proteger la privacidad online y la seguridad de los datos es utilizar una solución antivirus integral. Un producto como Kaspersky Total Security bloquea amenazas comunes y complejas como virus, malware, ransomware, aplicaciones espía y las últimas actividades de hackers.
Artículos relacionados: