A principios de marzo, los profesionales de la ciberseguridad de todo el mundo llenaron los amplios salones de exposiciones del Centro de Convenciones de San Francisco Moscone para discutir y aprender sobre todo lo relacionado con la información, desde el cifrado de claves públicas hasta la respuesta a incidentes, y desde el aprendizaje automático hasta el abuso doméstico .
Fue la Conferencia RSA 2019, y Malwarebytes se presentó para asistir y presentar. Nuestra sesión del miércoles por la tarde: » Una persona puede cambiar el mundo, la historia detrás de GDPR «, exploró la nueva y amplia ley de privacidad de datos de la Unión Europea que, sobre todo, protege los «datos personales».
Pero un lenguaje amplio y de la ley, los miembros del público severas penalizaciones izquierda finitos con una persistente pregunta: ¿Qué es exactamente es los datos personales?
La respuesta: depende.
Los datos personales, tal como se definen en el Reglamento general de protección de datos de la UE, no son lo mismo que la «información de identificación personal», tal como se define en las leyes de protección de datos y de ciberseguridad de los EE. UU. . Además, en los EE. UU., Las leyes de protección de datos y las leyes de ciberseguridad tienen propósitos separados y, de la misma manera, otorgan definiciones ligeramente separadas a los datos personales.
Para complicar el asunto, el enfoque instintivo del público hacia la información personal, los datos personales y la privacidad en línea. Para las personas comunes, la información personal puede significar cualquier cosa, desde números de teléfono hasta información de pasaportes o códigos postales; las definiciones legales pueden estar condenadas.
Hoy, en el último blog de nuestra serie de ciberseguridad y privacidad de datos , analizamos las innumerables condiciones y los regímenes legales que se combinan para formar una amplia comprensión de la información personal.
Las empresas no deberían pensar demasiado en esto. En su lugar, los abogados de privacidad de datos dijeron que las empresas deberían prestar atención a la información que recopilan y dónde operan para comprender mejor la protección y el cumplimiento de los datos personales.
Como Duane Morris LLP, Michelle Donovan, socia de derecho intelectual y cibernética, dijo:
«Lo que se reduce a, es que, no importa cuáles son las reglas en China si no está haciendo negocios en China. Las empresas deben averiguar qué jurisdicciones aplican, qué información están recolectando, dónde residen sus sujetos de datos, y en base a eso, averiguar qué ley aplica ”.
¿Qué ley se aplica?
La información personal que necesitan las empresas para proteger los cambios de ley a ley. Sin embargo, aunque las leyes de protección de datos globales definen la información personal de diversas maneras, las definiciones en sí mismas no son importantes para todas las empresas.
Por ejemplo, una pequeña empresa en California que no tiene presencia física en la Unión Europea y no realiza esfuerzos concertados para promocionar a los residentes de la UE no tiene que preocuparse por GDPR. Del mismo modo, una empresa japonesa que no recopila datos de ningún californiano no necesita preocuparse por la ley de privacidad de datos recientemente firmada en ese estado. Y cualquier empresa fuera de los EE. UU. Que no recopile ningún dato personal de EE. UU. No debería tener que soportar los dolores de cabeza de cumplir con 50 leyes de notificación de violación de datos estatales individuales.
Vincent Schroeder, asesor legal de Baker & McKenzie LLP, quien asesora a las empresas en materia de privacidad, protección de datos, tecnología de la información y comercio electrónico, dijo que las diversas reglas que determinan qué leyes se aplican a las empresas se pueden dividir en tres categorías básicas: territorial Reglas, reglas personales y reglas sustantivas.
Las reglas territoriales son simples: determinan el cumplimiento legal basado en la presencia de una compañía en un país, estado o región. Por ejemplo, GDPR se aplica a compañías que operan físicamente en cualquiera de los 28 estados miembros de la UE, junto con compañías que comercializan directamente y ofrecen sus productos a los ciudadanos de la UE. Esa segunda regla de marketing directo es similar a otra ley de privacidad de datos en Japón, que se aplica a cualquier empresa que ofrece específicamente sus productos a residentes japoneses.
«Esa es la ‘regla del mercado’, lo llaman», dijo Schroeder. «Si está haciendo negocios en ese mercado, conscientemente, entonces está afectando los derechos de las personas que están allí, por lo que debe cumplir con la ley reglamentaria local».
Las reglas sustantivas, por otro lado, determinan el cumplimiento en función de las características de una empresa. Por ejemplo, la recientemente aprobada Ley de Privacidad del Consumidor de California se aplica a las compañías que cumplen con uno solo de los siguientes tres criterios: obtener ingresos anuales de $ 25 millones, obtener el 50 por ciento o más de esos ingresos anuales de la venta de información personal de los consumidores, o compre, reciba, venda o comparta la información personal de 50,000 o más consumidores, hogares o dispositivos.
Las empresas que deseen saber qué información personal proteger legalmente deben ver primero qué leyes se aplican. Solo entonces deberían avanzar, porque la «información personal» nunca es solo una cosa, dijo Schroeder.
«Es una interacción de diferentes definiciones de los ámbitos territorial, personal y sustantivo de la aplicación, y para las definiciones de datos personales», dijo Schroeder.
Información personal, ¿qué incluye?
El significado de la información personal cambia dependiendo de a quién le pregunte y qué ley lea. A continuación, nos centramos en cinco interpretaciones importantes. ¿Qué significa la información personal para el público? ¿Qué significa según GDPR? Y qué significa de acuerdo con las tres leyes estatales de California: la vanguardia legislativa del país en la protección de la privacidad en línea y los datos personales de sus residentes.
El público
Seamos claros: cualquier negocio relacionado con las obligaciones legales de proteger la información personal no debe iniciar un viaje de cumplimiento, por ejemplo, realizando una encuesta de empleados en Slack y obteniendo opiniones personales.
Dicho esto, las opiniones públicas sobre los datos personales son importantes, ya que pueden influir en los legisladores para redactar nuevas leyes para proteger mejor la privacidad en línea.
Jovi Umawing, redactor principal de contenido de Malwarebytes Labs que recientemente recopiló las opiniones de casi 4.000 encuestados sobre la privacidad en línea , dijo que la información personal es algo que puede definir a una persona de otra.
«La información personal para mí es información relevante sobre una persona que los hace únicos o sobresalientes», escribió Umawing. «Es algo intangible que uno posee o posee que (cuando se combina con otra información) apunta a la persona con una precisión muy alta o incuestionable».
Pieter Arntz, investigador de inteligencia maliciosa para Malwarebytes, proporcionó una visión similar. Dijo que considera «todo lo que se puede usar para identificarme o encontrar información más específica sobre mí como información personal». Esto incluye direcciones, números de teléfono, números de Seguro Social, información sobre licencias de conducir, información de pasaportes y «también cosas como la Código postal «, que para las personas que viven en ciudades muy pequeñas, puede ser revelador, dijo Arntz.
Curiosamente, algunas de estas definiciones se superponen con algunas de las leyes de privacidad de datos más populares de la actualidad.
GDPR
En 2018, entró en vigor el Reglamento general de protección de datos, que otorga a los ciudadanos de la UE nuevos derechos de acceso, transporte y eliminación de datos personales. En 2019, las empresas aún están descubriendo qué incluyen los datos personales.
El texto de la ley ofrece poca claridad, en lugar de proporcionar esta ideología que abarca todo el océano: «Los datos personales deben interpretarse de la manera más amplia posible».
Según GDPR, los datos personales que las empresas deben proteger incluyen cualquier información que pueda identificar “directa o indirectamente” a una persona, o sujeto, a quien pertenece o describe la información. Se incluyen nombres, números de identificación, datos de ubicación, identificadores en línea como nombres de pantalla o nombres de cuentas, e incluso características que describen la «identidad física, fisiológica, genética, mental, comercial, cultural o social de una persona».
La última parte podría incluir cosas como el registro de desempeño de un empleado, el historial de diagnóstico médico de un paciente, las opiniones políticas anarco-libertarias específicas de un usuario e incluso el color y la longitud del cabello de una persona, si es suficiente para determinar la identidad de esa persona.
Donovan, el abogado de Duane Morris, dijo que la definición de GDPR podría incluir casi cualquier información sobre una persona que no está anónima.
«Incluso si esa información no identifica a [una persona] por su nombre, si se identifica por un número, y se sabe que ese número se usa para identificar a esa persona, ya sea solo o en combinación, aún podría asociarse con esa persona». Dijo Donovan. «Debe asumir que si tiene algún dato sobre una persona que no está anonimizado cuando lo recibe, es probable que se cubra».
La Ley de Privacidad del Consumidor de California
En junio de 2018, California se convirtió en el primer estado de la nación en responder a las frecuentes crisis de privacidad en línea al aprobar una ley de privacidad de datos en todo el estado . La Ley de privacidad del consumidor de California, o CCPA, establece nuevas reglas para las compañías que recopilan datos personales de los residentes de California.
La ley, que entrará en vigencia en 2020, llama a este tipo de datos «información personal».
«Información personal», según la CCPA , es «información que identifica, se relaciona con, describe, es capaz de asociarse o podría estar vinculada, directa o indirectamente, con un consumidor u hogar en particular».
Sin embargo, lo que incluye en la práctica es una amplia gama de puntos de datos, incluido el nombre real de una persona, la dirección postal y la dirección IP en línea, junto con información biométrica, como el ADN y los datos de huellas dactilares, e incluso su historial de navegación, historial de educación, y lo que la ley describe vagamente como «información de audio, electrónica, visual, térmica, olfativa o similar».
Además de proteger varios tipos de datos nuevos, la CCPA también hace un cambio importante en la forma en que los californianos pueden hacer valer sus derechos de privacidad de datos en los tribunales. Por primera vez, una ley de privacidad de datos en todo el estado detalla los «daños legales», que son montos monetarios establecidos por la legislación que una persona puede pedir para recuperar al presentar una demanda privada contra una compañía por presuntamente violar la ley. Según la CCPA, las personas que creen que se violaron sus derechos de privacidad de datos pueden demandar a una empresa y solicitar hasta $ 750.
Este es un gran cambio en la ley de privacidad de datos, dijo Donovan.
«Por primera vez, hay una verdadera ley de privacidad con los dientes», dijo Donovan.
Anteriormente, si los individuos querían demandar a una empresa por una violación de datos, tenían que probar algún tipo de pérdida económica al solicitar daños monetarios. Si, por ejemplo, se creó una tarjeta de crédito fraudulenta con datos robados, y luego se hicieron cargos fraudulentos en esa tarjeta, los daños monetarios pueden ser fáciles de resolver. Pero rara vez es tan simple.
«Ahora, independientemente del daño monetario, puede obtener este daño legal de $ 750 por incidente», dijo Donovan.
Ley de notificación de violación de datos de California y ley de protección de datos
Si nos quedamos en California pero retrocedemos en el tiempo varios años, vemos el comienzo de una tendencia: California ha sido el primer estado, más de una vez, en aprobar una legislación de protección de datos .
En 2002, California aprobó su ley de notificación de violación de datos . El primero de su tipo en los Estados Unidos, la ley obligó a las compañías a notificar a los residentes de California sobre el acceso no autorizado a su «información personal».
Las definiciones anteriores de información personal y datos que hemos cubierto, el enfoque amplio de GDPR, y la inclusión de CCPA de datos personales «olfativos» basados en el olfato hasta ahora inimaginados, no se aplican aquí.
En cambio, la información personal en la ley de 17 años, que recibió una actualización hace cinco años, se define como una combinación de tipos de información. Los componentes necesarios incluyen el nombre y apellido de un californiano, o la inicial y el apellido, combinados con cosas como su número de Seguro Social, número de licencia de conducir y número de tarjeta de crédito y el código de seguridad correspondiente, junto con la dirección de correo electrónico y la contraseña de una persona.
Entonces, ¿si una compañía sufre una violación de datos del nombre y apellido de un residente de California más su número de Seguro Social? Eso se considera información personal. ¿Si una violación de datos compromete la primera inicial, el apellido y las reclamaciones de seguros médicos anteriores de otro residente de California? Una vez más, esos datos se consideran información personal, de acuerdo con la ley.
En 2014, esta definición se trasladó un poco a la ley de protección de datos de California. Ese año, entonces gobernador de California, Jerry Brown, firmó cambios a del estado co civiles de que crearon los requisitos de protección de datos para cualquier empresa que posee, licencias, o mantiene la “información personal” de los residentes de California.
Según el Proyecto de ley de la Asamblea núm. 1710, «información personal» es, una vez más, la combinación de información que incluye un nombre y apellido (o la primera inicial y apellido), más un número de Seguro Social, número de licencia de conducir, tarjeta de crédito Número y número de seguridad correspondiente, e información médica e información de salud.
Sin embargo, las definiciones no son idénticas. La ley de protección de datos de California, a diferencia de la ley de notificación de violación de datos, no cubre los datos recopilados por lectores de matrículas automáticos o ALPR. Los ALPR pueden capturar de forma indiscriminada, y en ocasiones de manera desproporcionada, los números de matrícula de cualquier vehículo que se cruce en su campo de visión.
Aproximadamente un año después, California aprobó una ley para fortalecer la protección de los datos recopilados por ALPR.
La comida para llevar
A estas alturas, es probable que sea más fácil definir qué información personal no es más que qué es (obviamente, también hay una respuesta legal a eso, pero nos reservamos los detalles). Estas definiciones en evolución apuntan a un panorama legal cambiante, donde los datos no están protegidos únicamente por su tipo, sino por su importancia inherente para la privacidad de las personas.
Al igual que no existe una definición de talla única para la información personal, no existe una conformidad de talla única para el cumplimiento de la protección de datos personales. Si una empresa se encuentra preguntándose qué datos personales debe proteger, podemos sugerir algo que hayamos hecho para cada blog de esta serie: Pregúntele a un abogado.
Únase a nosotros pronto para el próximo blog de nuestra serie, en el que hablaremos sobre las protecciones de los consumidores para las violaciones de datos y las invasiones de privacidad en línea.
Sobre el autor