La CIPSEA y la protección de la intimidad estadística

December 05, 2024 | 5 minutes read
La CIPSEA y la protección de la intimidad estadística

La Ley de Protección de la Información Confidencial y Eficiencia Estadística de 2002 (Confidential Information Protection and Statistical Efficiency Act of 2002 o CIPSEA para abreviar) es una ley federal que se aprobó como parte de la Ley de Administración Electrónica de 2002 (E-Government Act of 2002). Al igual que la Ley Federal de Gestión de la Seguridad de la Información de 2002 o Ley FISMA 2002 se aprobó con la Ley de Administración Electrónica de 2002 para regular las prácticas de ciberseguridad del gobierno federal de EE.UU., la CIPSEA funciona de la misma manera en lo que respecta a la “información personal identificable recopilada por organismos federales con fines exclusivamente estadísticos bajo promesa de confidencialidad”. En este punto, la CISPEA define lo que constituye información personalmente identificable en el contexto del análisis estadístico con arreglo a la ley, así como los requisitos del gobierno federal en lo que se refiere a dicha información.

¿Cómo define la CIPSEA la información de identificación personal?

Con arreglo a la CIPSEA, la información personal en el contexto del análisis estadístico se define como información de la que la identidad de una persona u organización puede “inferirse razonablemente por medios directos o indirectos. Las agencias considerarán cierta información identificable indirectamente si identifica a personas u organizaciones utilizando otra información disponible”. Ejemplos de este tipo de información personal son los nombres y números de la seguridad social, así como la raza, el sexo y la fecha de nacimiento, ya que estos tipos de información personal también pueden considerarse identificables indirectamente. Con este fin, la información personal protegida por la CISPEA sólo puede compartirse con fines estadísticos, a menos que los encuestados den su consentimiento informado para que su información se comparta con fines alternativos.

Por el contrario, la CISPEA no prohíbe la divulgación de información personal que no esté en forma identificable, tal como la define la ley. Además, la CISPEA define los fines estadísticos como “la descripción, estimación o análisis de las características de grupos” y el “desarrollo, aplicación o mantenimiento de métodos, procedimientos técnicos o administrativos o fuentes de información” relacionados. Por lo tanto, los organismos federales sólo pueden compartir “datos protegidos por la CISPEA” entre otros agentes, funcionarios o empleados de la administración federal con fines estadísticos. Según la ley, un agente puede ser un contratista o consultor, una persona que trabaje bajo la autoridad de un organismo o entidad gubernamental, o un empleado de una organización privada.

¿Cuáles son los requisitos de los organismos gubernamentales en virtud de la CIPSEA?

En virtud de la CIPSEA, la divulgación de información de identificación personal para fines no estadísticos sin consentimiento informado debe ser aprobada por el jefe de la agencia federal aplicable, así como cumplir cualquier otra ley federal aplicable. Además, los organismos federales también deben distinguir cualquier información personal que se recopile con fines no estadísticos, así como “notificar al público antes de recopilar datos con fines no estadísticos”. Es más, la CIPSEA también exige a todos los Organismos Estadísticos Designados, como la Oficina del Censo, la Oficina de Análisis Económico o BEA, y la Oficina de Estadísticas Laborales o BLS, que creen y mantengan acuerdos escritos entre otros Organismos Estadísticos Designados antes de compartir cualquier información o dato empresarial personalmente identificable.

Por el contrario, el término “fines estadísticos” se define ampliamente en la ley. Para ilustrar aún más este punto, la CIPSEA permite el intercambio de información de identificación personal con el fin de mejorar la salud pública, ya que la ley “apoya el intercambio de datos para mejorar la salud de la comunidad en la medida en que los organismos divulguen datos protegidos para actividades exclusivamente estadísticas que promuevan la salud de la comunidad”. Además, la CIPSEA “no contiene ninguna disposición que permita expresamente el uso o la divulgación de información protegida con fines de salud pública”. Sin embargo, a nivel práctico, “las personas y organizaciones que solicitan el estatus de agente designado para acceder a datos protegidos con fines estadísticos están sujetas a procesos de aprobación potencialmente largos”.

¿Cuáles son las sanciones por incumplimiento en virtud de la CIPSEA?

En virtud de la CIPSEA, los organismos federales que compartan información personal identificable de ciudadanos estadounidenses con fines ajenos a los establecidos por la ley están sujetos a sanciones tanto pecuniarias como de responsabilidad penal, incluidas multas de hasta 250.000 dólares y penas de prisión de hasta 5 años. Para evitar estas sanciones, la Oficina de Gestión y Presupuesto (Office of Management and Budget, OMB) ha publicado “requisitos y normas mínimas para proteger los datos en virtud de la CIPSEA (por ejemplo, informar a los encuestados de las protecciones de confidencialidad, minimizar el riesgo de divulgación, formación, limitar los usos a fines estadísticos, revisar la información que se va a divulgar para detectar posibles divulgaciones de información identificable y supervisar a los agentes con acceso a información protegida)”.

Dado que, debido al auge de la comunicación en línea, el gobierno de EE.UU. recopila más información personal identificable que nunca, leyes y reglamentos como la CIPSEA son de suma importancia en medio del actual clima digital. Como una de las principales funciones de la Ley de Administración Electrónica de 2002 y de conformidad con la Ley Federal de Gestión de la Seguridad de la Información de 2002 o Ley FISMA 2002, la CIPSEA proporciona a los ciudadanos estadounidenses una vía de recurso con respecto a la información y los datos personales que comparten con los organismos gubernamentales. Mediante la aplicación y el cumplimiento de dicha legislación, los ciudadanos estadounidenses pueden estar seguros de que la información y los datos personales que comparten con el gobierno no pueden divulgarse para fines no autorizados.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »