El RGPD, la HIPAA y la CCPA son algunas de las leyes más influyentes y debatidas en el sector de la privacidad, pero por supuesto existen importantes diferencias entre ellas. Una muy obvia es que el RGPD es un reglamento de la UE, mientras que la HIPAA y la CCPA son leyes estadounidenses. Concretamente, la HIPAA es una ley federal mientras que la CCPA es una ley del Estado de California. Pero las diferencias son más profundas que eso.
- ¿De qué tratan estas leyes?
- ¿Cuál es el ámbito de aplicación de estas leyes?
- ¿A quién se aplican el GDPR, la CCPA y la HIPAA?
- ¿Cómo se aplican estas leyes?
- ¿Cómo protegen estas leyes los datos personales?
- ¿Cómo protegen estas leyes la información sensible?
- ¿Estas leyes prevalecen sobre otras?
- Conclusiones
¿De qué tratan estas leyes?
El GDPR es la más fácil de explicar: es una ley de privacidad, pura y simple. La CCPA se sitúa a medio camino entre la ley de privacidad y la ley de protección de los consumidores, por lo que se centra sobre todo en las empresas.
En cuanto a la HIPAA, es una ley del sector médico que solo se aplica a los proveedores sanitarios y a las entidades que trabajan con ellos. A diferencia del GDPR y la CCPA, la HIPAA abarca mucho más que la privacidad: es una legislación sectorial que incluye normas de seguridad, requisitos administrativos y mucho más.
¿Cuál es el ámbito de aplicación de estas leyes?
El ámbito de aplicación del RGPD es el más amplio de los tres, ya que abarca todo el tratamiento de datos personales con escasas excepciones: por ejemplo, las investigaciones penales están cubiertas por otra ley de la UE (la Directiva sobre aplicación de la ley). El RGPD tampoco cubre la defensa nacional porque el asunto queda fuera del mandato de la UE.
La CCPA sólo se aplica a la información personal de los consumidores, por lo que generalmente sólo se aplica a las empresas.
Por último, la HIPAA sólo se aplica a la información sanitaria protegida (PHI). PHI es una noción compleja: que los datos sean PHI o no depende no sólo de lo que son los datos, sino también de quién los controla. Para más información sobre la noción de PHI, no dude en consultar nuestro blog.
¿A quién se aplican el GDPR, la CCPA y la HIPAA?
El GDPR es de ámbito general y se aplica prácticamente a todo el mundo, aunque contiene una exención doméstica para las actividades que son puramente personales por naturaleza. Por tanto, no tienes que preocuparte por el GDPR cuando publiques en tu página de inicio de Facebook, pero sí cuando lo hagas a través del perfil o la página de empresa de tu compañía.
La CCPA solo se aplica a determinadas empresas. Estas son:
- empresas con unos ingresos brutos anuales de 25 millones de dólares o más
- empresas que compran, venden o comparten información personal de 100.000 o más residentes, hogares o dispositivos de California
- empresas que obtienen la mitad o más de sus ingresos de la venta de información personal de residentes californianos.
En otras palabras, se trata de grandes empresas o de pequeñas empresas que procesan mucha información personal. La tienda de delicatessen de al lado probablemente no tenga que preocuparse por la CCPA, pero una cadena de supermercados podría tener que hacerlo, y los intermediarios de datos definitivamente sí.
Las organizaciones sin ánimo de lucro suelen estar exentas de la CCPA, aunque puede haber excepciones cuando la propiedad y la marca de una organización sin ánimo de lucro pueden estar vinculadas a una empresa.
En cuanto a la HIPAA, se aplica a las entidades relacionadas con la atención sanitaria (hospitales, médicos, aseguradoras, etc.). También se aplica a las empresas que trabajan con ellas (socios comerciales), siempre que recojan información sanitaria protegida.
Las normas sobre el ámbito de aplicación de la HIPAA son bastante complicadas, así que esto es una simplificación grosera. Para más información, consulte nuestro blog sobre el ámbito de aplicación de la HIPAA o el sitio web del NHS.
¿Cómo se aplican estas leyes?
La aplicación del RGPD corresponde tanto a los tribunales como a las autoridades de protección de datos (APD ). Ambos desempeñan funciones ligeramente diferentes: por regla general, los tribunales conceden indemnizaciones por daños y perjuicios, y las APD imponen multas.
Desde un punto de vista práctico, las APD suelen carecer de personal suficiente, lo que tiende a ser un cuello de botella para la aplicación del RGPD. El sistema de tramitación de casos transfronterizos en toda la UE también es lento y a veces confuso debido a las diferencias en las normas de procedimiento entre los Estados miembros (algo en lo que la UE está trabajando para solucionar).
Hasta ahora, la aplicación de la CCPA ha corrido a cargo del Abogado General de California. En 2024, a la Abogacía General se unirá la Agencia de Protección de la Privacidad de California (CPPA, sí, las siglas son confusas).
La aplicación de la HIPAA corre a cargo de la Oficina de Derechos Civiles del Ministerio de Sanidad y Servicios Humanos.
¿Cómo protegen estas leyes los datos personales?
Tanto el GDPR como la CCPA tratan esencialmente de lo que puede y no puede hacerse con los datos, pero ambas leyes adoptan enfoques diferentes.
El RGPD establece normas estrictas para el tratamiento de datos personales. Los datos personales sólo pueden recogerse y tratarse sobre una base jurídica específica, y quienquiera que controle los datos está sujeto a algunas obligaciones generales.
Es un mito común que el GDPR siempre requiere consentimiento. En realidad, el GDPR siempre exige una base jurídica, y el consentimiento no es la única opción. Pero hay una pizca de verdad en el mito, así como casos específicos en los que el consentimiento es la única opción viable.
La CCPA también establece normas para procesar la información personal de los consumidores, pero son algo más laxas. Las empresas no necesitan consentimiento ni una base jurídica para recopilar información personal, pero sí deben ofrecer a los consumidores la opción de no vender ni compartir su información personal, y de restringir el uso de información sensible. En general, la CCPA es menos prescriptiva que el GDPR y más dependiente de los sistemas de exclusión voluntaria.
En cuanto a la HIPAA, sus principales principios de privacidad se encuentran en la Regla de Privacidad. Según esta norma, algunas divulgaciones de información sanitaria protegida solo pueden realizarse con el consentimiento escrito del paciente, mientras que otras no. La CCPA permite la divulgación sin consentimiento cuando es estrictamente necesaria para el funcionamiento del sistema sanitario: por ejemplo, remitir el historial médico de un paciente a su nuevo hospital, o revelar los gastos médicos a su proveedor de seguros a efectos de facturación.
La Regla de Privacidad también se aplica a los socios comerciales y restringe lo que pueden hacer con la PHI.
¿Cómo protegen estas leyes la información sensible?
Tanto el GDPR como la CCPA protegen la información sensible, pero la definen en términos diferentes y la protegen de diferentes maneras.
Los datos sensibles según el GDPR son el tipo de información de la que realmente no desea que se abuse o que caiga en las manos equivocadas: datos sobre su religión, salud, vida sexual, afiliaciones políticas, origen étnico, etcétera. Estos datos sólo pueden tratarse en determinados supuestos enumerados por el GDPR: fuera de esos supuestos, no pueden tocarse.
La noción de datos sensibles en el marco de la CCPA es algo similar, pero también incluye datos que se utilizan comúnmente para el fraude, como números de la seguridad social y credenciales de cuentas bancarias.
A diferencia del GDPR, la CCPA no exige una razón específica para recopilar estos datos. Pero las empresas deben ofrecer al consumidor la opción de restringir el uso y la divulgación de información sensible a lo estrictamente necesario, de forma similar a como deben permitir la exclusión voluntaria de la venta y el intercambio de información personal.
La HIPAA no tiene normas específicas para los datos sensibles. Esto tiene sentido: prácticamente todo lo que cubre la HIPAA se consideraría datos sensibles en la mayoría de las legislaciones.
Los datos sanitarios recogidos fuera del sector sanitario gozan de poca o ninguna protección porque** quedan fuera del ámbito de aplicación de la HIPAA**,. Al no existir una ley federal de protección de datos en Estados Unidos, las empresas son libres de hacer más o menos lo que quieran con estos datos, a menos que la legislación estatal se lo prohíba.
Se trata de un enorme problema de privacidad, especialmente para las mujeres. El año pasado, el Tribunal Supremo de Estados Unidos, de tendencia republicana, levantó una prohibición de décadas sobre la legislación antiabortista con la sentencia del caso Dobbs contra Jackson. Tras las prohibiciones legislativas del aborto en los Estados conservadores, las mujeres que buscan atención reproductiva están siendo perseguidas por su huella digital, y el fácil acceso a los datos sanitarios está facilitando la aplicación de la ley.
¿Estas leyes prevalecen sobre otras?
En general, el RGPD se aplica directamente y "prevalece" sobre la legislación de los Estados miembros. Sin embargo, algunos artículos dejan cierto margen a la legislación de los Estados miembros para añadir salvaguardias adicionales.
Como regla general, la HIPAA prevalece sobre las leyes estatales, a menos que éstas ofrezcan una mayor protección de la privacidad. Las normas de la HIPAA sobre prevalencia son complicadas, así que consulte el sitio web del NHS para obtener más detalles.
Conclusiones
El GDPR, la CCPA y la HIPAA son leyes importantes, pero muy diferentes. Esperamos que este post haya dado a nuestros lectores una idea más clara sobre estas leyes y su propósito.
Nos gusta escribir sobre privacidad porque creemos que es importante. Por eso hemos hecho de la privacidad la piedra angular de Simple Analytics. Simple Analytics no recopila datos personales, no rastrea a los visitantes y no viola su privacidad de ninguna manera, al tiempo que proporciona al cliente toda la información que necesita. Si esto le parece bien, no dude en probarlo.