Leyes globales de privacidad de datos: USA, UE, China y más

En el período 2018-2020, el despliegue de GDPR en la UE (Unión Europea) está teniendo un impacto en las empresas de todo el mundo, gracias a su alcance legislativo más allá de las fronteras de la UE. Pero las empresas también tienen que contentarse con una ola de nueva legislación sobre privacidad de datos en los Estados Unidos, el Reino Unido, China y muchos otros países. Algunas leyes están inspiradas en el GDPR, mientras que otras adoptan un enfoque único que satisface las necesidades de su país.

Este resumen de las leyes de privacidad de datos aborda siete mercados principales, que cubren la legislación vigente, cómo afecta a las compañías nacionales e internacionales y cualquier característica única que pueda causar problemas para las empresas que manejan datos personales.

Índice

Leyes de privacidad de datos de USA
Leyes de privacidad de datos de la UE
Leyes de privacidad de datos del Reino Unido posteriores al Brexit
Leyes de privacidad de datos de APEC
Leyes de privacidad de datos en Corea del Sur
Leyes de protección de datos de China
Leyes de privacidad de datos en Israel

Leyes de privacidad de datos de USA

Estados Unidos es único entre los principales países por no tener un conjunto unificado de leyes de privacidad de datos. Dado que una gran cantidad de compañías globales de Internet tienen su sede en los EE. UU. (Google, Facebook, etc.), la introducción de la legislación probablemente llegará pronto.

Hay dos conjuntos de leyes que brindan alguna orientación sobre la futura regulación de los Estados Unidos:

• El Estado de California aprobó la Ley de Privacidad del Consumidor de California (CPA) que entrará en vigencia en 2020, inspirada en el GDPR de la Unión Europea.
• Estados Unidos también acordó un conjunto mínimo de estándares de privacidad, según lo definido por APEC, la asociación de Asia y el Pacífico con 21 países, incluidos Japón, Canadá y México. Los estándares APEC tienen su propia sección en esta publicación, ver más abajo.

El CPA de California responsabiliza a todas las empresas del manejo seguro de los datos personales. También exige que los usuarios estén informados sobre cómo se usan esos datos y si esos datos se ven comprometidos de alguna manera.

Los Estados Unidos tienen normas establecidas para la información de atención médica, como se formaliza en la legislación HIPAA.

Twist único: sin leyes nacionales vigentes, USA. Da mucha libertad a las empresas a corto plazo para establecer sus propios estándares de protección de datos y privacidad. Sin embargo, esas compañías deberían estar listas para adaptarse a los cambios a largo plazo, ya que el debate público sobre las violaciones de privacidad y seguridad comenzará a dar forma a las nuevas leyes que entrarán en vigencia.

Leyes de privacidad de datos de la UE

• El Reglamento General de Protección de Datos (GDPR) se promulgó en abril de 2016 y entró en vigencia el 25 de mayo de 2018.
• El GDPR se aplica a cualquier forma de datos personales, definida como cualquier dato que por sí mismo, o cuando se combina con otros datos a los que el poseedor pueda acceder, puede usarse para identificar a un individuo.
• El GDPR se aplica a cualquier organización que recopile, almacene o procese los datos personales de los residentes de la UE, ya sea que la organización se base o no en la UE.
• GDPR está destinado a ser una ley integral de privacidad de datos para los países miembros de la UE, pero cada país debe aprobar sus propias regulaciones para monitorear y hacer cumplir GDPR dentro de sus fronteras.
• GDPR ofrece a las personas el derecho a solicitar la eliminación o corrección de sus datos personales, y exige a las empresas que cumplan con esas solicitudes.
• Twist único: hay mucha confusión sobre el alcance de GDPR cuando se trata de personas o empresas fuera de la UE. Consulte nuestra descripción detallada del GDPR para obtener más información sobre cómo la UE define a los interesados y cómo eso afecta la aplicación del GDPR a los datos personales.

Leyes de privacidad de datos del Reino Unido posteriores al Brexit

• La Ley de Protección de Datos (DPA) es la implementación del Reino Unido del Reglamento General de Protección de Datos (GDPR), y fue aprobada el 23 de mayo de 2018, con vigencia inmediata. El DPA permanecerá vigente independientemente del resultado de Brexit.
• DPA cubre datos personales, incluidos datos pertenecientes a delincuentes. DPA permite la creación de perfiles de personas, mientras que GDPR no.
• El DPA se hace eco del GDPR, pero lo amplía para incluir la recopilación de inteligencia, la inmigración y las autoridades públicas.
• NHS, el sistema nacional de salud del Reino Unido, ha establecido reglas para todas las organizaciones que trabajan con datos de salud.
• Twist único: el DPA extiende las multas para los infractores reincidentes a cantidades

Leyes de privacidad de datos de APEC

• APEC es una organización de Asia Pacífico, que cuenta con los Estados Unidos, Japón, Corea del Sur, Canadá y México entre sus 21 países miembros.
• Las Reglas de Privacidad Transfronterizas (CBPR) se establecieron para proporcionar una base para las leyes de privacidad dentro de cada uno de los países miembros de APEC. Hasta ahora, Estados Unidos, Canadá, Japón y México lo han adoptado.
• Las pautas de privacidad de datos de CBPR se aplican a cualquier organización pública o privada que maneje datos personales.
• A diferencia del RGPD de la UE, que se aplica a los procesadores y controladores de datos, CBPR solo se aplica a los controladores. Vea el gráfico a continuación para las definiciones de cada uno.
• CBPR está destinado a proporcionar un nivel mínimo de protección, útil para los países miembros que comercian dentro del grupo. Depende de los Estados miembros para construir sobre ese marco con reglas para sus mercados específicos. (Por ejemplo, HIPAA para datos de atención médica en los EE. UU.)
• Twist único: EE. UU. No tiene un equivalente directo al GDPR (todavía), pero ha aceptado el marco CBPR. Por lo tanto, CBPR puede proporcionar una pista sobre qué tipos de legislación sobre privacidad de datos puede provenir del Congreso de los Estados Unidos.

Leyes de privacidad de datos en Corea del Sur

• La Ley de Protección de Información Personal (PIPA) entró en vigencia el 30 de septiembre de 2011 y se une a un conjunto de leyes de seguridad de datos que son quizás las más estrictas del mundo.
• PIPA cubre cualquier dato que pueda usarse para identificar a una persona, incluidas las imágenes. También hace una distinción para los datos personales "sensibles", como la religión o la orientación sexual, que podrían utilizarse para infringir los derechos personales.
• Corea del Sur también tiene una serie de leyes de privacidad de datos para verticales específicos:
  • Servicios de TI: Ley de promoción de la utilización de redes de información y comunicación y protección de la información
  • Información crediticia: Ley de uso y protección de la información crediticia
  • Finanzas: Ley de transacciones financieras con nombre real y garantía de secreto
• Twist único: Corea del Sur define la información personal como cualquier cosa que pueda identificar a una persona, al igual que otros países. Un elemento único es que los datos personales que no están completos, pero podrían combinarse con otros datos disponibles, también están protegidos. Por ejemplo, si los datos anonimizados pudieran combinarse con otra base de datos para marcar a una persona en particular, los datos anonimizados tendrían que manejarse con el mismo cuidado que cualquier otro tipo de datos personales.

Leyes de protección de datos de China

• La Ley de Seguridad Cibernética (CSL) de China se aprobó el 7 de noviembre de 2016 y entró en vigencia el 1 de junio de 2017.
• CSL cubre todas las formas de datos personales que pertenecen a ciudadanos chinos. El almacenamiento de datos personales en el extranjero no está permitido, a menos que se pueda proporcionar una prueba documentada para demostrar la necesidad, combinada con una evaluación de seguridad para garantizar el cumplimiento. Esta combinación de reglas hace que el almacenamiento de datos en el extranjero no sea práctico para la mayoría de las aplicaciones.
• La CSL de China se aplica no solo a los manejadores de datos convencionales, sino también a los operadores de telecomunicaciones, radio y televisión.
• Twist único: las autoridades chinas deben ser informadas si los datos indican actividades prohibidas. En otras palabras, los datos personales deben ser examinados por los titulares de esos datos, algo paradójico en el contexto de la privacidad de los datos.

Leyes de privacidad de datos en Israel

• Las regulaciones de Protección de datos de privacidad (PPDS) entraron en vigencia el 8 de mayo de 2017, extendiendo la Ley de protección de privacidad existente
• El PPDS requiere diferentes niveles de seguridad, dependiendo de cuántas personas entren en contacto con los datos. Una base de datos que es administrada por un individuo requiere precauciones mínimas, mientras que los datos a los que pueden acceder 10+ o más de 100 individuos requieren más seguridad.
• A diferencia de GDPR, que detalla qué empresas están sujetas a regulación, la ley israelí no tiene una regla explícita sobre los límites geográficos. La ley definitivamente se aplica a servidores y datos con Israel, pero no está claro si los datos almacenados fuera del país también están incluidos.
• El PPDS también aplica estándares elevados a los datos financieros y médicos, y estos últimos incluyen datos biométricos y genéticos.
• Twist único: la ley israelí exime a las agencias gubernamentales, especialmente a las agencias de seguridad, de la mayoría de las restricciones.