Leyes de cifrado: países con mayores restricciones al cifrado

Desde conversaciones privadas a través de WhatsApp hasta historiales de navegación confidenciales a través de VPN, el cifrado juega un papel integral en nuestra libertad de expresión y privacidad.

Sin embargo, con los continuos intentos del gobierno de crear «puertas traseras» en los servicios / productos de cifrado, muchos países enfrentan severas restricciones cuando se trata de usar aplicaciones y herramientas que utilizan criptografía.

La gran mayoría de los países tienen algún tipo de restricción sobre las tecnologías de cifrado, ya sean leyes de importación / exportación o acceso de las fuerzas del orden a los datos cifrados. Se observan restricciones más severas en lugares donde uno podría esperarlas, es decir, Rusia y China, pero también existen restricciones severas en muchos otros países. Y con la introducción de más y más legislación y poderes de investigación, las restricciones solo aumentarán en los próximos meses y años.

En resumen, muchos países pueden otorgar a los ciudadanos el derecho a la libertad de expresión y privacidad, pero frustran esto cuando se trata de cifrado, citando la seguridad nacional y delitos graves como la razón.

Exploremos el estado actual de las leyes de cifrado en diferentes países.

Debates actuales sobre cifrado

Si bien el cifrado protege nuestra información personal, también puede ser una herramienta para cometer irregularidades. Con la creciente ola de terrorismo, a las autoridades les preocupa que los delincuentes utilicen el cifrado para ocultar sus actividades, lo que dificulta que la policía lleve a cabo investigaciones. Es por eso que, durante los últimos años, países como el Reino Unido, Australia, los EE. UU. y los Países Bajos han estado tratando de endurecer las leyes de cifrado.

En 2019, las autoridades estadounidenses, británicas y australianas publicaron una carta abierta a Mark Zuckerberg, presionándolo para que creara una puerta trasera a los servicios de mensajería cifrada propiedad de Facebook. Los funcionarios occidentales también han estado exigiendo acceso al contenido de Telegram. Dado que no se han emitido políticas estatales, las empresas de tecnología se niegan a hacerlo, argumentando que el cifrado hace más bien que mal.

Todo el mundo está de acuerdo en que las empresas de todo el mundo deben utilizar el cifrado para proteger la información personal de sus clientes. Si compras algo en Amazon, está obligado a asegurar esa transacción. No garantizar la seguridad puede generar multas de hasta millones de dólares.

Los debates sobre criptografía en las últimas décadas pasaron por varias etapas:

  • Antes de la década de los 90, los gobiernos ejercían un control estricto sobre el uso de la criptografía. Por supuesto, estos eran tiempos diferentes con diferentes problemas, y la criptografía rara vez se usaba.
  • En los años 90, los gobiernos nacionales intentaron establecer un control total sobre las tecnologías de cifrado emergentes. El tamaño de clave más largo que EE. UU. permitió para uso interno y exportación fue de 40 bits. Las empresas se quejaban con frecuencia de que los métodos de cifrado débiles limitaban su rendimiento financiero. Finalmente, el creciente mercado del comercio electrónico obligó a las autoridades a aflojar su control sobre las tecnologías de criptografía.
  • En 2000-2010, las agencias gubernamentales de todo el mundo aprovecharon los datos no cifrados y las inseguridades del sistema en lugar de invertir en ciberseguridad.
  • La etapa actual presenta debates sobre puertas traseras de cifrado.

Unión Europea

La estrategia de ciberseguridad de la Comisión Europea de 2017 considera el cifrado como una herramienta importante para proteger los datos personales y los derechos humanos.

Sin embargo, la Unión Europea ha estado bajo presión de algunos estados miembros para cambiar las políticas actuales sobre cifrado. El Reino Unido, Francia y Alemania han estado entre las voces más fuertes dentro de la UE pidiendo una puerta trasera. Si bien admiten el cifrado en servicios como banca, comunicaciones y comercio, también quieren tener acceso a información cifrada cuando sea necesario. Los debates surgieron después de los ataques terroristas en Bélgica y Francia en 2014.

Además, después de salir de la UE, es probable que Gran Bretaña adopte pronto nuevas políticas sobre cifrado.

Invertir en tecnologías de descifrado

Hasta ahora, la Comisión Europea no ha presentado ninguna legislación contra el cifrado. Sin embargo, su paquete antiterrorista se centra en invertir en tecnologías de descifrado y proporcionar financiación adicional para programas nacionales de formación. En lugar de permitir que los gobiernos nacionales controlen las tecnologías de cifrado, la UE hace las cosas al revés.

En 2019, comenzó una nueva legislatura en el Parlamento Europeo. El cifrado definitivamente seguirá siendo uno de los temas más candentes, con muchas cosas dependiendo de la situación política y los problemas de seguridad pública. Los derechos humanos y la libertad de expresión se encuentran entre los valores fundamentales de la UE; nadie quiere pisar esos fundamentos.

Australia

En 2018, Australia se convirtió de la noche a la mañana en el destino menos atractivo para las empresas digitales. Fue la primera nación occidental en aprobar un proyecto de ley que obligaba a las empresas a entregar datos cifrados a pedido. Las organizaciones y las personas que se niegan a obedecer las nuevas regulaciones enfrentan multas de hasta $ 7.2 millones y encarcelamiento.

El proyecto de ley ha recibido amplias críticas, ya que se aplica a empresas locales e internacionales, incluidas Facebook y Google. Las empresas de tecnología dicen que no hay forma de abrir una puerta trasera para la vigilancia del gobierno sin socavar la seguridad de todos.

Las autoridades frente a las empresas tecnológicas

Los funcionarios de Australia afirman que el proyecto de ley ayudará a combatir el crimen organizado y que las agencias de seguridad necesitarán órdenes judiciales para acceder a información encriptada. Sin embargo, las empresas de tecnología dicen que una puerta trasera creará más problemas, ya que eventualmente será descubierta y abusada por los malhechores.

Algunas empresas ya han advertido al gobierno australiano que almacenarán datos en otros países.

China

China tiene una larga historia de censura en Internet y restricciones de VPN. Se estima que las autoridades chinas han prohibido alrededor de 10.000 dominios, incluidos Google, Facebook, Twitter, Netflix y Wikipedia. Hasta ahora, el gobierno ha prohibido todo lo que no podía controlar.

En 2020 entró en vigor una nueva Ley de Encriptación. Reconoce 3 tipos diferentes de criptografía: central, común y comercial. La criptografía básica y común se utiliza para proteger los secretos de estado del gobierno chino, mientras que la criptografía comercial se utiliza para proteger la información de ciudadanos y empresas.

Certificación obligatoria

Más importante aún, la nueva ley también establece que da la bienvenida a proveedores extranjeros de servicios de criptografía. ¿Pero es ese el caso realmente?

Si bien esto puede parecer una oportunidad atractiva para las empresas de cifrado, existen ciertos límites. Según las autoridades chinas, el uso comercial del cifrado no puede dañar al Estado ni a la seguridad pública. Cualquier infracción sería sancionada. Además, las tecnologías de cifrado deben entregarse al gobierno para su certificación.

Como se establece en la ley, “los productos de criptografía comercial que involucran cuestiones como la seguridad nacional, la economía nacional y el sustento de las personas o el interés público de la sociedad deben incluirse en los catálogos de productos especiales y solo pueden venderse o proporcionarse después de pasar las pruebas y la certificación de organismos calificados «. Esto abre la puerta para la inspección y el control.

China está invitando a las empresas a operar en el país, pero solo si le permiten acceder a sus sistemas. Toda la información encriptada ahora puede ser interceptada por el gobierno chino citando ‘seguridad nacional’.

Canadá

Canadá es parte de la alianza de seguridad Five Eyes, junto con EE. UU., Reino Unido, Nueva Zelanda y Australia. Estos países intercambian inteligencia y discuten políticas de ciberseguridad. Si bien todos los miembros tienen sus propias leyes de cifrado, se han movido en la misma dirección durante los últimos años.

En 1998, Canadá introdujo la libertad de utilizar y desarrollar productos de criptografía, una medida que Human Rights Watch acogió con satisfacción. La política del gobierno era que no habría requisitos obligatorios de claves de recuperación. Esto fue bastante razonable, dado el estado de la ciberseguridad en ese momento.

Los tiempos han cambiado. Los otros estados de los Cinco Ojos han estado presionando a Canadá para que adopte nuevas regulaciones desde hace algún tiempo. Las empresas de tecnología del país no están obligadas por ley a proporcionar servicios de descifrado, no guardan las claves en una puerta trasera. Pero aunque es muy probable que las autoridades no le pidan a las empresas que tengan claves de descifrado, es probable que requieran descifrar cierta información.

Estados Unidos

Estados Unidos siempre ha estado a la vanguardia del control de cifrado: a lo largo de los años, las autoridades han intentado implementar muchas regulaciones que en su mayoría fracasaron debido a la evolución de las tecnologías y la presión de la opinión pública.

Los servicios de cifrado de extremo a extremo florecieron en 2014, después de que Edward Snowden divulgara información secreta sobre la vigilancia del gobierno. Gigantes tecnológicos como Facebook y Apple aumentaron el uso de tecnologías de encriptación para seguridad y privacidad.

En 2015-2016, Apple recibió y apeló 11 órdenes judiciales para extraer información de sus dispositivos. El caso más famoso tuvo lugar en febrero de 2016, cuando el FBI quiso desbloquear un iPhone de un ataque terrorista en San Bernardino, California. Una encuesta de CBS News de más de 1000 estadounidenses encontró que el 50% de ellos apoyaba al FBI y el 45% apoyaba a Apple. Las principales empresas de tecnología como Microsoft, Google, Amazon, Yahoo, Twitter y LinkedIn criticaron la orden judicial.

Estados Unidos está compuesto por 50 entidades legales diferentes con leyes diferentes. Hace un par de años, los legisladores de California y Nueva York intentaron introducir una nueva legislación que obligaría a los fabricantes a descifrar cualquier teléfono inteligente vendido en el estado si fuera necesario. Sin embargo, los proyectos de ley no se aprobaron.

La ley CLOUD: un nuevo paso en los debates sobre criptografía

En 2018, EE. UU. Introdujo la Ley CLOUD (Ley de aclaración del uso legal de datos en el extranjero). La Ley CLOUD aclaró las circunstancias bajo las cuales los proveedores de servicios de comunicaciones electrónicas tienen que divulgar datos, ya sea que estén almacenados en los EE. UU. o en el extranjero. Esto le permitió al FBI acceder a información que no podían obtener antes.

Si bien muchos criticaron la Ley por violar la libertad, compañías como Microsoft dijeron que hará que todo el proceso de extracción de datos sea más transparente.

Rusia

Rusia regula en gran medida Internet y las tecnologías. De acuerdo con las leyes locales, todos los usuarios de las aplicaciones de mensajería deben ser identificados, las VPN están prohibidas y puedes ser procesado por darle me gusta o compartir información crítica con el régimen.

En julio de 2020, entró en vigor una nueva ley que exige que todos los teléfonos inteligentes, tabletas y computadoras tengan software ruso preinstalado. Si bien las autoridades locales argumentan que la ley brinda libertad para elegir entre las aplicaciones occidentales y rusas, los críticos dicen que el software podría usarse para espiar a los ciudadanos. Es posible que la nueva ley no resulte atractiva para algunas empresas de tecnología, lo que las obligará a retirar sus negocios de Rusia.

Irónicamente, estas regulaciones tan duras pueden ser contraproducentes. Telegram fue prohibido oficialmente en Rusia en 2018 después de negarse a entregar sus claves de cifrado a las autoridades. Sin embargo, esto no funcionó como estaba planeado. Telegram aún brinda sus servicios y es ampliamente utilizado por grupos que se oponen al Kremlin.

Reino Unido

El Reino Unido siempre fue uno de los críticos más duros del cifrado de extremo a extremo en la Unión Europea. Por ejemplo, la agencia de espionaje del Reino Unido, GCHQ, propuso una vez crear un ‘protocolo fantasma’ para monitorizar mensajes cifrados, y solo cedió después de las críticas públicas.

El nuevo tratado entre Estados Unidos y el Reino Unido firmado en 2019 podría obligar a empresas de tecnología como Facebook a entregar sus datos de usuario. La ley permitirá a las autoridades del Reino Unido solicitar directamente a las empresas de tecnología la información necesaria para las investigaciones. Acelerará las cosas, ya que la policía del Reino Unido no necesitará solicitar la información a través de agencias gubernamentales de EE. UU.

Países en desarrollo

Si bien hablamos de leyes de cifrado, regulaciones y ciberseguridad, hay países en desarrollo que no tienen discusiones sobre cifrado. Por ejemplo, echemos un vistazo a Myanmar: sus ciudadanos carecen de información básica sobre seguridad en Internet.

Cosas como el cifrado son desconocidas para la mayoría de la gente. Muchos ni siquiera comprenden la necesidad de una contraseña segura. Si las autoridades locales sospechan que cometió un delito, pueden obligarlo a desbloquear el teléfono e iniciar sesión en sus aplicaciones sin una orden judicial. Las personas ocasionalmente son pirateadas, ya que tanto el gobierno como los ciudadanos del país rara vez usan tecnologías de encriptación.

Con una economía en rápido crecimiento, tarde o temprano Myanmar tendrá que hacer frente a sus desafíos digitales. Pero debido a sus numerosas violaciones de derechos humanos reportadas, es muy probable que las futuras leyes de cifrado de Myanmar no favorezcan a los usuarios habituales.

¿Qué países requieren que los proveedores de cifrado descifren los datos con fines policiales?

Una de las mayores preocupaciones en lo que respecta al cifrado es el acceso otorgado a las fuerzas del orden, ya sea mediante una clave de descifrado o un requisito para que los proveedores descifren los datos para ellos.

Un puñado de países, incluidos China y Rusia, tienen un acceso sin precedentes a los datos descifrados. En Rusia, por ejemplo, el Sistema Operativno-Rozysknykh Meropriyatii (SORM – el Sistema de Actividades Operativas-Investigadoras) da al servicio de seguridad federal ruso, el FSB, acceso a mensajes electrónicos y las claves para descifrarlos sin autorización judicial.

Muchos países europeos, asiáticos y africanos, así como los Estados Unidos, tienen leyes que permiten a las fuerzas del orden solicitar a los proveedores que entreguen claves de cifrado y / o descifren datos.

En el Reino Unido, varias leyes otorgan a las fuerzas del orden el derecho a solicitar que se eliminen las tecnologías de cifrado en diversas comunicaciones. La Ley de Regulación de los Poderes de Investigación de 2000 establece que cuando la información protegida está en posesión de las fuerzas del orden público, pueden, con el permiso por escrito de un juez, imponer un requisito de divulgación para que los datos se produzcan en forma inteligible.

La aplicación de la ley debe tener motivos razonables de que alguien posee la clave de la información protegida, que la divulgación es necesaria para la seguridad nacional, la detección / prevención de un delito, o que es en interés del bienestar económico del Reino Unido, que la divulgación es proporcional a lo que se busca lograr, y esa divulgación no es posible sin imponer la orden.

En Estados Unidos, la Ley de Asistencia en Comunicaciones para el Cumplimiento de la Ley de 1994 sugiere que los proveedores de comunicaciones deben garantizar la capacidad de interceptación cuando se emiten con órdenes judiciales u otra autorización legal similar. Sin embargo, “Un operador de telecomunicaciones no será responsable de descifrar, o asegurar la capacidad del gobierno para descifrar, cualquier comunicación cifrada por un suscriptor o cliente, a menos que el proveedor haya proporcionado el cifrado y el proveedor posea la información necesaria para descifrar la comunicación. »

La mayoría de las leyes tienen el mismo poder que la de Estados Unidos, imponiendo requisitos a los proveedores para que descifren cualquier dato que ellos mismos hayan cifrado, pero no los datos cifrados por otros proveedores o los propios usuarios.

Varios otros países imponen leyes ambiguas que brindan la posibilidad de que las fuerzas del orden soliciten la divulgación de información cifrada, o las leyes se han interpretado de esa manera. Por ejemplo, en la Unión Europea, la Resolución del Consejo de 1995 sobre la interceptación legal de telecomunicaciones ofrece algunas orientaciones sobre las leyes que deberían haberse implementado en los países de la UE.

La resolución establece que «si los operadores de red / proveedores de servicios inician la codificación, compresión o encriptación del tráfico de telecomunicaciones, los organismos encargados de hacer cumplir la ley requieren que los operadores de red / proveedores de servicios proporcionen comunicaciones interceptadas en clair». En clair significa «en lenguaje sencillo» y, por lo tanto, puede interpretarse en el sentido de descifrado.

¿Qué países requieren que los usuarios de cifrado descifren los datos con fines policiales?

Es una imagen similar cuando observamos los poderes de aplicación de la ley para solicitar claves de descifrado o datos descifrados de los usuarios de servicios / productos cifrados.

Las leyes tienden a cubrir las comunicaciones o el acceso a las computadoras, requiriendo que aquellos en posesión de una clave se la entreguen a las fuerzas del orden cuando lo soliciten o que los ayuden en el proceso de descifrado.

Una vez más, algunos países no tienen leyes específicas, pero tienen leyes ambiguas. En otros casos, los países pueden depender más de los proveedores de servicios para entregar los datos, es decir, en los Estados Unidos donde ninguna ley otorga explícitamente a las fuerzas del orden el poder de solicitar a los usuarios que entreguen datos / claves descifrados.

En última instancia, obtener acceso de “puerta trasera” a los datos de los proveedores de cifrado es la forma más fácil de acceder a los datos cifrados, razón por la cual un número preocupante de países está intentando implementar tales medidas. Esto incluye:

  • La batalla en curso de la India con WhatsApp
  • Las recientes órdenes judiciales de Brasil para intentar bloquear WhatsApp y el actual proyecto de ley de noticias falsas que intenta romper el cifrado de extremo a extremo.
  • Proyecto de ley de Estados Unidos para el acceso de puerta trasera a datos cifrados (presentado al Congreso en junio de 2020).

Países que requieren licencias para producir servicios / productos de cifrado

Un gran número de países de África, Oriente Medio y Asia tienen requisitos de licencia amplios. Esto significa que la mayoría de los vendedores o fabricantes de productos de criptografía deben obtener una licencia antes de distribuirlos. Francia también tiene tal requisito y cualquier persona que desee proporcionar servicios de criptografía debe declararlo ante el Primer Ministro.

Algunos países, como Turquía, Etiopía, Túnez y Mali, tienen algunos requisitos de licencia, pero no requieren que todos los proveedores de servicios de criptografía obtengan una licencia. Por ejemplo, en Túnez, cualquier empresa que importe productos de criptografía para su propio uso personal (o uso temporal) no requiere una licencia.

Varios países también han promulgado leyes que permiten a los ministerios relevantes crear requisitos de licencia para los servicios de criptografía, pero no parece haber implementado nada hasta el momento. Esto incluye las Bahamas y Barbados.

Países con limitaciones de importación / exportación para servicios / productos de criptografía

Un número mucho mayor de países tiene algún tipo de límites cuando se trata de importar y / o exportar productos de criptografía (o productos que contienen criptografía pero que no tienen únicamente fines de cifrado). En la mayoría de los casos, esto requiere que una empresa registre su producto con la agencia designada dentro del país al que están importando o exportando. Esto también puede incluir algunas especificaciones técnicas.

Un buen número de países con requisitos a gran escala para las licencias de criptografía también imponen severas restricciones a la importación y exportación de estos productos.

Por ejemplo, para los países dentro de la Unión Económica Euroasiática (EAEU) – Armenia, Bielorrusia, Kazajstán, Kirguistán y Rusia – se requiere una licencia de importación / exportación, un permiso y un registro de notificación y también se analizan varias cosas, incluida una lista de algoritmos criptográficos, la longitud máxima de la clave, una lista de protocolos de implementación, cómo se emplea el cifrado, qué tipo de datos se cifran y cómo se cifran los datos.

La gran mayoría de países con leyes aduaneras restringen las exportaciones de productos criptográficos y / o limitan las importaciones de países designados. Un gran número forman parte del Acuerdo de Wassenaar y se rigen por la legislación de la UE. Aquellos que se han adherido al Acuerdo de Wassenaar:

  • Han acordado mantener controles nacionales de exportación sobre ciertos artículos, es decir, servicios de criptografía.
  • Han acordado informar sobre transferencias y denegaciones de artículos controlados especificados a destinos fuera del Acuerdo.
  • Intercambiar información sobre tecnologías y bienes sensibles de doble uso.

Una vez más, varios países tienen leyes vigentes que les permitirán crear requisitos de importación / exportación para productos de criptografía, pero todavía no parecen haber implementado nada.

¿Qué países no tienen una «exención para uso personal» para quienes viajan con computadoras portátiles encriptadas?

Además de imponer restricciones de importación / exportación a las empresas que ofrecen servicios de cifrado, algunos países también imponen restricciones claras para quienes viajan con portátiles cifrados. Por el contrario, algunos de los países que forman parte del Acuerdo de Wassenaar ofrecen a los viajeros una «exención para uso personal».

Si bien se ofrecen restricciones / exenciones claras en los países mencionados anteriormente, los viajes a otros países pueden estar restringidos o no. Siempre es mejor consultar con el país al que viajas de antemano, independientemente de si es parte de un acuerdo o no.

Principales leyes de cifrado y privacidad de datos de todo el mundo

El robo de identidad va en aumento y las empresas están en los titulares casi a diario con noticias sobre debilitantes violaciones de datos. Como tal, las preocupaciones sobre la privacidad y la protección de la información personal están ocupando un lugar central a medida que la tecnología continúa evolucionando y más vidas se entrelazan intrincadamente con el mundo digital. Estas preocupaciones a menudo se manifiestan en las leyes de protección de datos y las regulaciones de privacidad.

Aquí tienes las principales leyes o regulaciones de cifrado que debes conocer.

Ley de privacidad del consumidor de California de 2018 – Estados Unidos

Esta ley se aplica a las organizaciones que tratan con clientes de California y / o sus datos personales. Algunas pequeñas empresas están exentas, ya que solo se aplica a organizaciones que:

  • comparten la información personal de al menos 50.000 consumidores,
  • tienen más de $ 25 millones en ingresos brutos, o
  • derivan el 50% o más de sus ingresos anuales de la venta de información personal de los consumidores.

La ley establece que las empresas que no cifran los datos o no emplean «procedimientos de seguridad razonables» pueden ser demandadas por los consumidores cuyos datos se vean comprometidos.

El propósito de la ley de cifrado es:

  • Dar a los consumidores de California el derecho a qué y cómo se usa su información y responsabilizar a las empresas por la información comprometida en las infracciones.
  • Exigir a las empresas que revelen cualquier venta de información personal de los consumidores de California, suspender las ventas de información personal cuando los consumidores lo soliciten y tomar «medidas razonables» para proteger la información.
  • Evitar que las empresas discriminen a los consumidores de California que solicitan información sobre cómo se recopila o vende su información, o que se niegan a permitir que las empresas vendan su información.

Reglamento de protección de datos: Dinamarca

Esta regulación de privacidad de datos se aplica a cualquier autoridad pública, así como a empresas y organizaciones privadas que manejan datos personales confidenciales y sensibles por correo electrónico.

El reglamento establece que se debe utilizar cifrado al transmitir información confidencial y sensible por correo electrónico a través de una red abierta (como Internet).

Autoridad Bancaria Europea – Bancos Europeos – Unión Europea

Esta ley se aplica a:

  • Todas las «autoridades competentes» en los 28 estados miembros de la Unión Europea.
  • Instituciones financieras de la UE que manejan servicios de pago por Internet.
  • Comerciantes electrónicos de terceros que almacenan, procesan o transmiten datos de pago confidenciales.

El reglamento establece que las instituciones financieras deben establecer requisitos mínimos de seguridad que garanticen un «cifrado seguro de extremo a extremo».

La Autoridad Bancaria Europea (EBA) cuenta con una serie de normas de seguridad mínima para las instituciones financieras en relación con los servicios de pago por Internet y las obligaciones de los proveedores de servicios de pago (PSP). Este documento, conocido como las Directrices finales sobre la seguridad de los pagos por Internet, no afecta la validez de las «Recomendaciones para la seguridad de los pagos por Internet» del Banco Central Europeo.

Normas federales de procesamiento de información: Estados Unidos

Estos estándares federales pertenecen a agencias federales no militares, contratistas gubernamentales, proveedores y otras organizaciones que trabajan con ellos y que «utilizan sistemas de seguridad basados ​​en criptografía para proteger la información confidencial».

Los estándares establecen que las agencias federales, contratistas o proveedores deben desarrollar e implementar módulos criptográficos que protejan la «información sensible pero no clasificada».

Los Estándares Federales de Procesamiento de Información (FIPS), que es un mandato del Instituto Nacional de Estándares y Tecnología (NIST), es un programa completo de estándares de seguridad informática en el que ciertos tipos de datos requieren niveles específicos de seguridad criptográfica.

Reglamento general de protección de datos – Unión Europea

Esta ley de privacidad se aplica a las organizaciones que utilizan los datos privados de los ciudadanos de la Unión Europea (conocidos como «sujetos de datos» en la legislación), independientemente de la ubicación de las organizaciones, con el fin de:

  • Ofrecerles bienes o servicios independientemente del pago.
  • Seguimiento de sus comportamientos (que tienen lugar dentro del sindicato).

El reglamento no se aplica a las autoridades cuyos fines sean la prevención, investigación, detección o enjuiciamiento de delitos o ejecución de sanciones penales.

La ley establece que cualquier organización que no proteja los datos personales utilizando «salvaguardias adecuadas» no cumple con las normas y, como resultado, puede ser objeto de multas y sanciones.

Esta ley general tiene un alcance integral y regula gran parte de lo que las empresas de todo el mundo pueden (y no pueden) hacer con la información personal de los interesados ​​(ciudadanos de la UE), en particular en lo que respecta a su recopilación, uso y almacenamiento. GDPR también especifica quién es responsable de la seguridad y protección de esos datos personales una vez que se recopilan.

Ley Gramm-Leach-Bliley – Estados Unidos

Esta ley se aplica a las instituciones y organizaciones financieras de todos los tamaños dentro de Estados Unidos (como bancos, firmas de valores, compañías de seguros y otros proveedores de servicios financieros) que participan en la provisión de productos o servicios financieros a los consumidores.

La ley establece que las empresas que no protegen la integridad y la seguridad de los datos de los consumidores están sujetas a sanciones penales y civiles.

Estándar de seguridad de datos de la industria de tarjetas de pago – Global

Estos estándares se aplican a prácticamente cualquier entidad u organización que maneje datos de tarjetas de pago, incluidas instituciones financieras, comerciantes y proveedores de servicios. Si un número de cuenta bancaria es un número de cuenta principal (PAN) o contiene dígitos PAN, también se aplicarán estos estándares.

Estos estándares requieren que las empresas que no cifren los datos y empleen los procedimientos de seguridad adecuados estén sujetas a multas y sanciones definidas por las marcas de tarjetas de pago. El PCI Security Standards Council (PCI SSC) en sí mismo no impone consecuencias, multas o sanciones por incumplimiento.

Ley de protección de la información personal y documentos electrónicos: Canadá

Esta ley se aplica a las organizaciones del sector privado que manejan los datos personales de los consumidores canadienses para actividades comerciales. Esto incluye empresas que operan dentro del país pero que tienen datos personales que cruzan todas las fronteras provinciales o nacionales, con la excepción de las organizaciones que operan completamente dentro de Alberta, Columbia Británica y Quebec.

La ley no se aplica a las organizaciones que no se dedican a actividades comerciales con fines de lucro.

Establece que las personas y la Oficina del Comisionado de Privacidad de Canadá (OPC) pueden presentar quejas contra las empresas que no utilizan los datos personales recopilados como se especifica o implementan las salvaguardas de seguridad adecuadas. Los resultados de una investigación posterior podrían resultar en honorarios y sanciones contra las organizaciones.