Header Ads Widget

Ticker

6/recent/ticker-posts

Leyes de privacidad e intercambio internacional de datos: comparación de los estándares de la UE y los EE. UU.

 

Leyes-de-privacidad-e-intercambio-internacional-de-datos-comparación-de-estándares-de-la-UE-y-EE. UU.-Nordic-apis-sandoval

En el mundo de los datos, cada segundo, se transfieren millones de líneas de datos que contienen información de identificación personal, contraseñas, contenido de perfil y sistemas de autorización. Estas líneas de datos están protegidas colectivamente por una variedad de leyes, cada una de las cuales se entrelaza para formar una red de limitaciones y protecciones a menudo confusas y contradictorias.

Esta confusión es especialmente evidente en la transferencia de datos a nivel internacional , y en este nivel, las políticas entre los datos que se originan en los Estados Unidos y los que se originan en la Unión Europea. Es importante que los desarrolladores de API comprendan estas diferencias, de modo que puedan comprender tanto sus protecciones como sus responsabilidades. Estas leyes son universales, ya sea que estén codificadas en un servicio web o alojadas en la "nube" futurista .

Hoy, inspeccionaremos brevemente las diferencias fundamentales en las leyes de privacidad de datos entre las dos zonas, así como sus diversas implicaciones legales, económicas y éticas para los desarrolladores de aplicaciones y API que transfieren datos a través de líneas internacionales.

Protección de datos en la Unión Europea

Gran parte de la protección de datos en la Unión Europea surge del hecho de que los estados miembros de la UE también son signatarios del Convenio Europeo de Derechos Humanos . El artículo 8 de esta convención establece específicamente la protección de la privacidad de la "vida privada y familiar, su hogar y su correspondencia".

Hay dos instrumentos legales principales que rigen la protección de datos dentro de la Unión Europea: la Directiva de protección de datos 1995/46 / EC y la Directiva de privacidad electrónica 2002/58 / EC. Dentro de estos, los datos personales se rigen por tres métricas separadas: propósito, proporcionalidad y transparencia.

Lea también: FinTech y API: hacer que el banco sea programable

Objetivo

De acuerdo con las leyes de la UE, los datos personales solo pueden procesarse para un propósito legítimo , y esos datos no pueden procesarse de ninguna manera que no cumpla primero con los criterios para fines legítimos.

Esto significa que los datos personales solo se pueden recopilar y procesar cuando la situación lo amerita. Por ejemplo, un desarrollador de API puede solicitar información de registro y transferir registros médicos siempre que su API o aplicación maneje registros médicos y use la información de registro para fines de autenticación; de lo contrario, no existe un propósito legítimo específico para procesar los datos.

El artículo 7 de la directiva establece que solo se puede acceder a los datos personales si:

(a) el interesado ha dado su consentimiento de manera inequívoca, o
(b) el procesamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato contrato, o
(c) el procesamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el controlador, o
(d) el procesamiento es necesario para proteger los intereses vitales del interesado, o
(e) el procesamiento es necesario para el realización de una tarea llevada a cabo en interés público o en el ejercicio de la autoridad oficial conferida al responsable del tratamiento o a un tercero a quien se divulgan los datos, o
(f) el procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador o por el tercero o las partes a quienes se divulgan los datos, excepto cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección en virtud del artículo 1 (1).

Proporcionalidad

De acuerdo con este principio, los datos solo pueden transferirse cuando sean proporcionales a los fines para los que fueron recopilados y para los cuales deben ser procesados. Por ejemplo, una aplicación que procesa solicitudes para buscadores de apartamentos que buscan un nuevo hogar puede solicitar información sobre ingresos, estado laboral y otros elementos de datos no protegidos, pero no puede solicitar afiliación religiosa, estado médico o raza, entre otros datos protegidos. artículos.

Lo más notablemente diferente de la ley de privacidad de EE. UU. Es que en la UE, los datos recopilados con fines de marketing deben proporcionar una cláusula de exclusión voluntaria para los consumidores a la que se puede acceder en cualquier momento. Es decir, un consumidor debe tener la capacidad de exigir el cese de la recopilación de datos cuando se trata de publicidad, como el botón de suscripción automático estándar al final de las campañas de correo electrónico modernas.

Transparencia

La entidad de la que se recopilan los datos, conocida en la ley como el “sujeto de los datos”, debe ser informada sobre cuándo se recopilan sus datos y cómo se van a procesar. Esto podría significar problemas para una aplicación con sede en EE. UU. Con API de reconocimiento que, sin que el usuario lo sepa, recopila gestos faciales o movimientos oculares en una pantalla para aumentar sus esfuerzos publicitarios.

Además, el recopilador de los datos, conocido en la ley como el "controlador de datos", debe proporcionar su nombre, dirección, propósito de procesamiento y recopilación, destinatarios de los datos y cualquier otro dato que se requiera para establecer que el procesamiento de los datos es proporcional y legítimo.

Protección de datos en Estados Unidos

Cuando la privacidad de los datos se estableció por primera vez en la Unión Europea, era una mezcolanza de protecciones específicas de la industria. Desafortunadamente, Estados Unidos nunca pasó de esta etapa, y el clima actual de privacidad de datos es en sí mismo una mezcolanza de leyes aprobadas cuando industrias específicas las requieren.

De hecho, el objetivo de la ley de privacidad de EE. UU. Parece estar más centrado en la eficiencia del flujo de datos que en la protección total de los datos privados contra el uso y el acceso no autorizados:

En términos generales, en los EE. UU., Se considera que quien tenga problemas para ingresar los datos tiene el derecho de almacenarlos y usarlos, incluso si los datos se recopilaron sin permiso. Por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), la Ley de Protección de la Privacidad Infantil en Línea de 1998 (COPPA) y la Ley de Transacciones de Crédito Justas y Precisas de 2003 (FACTA), son ejemplos de leyes federales de EE. UU. Con disposiciones que tienden a promover la eficiencia del flujo de información.

Aunque se han realizado varios intentos importantes para establecer la privacidad de los datos de un individuo, estos intentos son en gran medida específicos de la industria . La mencionada Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPPA), por ejemplo, establece específicamente procedimientos para la recopilación, divulgación, uso y los derechos inherentes de la información médica.

Asimismo, la Ley de Privacidad de Comunicaciones Electrónicas (ECPA) intentó establecer ciertas protecciones de los datos privados sobre los sistemas de comunicación electrónica; Desafortunadamente, la gran cantidad de lagunas en el mismo hace que los derechos sean nulos, ya que el consentimiento puede darse directamente, como en el caso de una solicitud de datos, o implícitamente, como cuando un empleado usa un correo electrónico que luego es monitoreado por su empresa.

Asegurando-la-fortaleza-API-blog-post-CTA-01

Intercambio internacional de datos

Con sistemas tan dispares, gran parte del intercambio internacional de datos es confuso e indefinido. Las reglas sobre cómo los Estados Unidos manejan los datos de los clientes de la Unión Europea, por ejemplo, son muy diferentes de cómo la Unión Europea maneja los datos que se originan en los Estados Unidos. Gran parte de la protección en el extranjero de la que se benefician los desarrolladores y usuarios puede no ser tan implícita como sospechaban al principio.

Según el Abogado General Yves Bot del Tribunal de Justicia de la Unión Europea, la forma en que las empresas estadounidenses manejan los datos no coincide con el requisito de la legislación de la UE de que los países terceros tengan disposiciones de privacidad adecuadas y coincidentes para los datos transferidos . Por el contrario, en julio de 2000, la Unión Europea dictaminó que el acuerdo de los Principios de Privacidad de Puerto Seguro brindaba una protección adecuada e igualitaria.

Después de los eventos de las revelaciones de Edward Snowden de que Estados Unidos, a través de la NSA, estaba espiando datos en poder de empresas como Facebook, el derecho internacional de datos pasó rápidamente a primer plano, y el ciudadano austriaco Maximillian Schrems presentó una denuncia oficial ante el Tribunal Superior de Justicia de los Estados Unidos. Irlanda.

Este caso, en el que se acusa a Facebook de no seguir las leyes irlandesas y europeas sobre protección de la privacidad (que, al tener su sede en Irlanda, la sede internacional de Facebook estaba obligada a seguir), desafió los derechos internacionales de privacidad de datos de una manera que enfrentó a las relativamente laxas regulaciones de seguridad de EE. UU. las reglas comparativamente más serias y estrictas de la Unión Europea.

En respuesta a estas acusaciones, un fallo reciente del Tribunal de Justicia de la Unión Europea (TJCE) tiene consecuencias de gran alcance para Facebook y otras entidades digitales internacionales, básicamente decretando que las leyes de privacidad de datos de un país tienen jurisdicción sobre el intercambio digital en ese territorio, independientemente de la sede. . Como describe The Guardian :

"El TJCE dictaminó el jueves que si una empresa opera un servicio en el idioma nativo de un país y tiene representantes en ese país, entonces puede ser responsabilizada por la agencia nacional de protección de datos del país a pesar de no tener su sede en el país".

Qué significa esto para las API

Ahora que entendemos un poco sobre el historial de privacidad de datos y el clima actual, ¿qué significa todo esto para los desarrolladores de API ? Significa que comprender la ley, los requisitos de los titulares de datos y las actividades específicas de recopilación de datos permitidas por cada ley es responsabilidad del desarrollador .

Los derechos son implícitos y, por lo general, no es necesario reclamar para ser empleado. Esto significa que los desarrolladores de API en la UE que deseen desarrollar tanto para consumidores de EE. UU. Como de la UE deben ser conscientes de que es posible que sus datos no estén protegidos al mismo nivel que si el servicio se limitara por completo a la UE. Del mismo modo, los desarrolladores estadounidenses deben saber que sus estándares de seguridad relativamente laxos pueden no ser aceptables para los clientes de la UE e incluso pueden ser ilegales.

La ley federal en los Estados Unidos también puede exigir el intercambio de información cuando la seguridad nacional está involucrada a través de la Ley Patriota , una ley aprobada después de los ataques del 11 de septiembre en la ciudad de Nueva York. Posteriormente, los datos que pueden considerarse privados o protegidos en la UE pueden ser accedidos en cualquier momento por agencias federales como la NSA cuando se perciba que la seguridad nacional está amenazada por tales datos.

Para los desarrolladores, gran parte de esta privacidad se puede controlar a nivel de desarrollo. Al diseñar una plataforma o servicio, los desarrolladores siempre deben proteger sus capas más vulnerables . Del mismo modo, es posible que se deban escalar diferentes niveles de seguridad en todo su entorno para ciertas industrias (por ejemplo, HIPPA requiere un estándar de privacidad mucho más alto que el comercio electrónico). Incluso los tipos de seguridad interna dentro de una organización pueden tener que cumplir con la privacidad. leyes en los EE. UU. y la UE antes de que los datos salgan de sus servidores.

Los niveles de privacidad de los datos para cada región deben considerarse al principio del desarrollo . Incluso algo tan simple como las variaciones en los tipos de métricas de datos y análisis empleados puede resultar en una API que es completamente legal en los Estados Unidos y completamente ilegal en la UE.

Relacionado: Asegurar su flujo de datos con cifrado P2P

Escenario de ejemplo

En 2013, el gobierno de EE. UU. Exigió a Google códigos de seguridad de cifrado SSL . En cobertura de la solicitud sin precedentes, Jennifer Granick, directora de libertades civiles del Centro de Internet y Sociedad de la Universidad de Stanford, dijo:

"Uno de los mayores problemas con la obtención de la clave privada es que le da acceso no solo a las comunicaciones del objetivo, sino a todas las comunicaciones que fluyen a través del sistema, lo cual es extremadamente peligroso".

Desafortunadamente, Google opera a nivel internacional, lo que significa que está sujeto a las leyes de EE. UU. Y la UE. La ley de la UE requiere que se apliquen estándares de cifrado en el caso de datos privados , especialmente cuando esos datos se transfieren entre estados miembros y estados no miembros.

En consecuencia, la yuxtaposición de leyes entre la UE y los EE. UU. Crea un gran dolor de cabeza para Google, que está siendo presionado para liberar y proteger sus claves de seguridad, y si se liberan estas claves, todo el tráfico, incluido el tráfico de la UE, estará abierto a Ojos de EE. UU.

Para mayor claridad, estas reglas se hacen cumplir y actualmente se encuentran bajo una gran consideración y debate. Los tribunales de la UE están debatiendo actualmente si las transferencias de datos con intereses estadounidenses están protegidas o no por la excepción de puerto seguro, y su elección podría afectar el desarrollo y la interoperación de API internacionales. Gran parte de lo que ha protegido la doctrina de puerto seguro, incluidas las infames actividades tanto de la NSA como de la GHCQ , es técnicamente ilegal según la legislación de la UE según el Parlamento de la UE .

Conclusión

Cualquier servicio que se extienda a la UE debe cumplir con las leyes de EE. UU. Y la UE, y viceversa. Es una situación complicada y complicada en la que uno se encuentra. Este es un tema demasiado complejo para resumirlo en una sola pieza y comprender los requisitos de privacidad. de los desarrolladores de todo el mundo recaerá sobre los propios desarrolladores. Comprender los derechos y las leyes locales que rigen el intercambio de datos personales, especialmente en términos internacionales, puede ser incluso más importante de lo que nunca será la elección del lenguaje de programación o el tipo de arquitectura .

¡Hablar alto!

Como tenemos una audiencia internacional distribuida, pensamos que este sería un tema interesante para explorar. ¿Su empresa se ha visto afectada por problemas de leyes de privacidad de datos internacionales en conflicto? ¡Comparte a continuación!

Publicar un comentario

0 Comentarios