Resumo:

Neste artigo, exploraremos as principais diferenças entre as leis de privacidade de dados na União Europeia (UE) e nos Estados Unidos (U.S.). É essencial entender essas variações, pois elas podem ter implicações significativas para indivíduos e empresas que operam em ambas as regiões.

Pontos chave:

1. O u.S. tem leis limitadas de proteção de dados em comparação com a UE.
2. Apenas três estados no u.S. ter leis de proteção de dados reconhecidas pela UE.
3. As leis de proteção de dados da UE se concentram nos direitos individuais e regulamentos abrangentes.
4. você.S. As leis de proteção de dados são mais orientadas para os negócios, abordando principalmente os direitos “não vendem”.
5. A UE possui a Diretiva de Proteção de Dados 1995/46/CE e a Diretiva E-Privacia 2002/58/EC.
6. A Diretiva de Proteção de Dados governa o processamento automatizado de dados pessoais e sistemas de arquivamento.
7. Os princípios de proteção de dados da UE incluem processamento justo e legal, minimização de dados e precisão.
8. Controladores de dados na UE devem fornecer informações aos titulares de dados e implementar medidas de segurança.
9. Os titulares de dados da UE têm direitos de acessar dados pessoais, remédio judicial e objeção ao processamento de dados.
10. Os sites pessoais também devem cumprir a Diretiva de Proteção de Dados da UE.

Perguntas e respostas:

1. Como as leis de privacidade de dados diferem entre a UE e o U.S.?

Na UE, as leis de proteção de dados são muito mais abrangentes e se concentram nos direitos individuais. Por outro lado, o U.S. tem leis limitadas de proteção de dados, abordando principalmente atividades comerciais, como “não vender” direitos.

2. Que afirma no u.S. ter leis de proteção de dados reconhecidas pela UE?

Os estados da Virgínia, Colorado e Califórnia têm leis de proteção de dados que se alinham aos padrões da UE.

3. Quais são os principais instrumentos legais que regulam a proteção de dados na UE?

Os principais instrumentos legais da UE são a Diretiva de Proteção de Dados 1995/46/CE e a Diretiva E-Privacia 2002/58/EC.

4. O que a Diretiva de Proteção de Dados 1995/46/CE Cover?

Esta diretiva se aplica ao processamento automatizado de dados pessoais e sistemas de arquivamento. Ele define dados pessoais como qualquer informação relacionada a uma pessoa natural “identificada ou identificável.”

5. Quais obrigações os controladores de dados têm sob a diretiva de proteção de dados?

Os controladores de dados devem garantir processamento justo e legal, coletar dados para fins específicos e manter dados precisos e atualizados. Eles também são responsáveis ​​por implementar medidas técnicas e organizacionais para proteger os dados.

6. Quais direitos os dados os titulares têm sob a Diretiva de Proteção de Dados da UE?

Os titulares de dados têm o direito de acessar seus dados pessoais, buscar remédios judiciais e se opor a determinadas práticas de processamento de dados. Eles também podem solicitar retificação, apagamento ou bloqueio de dados que não cumpram a diretiva.

7. Os sites pessoais são isentos da Diretiva de Proteção de Dados da UE?

O processamento de dados pessoais por indivíduos para atividades privadas e domésticas está isento. No entanto, processos judiciais específicos esclareceram que os sites pessoais devem cumprir a diretiva.

8. Como os princípios de proteção de dados da UE enfatizam a qualidade dos dados?

Os princípios de proteção de dados da UE exigem que os dados sejam coletados de maneira justa e legalmente usada para fins específicos e mantidos precisos e atualizados. Eles também estressam a minimização dos dados e apenas a coleta de dados necessários para os fins pretendidos.

9. Quais são as principais diferenças entre a UE e você.S. Leis de proteção de dados sobre direitos individuais?

As leis da UE fornecem direitos individuais mais fortes, como o direito de acessar dados pessoais, enquanto você.S. Leis se concentram principalmente em atividades comerciais como “não vender” direitos.

10. Como as empresas estão operando na UE e em U.S. Navegue pelas diferenças nas leis de proteção de dados?

As empresas devem garantir a conformidade com as leis mais rigorosas da UE ao processar dados pessoais dos residentes da UE. Eles devem implementar medidas abrangentes de proteção de dados e entender os requisitos específicos de cada jurisdição em que operam.

11. Como a Diretiva E-Privacia da UE complementa a diretiva de proteção de dados?

A Diretiva E-Privacia fornece regulamentos adicionais especificamente para comunicações eletrônicas, garantindo direitos de privacidade em áreas como rastreamento on-line, cookies e comunicações eletrônicas não solicitadas.

12. Os indivíduos da UE podem exercer seus direitos de acessar dados pessoais coletados por empresas no U.S.?

Os indivíduos da UE têm o direito de acessar seus dados pessoais, independentemente de onde a entidade de processamento está localizada. Portanto, eles podem solicitar acesso a dados pessoais coletados por empresas no U.S.

13. Quais são as conseqüências do não conformidade com as leis de proteção de dados da UE?

O não cumprimento das leis de proteção de dados da UE pode resultar em multas substanciais e danos à reputação para empresas. Os indivíduos também têm o direito de buscar remédios judiciais por violações de seus direitos de proteção de dados.

14. Como as leis de proteção de dados da UE afetam transferências de dados transfronteiriços?

As leis de proteção de dados da UE colocam restrições e requisitos nas transferências de dados transfronteiriças para garantir proteção adequada para dados pessoais quando transferidos para países fora da UE com padrões de proteção de dados mais baixos.

15. Como você.S. As empresas garantem a conformidade com as leis de proteção de dados da UE?

você.S. As empresas devem avaliar suas atividades de processamento de dados, implementar as salvaguardas necessárias e considerar mecanismos como cláusulas contratuais padrão ou certificação de escudo de privacidade para legitimar transferências de dados pessoais da UE.

6 maneiras que você. S. e as leis de privacidade de dados da UE diferem

O u.S. tem uma estrutura semelhante à lei federal, geralmente pré-emitindo e superior às leis estaduais individuais. No entanto, existem apenas três estados em 50 com qualquer lei de proteção de dados, pois a UE o reconheceria (Virgínia, Colorado e Califórnia). Mesmo essas leis são limitadas em escopo, conteúdo e direitos em comparação com as leis de proteção de dados da UE, concentrando -se mais em atividades comerciais, como “não venda” direitos.

Diferenças entre as leis de privacidade na UE e nos EUA

Tudo o que fazemos na internet sai digital impressões digitais. Portanto, é só lógico que muitos usuários da Web estejam preocupados com a questão da privacidade. A preocupação deles não é sem razão. Como as leis de privacidade diferem de país para país, uma empresa não é legalmente obrigada a garantir que o processamento de dados pessoais cumprirá as leis de todos os países onde as pessoas cujos dados foram coletados residem. Por exemplo, se uma empresa for incorporada em um país offshore, a empresa pode não ser obrigada a observar nenhuma lei de proteção de dados. No entanto, devido à natureza global da Internet, essa empresa ainda pode oferecer serviços on -line a pessoas residentes em países com leis estritas de proteção de dados.

Até grandes países e organizações, como a UE e os EUA, têm abordagens diferentes em suas tentativas de regular o uso de informações pessoais na sociedade da informação. O objetivo do presente artigo é descrever brevemente as leis de proteção de dados da UE (Seção 2) e dos EUA (Seção 3).
Finalmente, uma conclusão é tirada (Seção 4).

As leis de proteção de dados da UE

Na UE, dois principais instrumentos legais regulam a proteção de dados na sociedade da informação. Esses instrumentos legais incluem a Diretiva de Proteção de Dados 1995/46/CE (Seção 2.1) e a Diretiva E-Privacia 2002/58/CE (Seção 2.2).

A Diretiva de Proteção de Dados 1995/46/EC

A Diretiva de Proteção de Dados da UE 1995/46/CE é aplicável ao processamento automatizado de dados pessoais e outro processamento de dados pessoais que fazem parte de um sistema de arquivamento. A diretiva define dados pessoais como qualquer informação relacionada a um “pessoa natural identificada ou identificável.” Deve -se notar que o processamento de dados pessoais relacionados à segurança pública, defesa, segurança do estado e atividades em áreas do direito penal não se enquadra no escopo da diretiva. Abaixo, as obrigações da pessoa responsável por determinar os propósitos e os meios do processamento de dados pessoais (“o controlador de dados”) e os direitos da pessoa cujos dados são processados ​​(“o titular dos dados”) são discutidos.

Obrigações do controlador de dados

De acordo com a diretiva 1995/46/CE, o controlador de dados deve garantir a conformidade com vários princípios relacionados à qualidade dos dados. Esses princípios incluem: (1) os dados coletados devem ser processados ​​de maneira justa e legalmente; (2) os dados coletados devem ser coletados para fins especificados, explícitos e legítimos e não processados ​​de uma maneira incompatível com esses propósitos; (3) os dados coletados devem ser adequados, relevantes e não excessivos em relação aos propósitos para os quais são coletados e/ou mais processados; (4) os dados coletados devem ser precisos e, quando necessário, mantidos atualizados, e; (5) Os dados coletados devem ser mantidos em uma forma que permita a identificação de titulares de dados por não mais do que é necessário para os fins para os quais os dados foram coletados ou para os quais são processados ​​posteriormente.

O controlador de dados deve não apenas cumprir os princípios acima mencionados, mas também fornecer certas informações ao titular dos dados. Em particular, as informações que precisarão ser fornecidas ao titular dos dados incluem: (1) a identidade do controlador e de seu representante, se houver; (2) os propósitos do processamento para os quais os dados são destinados; (3) Qualquer informação adicional, como (i) os destinatários ou categorias de destinatários dos dados, (ii) se as respostas às perguntas são obrigatórias ou voluntárias, bem como as possíveis consequências da falha em responder, (iii) a existência do direito de acesso e o direito de retificar os dados referentes a. O controlador de dados também é obrigado a implementar medidas técnicas e organizacionais adequadas contra acesso ilegal, perda acidental, destruição, alteração dos dados.

Direitos do titular dos dados

De acordo com a diretiva da UE 1995/46/CE, o titular dos dados tem os seguintes direitos: (1) o direito ao acesso dos dados pessoais relacionados a ele; (2) o direito ao remédio judicial; e (3) o direito de se opor a determinadas práticas de processamento de dados. Deve -se acrescentar que o direito ao acesso dos dados pessoais inclui os seguintes direitos: (i) o direito de obter cópias dos dados processados ​​pelo controlador de dados; (ii) o direito de receber do controlador de dados uma instrução indicando se os dados relacionados ao titular dos dados estão sendo processados; (iii) o direito de receber informações sobre os propósitos do processamento; (iv) o direito de receber informações sobre as categorias de dados em questão; e (v) o direito de conhecer os destinatários a quem os dados são divulgados, (vi) o direito de obter a retificação, apagamento ou bloqueio de dados cujo processamento não cumpre as disposições da Diretiva de Proteção de Dados da UE 1995/46/EC.

Sites pessoais também devem cumprir a Diretiva de Proteção de Dados da UE 1995/46/EC

O processamento de dados pessoais por uma pessoa natural como parte de atividades puramente privadas e domésticas está isento da Diretiva de Proteção de Dados da UE 1995/46/EC. No entanto, em uma decisão marcante (Caso C-101/01, Bodil Lindqvist, julgamento de 6 de novembro de 2003), o Tribunal de Justiça Europeu descobriu que uma mulher que identificou e incluía informações sobre colegas voluntários da igreja em seu site pessoal estava violando a diretiva de proteção de dados. O motivo foi que a criação de um site pessoal não era uma atividade pessoal que está fora do escopo da Diretiva de Proteção de Dados da UE 1995/46/EC.

A Diretiva E-Privacia 2002/58/EC

Além da Diretiva de Proteção de Dados da UE 1995/46/CE, a UE adotou a Diretiva E-Privacia 2002/58/CE, que visava garantir a proteção de dados pessoais no campo das telecomunicações. O escopo da Diretiva E-Privacia inclui serviços de comunicações eletrônicas disponíveis publicamente em redes públicas de telecomunicações na UE. Em particular, a Diretiva E-Privacia 2002/58/CE regula “dados de tráfego” e “Dados de localização.” O termo “dados de tráfego” refere -se aos dados necessários para o fornecimento de comunicações. O termo “Dados de localização” refere -se a dados que fornecem a posição geográfica do dispositivo. A Diretiva E-Privacia também regula as comunicações não solicitadas (“Spam”), cookies e spyware.

De acordo com a Diretiva E-Privacia, os prestadores de serviços de comunicação que se enquadram no escopo da diretiva devem notificar violações para as autoridades nacionais correspondentes. Eles também precisam notificar assinantes ou clientes que provavelmente serão afetados adversamente por uma violação, o que pode ser um roubo de identidade, perda de reputação, etc. Juntamente com a notificação, o provedor também deve enviar uma lista das medidas propostas que serão usadas para combater a violação.

Com relação aos cookies, a Diretiva E-Primeira-Pivação afirma que eles podem ser instalados em dispositivos de assinantes somente após um consentimento explícito do assinante ou do usuário for fornecido. Deve-se notar que esse consentimento só pode ser obtido após o assinante receber as informações exigidas pela Diretiva E-Privacia e depois de receber o direito de recusar esse acesso. Em relação ao SPAM, a Diretiva E-Privacia estados que os remédios para violações das disposições sobre comunicações não solicitadas podem ser obtidas por meio de procedimentos legais.

Proteção de dados nos EUA

Ao contrário da UE, os EUA não têm uma única lei de privacidade abrangente. Em nível federal, os Estados Unidos mantêm uma abordagem setorial em relação à legislação de proteção de dados, onde certas indústrias são cobertas e outras não são. Em nível estadual, a maioria dos estados promulgou alguma forma de legislação de privacidade. Abaixo, discutimos rapidamente três importantes leis federais de proteção de dados, a saber, a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), a Lei de Transação de Crédito Fair e precisa (FACTA) e as crianças’s Lei de Proteção à Privacidade Online (COPPA).

Hippa

O objetivo do Hippa é garantir proteção para dados de saúde identificáveis ​​individualmente. Em particular, Hippa define quem pode ter acesso às informações de saúde. Na maioria dos casos, essas informações podem ser usadas apenas por profissionais de saúde que a estão usando para fins de coordenação de tratamento e cuidados. As informações sujeitas a proteção incluem prestadores médicos’ Notas e registros, seguradora de saúde’s registros de computador, informações de cobrança, bem como conversas entre médicos referentes ao paciente’S cuidados e tratamento.

FACTA

O objetivo do FACTA é ajudar a proteger os consumidores’ informações de crédito dos riscos relacionados ao roubo de dados. De acordo com a FACTA, o cartão de crédito e os recibos de cartão de débito, com exceção dos recibos manuscritos, não devem listar mais do que os últimos cinco dígitos do número do cartão. Deve -se notar também que, sob FACTA, uma pessoa que faz um pedido de relatório de crédito tem o direito de solicitar que os cinco primeiros dígitos de seu número de Seguro Social não sejam incluídos no arquivo.

Coppa

O objetivo de Coppa é proteger a privacidade de crianças menores de 13 anos. O escopo da Lei abrange sites direcionados a crianças ou que têm conhecimento de que as crianças estão visitando o site. A COPPA impõe uma obrigação aos operadores desses sites de publicar políticas de privacidade especificando se as informações pessoais estão sendo coletadas ou não, como essas informações estão sendo usadas, bem como as práticas de divulgação dos operadores dos sites. Para coletar essas informações de crianças, os sites’ Os operadores devem obter consentimento dos pais verificáveis. Mediante solicitação dos pais, o provedor deve enviar aos pais uma descrição do tipo de informação que está sendo coletada e parar de coletar dados do filho em particular.

Conclusão

De acordo com a lei da UE, os dados pessoais podem ser coletados apenas em condições estritas e para um propósito legítimo. O principal componente da Lei de Proteção de Dados da UE é a Diretiva de Proteção de Dados 1995/46/EC.
Nos EUA, não há lei abrangente que regula a coleta e o processamento de dados pessoais. Em vez disso, a proteção de dados é regulada por muitas leis estaduais e federais.

As diferentes abordagens da UE e nós para a proteção de dados provavelmente resultam da história. Na Europa, onde as pessoas tiveram ditaduras, a proteção de dados é declarada como um direito humano e regulamentado por legislação abrangente de proteção de dados. Nesse sentido, vale a pena mencionar que o Stasi, o serviço oficial de segurança do estado da República Democrática Alemã ou RDA (informalmente conhecida como Alemanha Oriental), empregou 500.000 informantes secretos. A tarefa de 10.000 desses informantes era ouvir e transcrever os telefonemas dos cidadãos. Por outro lado, nos EUA, a atitude em relação à proteção de dados é regida principalmente pelas forças de mercado. Deve -se notar também que, com a adoção da Lei do Patriota dos EUA, que foi adotada em resposta aos eventos em 11 de setembro de 2001, os EUA reduziram significativamente as restrições na coleta de dados pessoais por agências policiais.

Fontes

• Allen, a., ‘Privacidade impopular: o que devemos esconder‘, Oxford University Press, 2011.
• Dixon, p., Gellman, r., ‘Privacidade online: um manual de referência‘, ABC-CLIO, 2011.
• Fischer, p., ‘A lei de privacidade no século 21 será americana, européia ou iNernacional‘, Grin Verlag, 2012.
• Hert, p., Poullet, Y., Gutwirth, s.,(Editores), ‘Proteção de dados em um mundo perfilado‘, Springer 2010.
• Levmore, s., Nussbaum, m., ‘A Internet ofensiva: fala, privacidade e reputação’, Harvard University Press, 2011.
• Lloyd, i., ‘Lei de Tecnologia da Informação‘, Oxford University Press, 2008.
• Noorda, c., ‘Discoveria eletrônica e privacidade de dados: um guia prático‘, Kluwer Law International, 2011.
• Rogosch, p., Hohl, e., ‘Proteção de dados e Facebook: uma análise empírica do papel do consentimento nas redes sociais‘, Lit Verlag Münster, 2012.
• Rowland, d., ‘Lei de Tecnologia da Informação‘, Routledge, 2005.
• Selvagem, c., Weinstein, s., Macewan, n., Geach, n., ‘Lei de comércio eletrônico e móvel: uma análise de comércio, finanças, mídia e crime cibernético na era digital‘, University of Hertfordshire Press, 2011.

6 maneiras que você.S. e as leis de privacidade de dados da UE diferem

O u.K. deixou a UE e, para aqueles que moram lá, nós’adotou historicamente um europeu “direitos humanos fundamentais” abordagem para proteção de dados. Ainda assim, às vezes podemos estar culturalmente mais próximos do u.S., com uma linguagem compartilhada e influência de você maior.S. provedores de tecnologia que às vezes lutam na Europa devido ao seu design para o U.S. mercado, que tem uma abordagem diferente para “dados privados.”

Este blog analisa o contraste entre europeu e você.S. Abordagens para privacidade de dados .

1. PII vs. dados pessoais

O GDPR define dados pessoais como “qualquer informação relacionada a uma pessoa natural identificada ou identificável.” Uma única definição para todo o EEA adotar. Isso geralmente é interpretado como uma extensa definição que inclui dados em domínio público, que é frequentemente excluído de você.S. Definições de Informações Pessoalmente Identificáveis ​​(PII).

você.S. As definições de PII variam, como várias leis no U.S. Defina PII de maneira diferente, dependendo do tópico (por exemplo, sob a HIPAA, a definição PII incluiria apenas dados de saúde processados ​​por profissionais de saúde, enquanto que sob Coppa, seriam crianças’s dados sobre plataformas de tecnologia). Além disso, as definições de dados sensíveis no U.S. Observe os dados financeiros e fortes identificadores governamentais, enquanto os dados da categoria especial da UE são construídos a partir de áreas que podem afetar os direitos humanos, por exemplo, áreas como religião, saúde, raça, etnia, visões políticas, biometria, vida sexual ou genética.

2. Base Legal e Opt-In vs. excluir

Outra grande diferença é o ponto de partida geral da UE proibição de processamento – um “Não, a menos que ..” ao contrário do U.S. ponto de partida de “Sim, a menos que ..”.

Isso significa o u.S. Padrões para um “excluir” Abordagem como padrão (faremos isso a menos que você diga não), enquanto a UE adota mais uma abordagem de privacidade protetora de ser capaz de processar com uma base legal válida (que no caso de consentimento é normalmente um “Opta-in” modelo)

3. Omnibus vs. Leis de privacidade setorial

Existem prós e contras de diferentes abordagens. Ainda assim, eu gosto do U.S. A abordagem setorial da lei em nível federal, porque eles podem ser mais prescritivos do que a UE, pois possuem leis de dados especializadas para cada setor como HIPAA, Coppa, Ferpa, etc. No entanto, estes não’t Cubra todos os dados ou todos os setores.

Na UE, a abordagem é chamada “Omnibus” na medida em que existe uma única lei de privacidade, que, por sua natureza, precisa adotar princípios gerais, portanto, não pode ser tão específica, mesmo que cubra um escopo maior de todos os dados de qualquer pessoa (em oposição a dizer CCPA que analisa principalmente os consumidores californianos).

4. Pan European/Membro Estado vs. Estado federal

A UE’O GDPR garante um padrão que forneça um balcão único em 27 países, com outros três países de EEE trazidos pelo tratado a um nível semelhante de proteção. Há espaço para a variação da lei nacional, mas isso não pode cair abaixo dos níveis do GDPR e só pode variar o GDPR onde o próprio GDPR especifica. Caso contrário, a lei se harmoniza em todos os estados membros.

O u.S. tem uma estrutura semelhante à lei federal, geralmente pré-emitindo e superior às leis estaduais individuais. No entanto, existem apenas três estados em 50 com qualquer lei de proteção de dados, pois a UE o reconheceria (Virgínia, Colorado e Califórnia). Mesmo essas leis são limitadas em escopo, conteúdo e direitos em comparação com as leis de proteção de dados da UE, concentrando -se mais em atividades comerciais, como “não venda” direitos.

5. Direitos Humanos Fundamentais vs. proteção do consumidor

Embora o u.S. há muito reconhece o direito de privacidade de você.S. cidadãos, não há direito geral de privacidade para não-nacionais. A experiência da UE na Segunda Guerra Mundial e além trouxe uma abordagem baseada em um direito humano fundamental à privacidade e proteção de dados separadamente, estendendo -se a todas as pessoas, independentemente da atividade e nacionalidade.

você.S. As abordagens são mais sobre os padrões de negociação de negócios e serem bons para o seu cliente e, portanto, podem excluir os recursos governamentais e de recursos humanos do tipo de privacidade. Isso também é estendido aos reguladores, onde a UE tende a ter reguladores dedicados de proteção de dados. Por outro lado, o U.S. pode ter diferentes reguladores, dependendo da lei. A FTC assume a liderança para os negócios com multas geralmente emitidas para “Práticas comerciais injustas e enganosas” e fora da quadra “decretos de consentimento” comuns sobre penalidades legais.

6. Direitos de privacidade e propriedade de dados

Com um modelo de direitos fundamentais na UE, vem o conceito de que os direitos de proteção de dados devem ser gratuitos para todos, pois geralmente é o mais vulnerável que tem mais necessidade. Isso também se estende à lei de proteção de dados, apenas atribuindo obrigações e direitos, mas não a propriedade de dados. Isso pode levar a negociação de dados como uma mercadoria, onde os pobres vendem e os ricos podem pagar sua privacidade.

O u.S.analisa mais a propriedade de dados como propriedade intelectual, o que pode levar a modelos de privacidade onde a privacidade está disponível apenas para aqueles com os recursos para defendê -la.

O que é melhor para a privacidade: u.S. ou UE?

Observe que nenhum regime é “superior,” Como ambos têm poderes soberanos. No entanto, eles têm pontos de partida diferentes, com o U.S. muitas vezes mais amigável aos negócios, concentrando-se no comércio. E após as atrocidades de 11 de setembro, geralmente com leis de segurança “Trumping” aqueles de privacidade individual. A UE adota a abordagem filosófica oposta com os direitos individuais que supere as necessidades de segurança.

Ambas as abordagens têm mérito e desvantagens definitivos e, com transferências internacionais, as empresas internacionais enfrentam questões com incompatibilidades. No entanto, o problema é político. Olhamos para o futuro para ver se os diferentes regimes convergem ou mantêm as transferências de dados difíceis, desviando na abordagem.

Quero aprender mais sobre privacidade? Confira o meu cursos de privacidade sobre Habilidades Infosec .