¿Puede el gobierno regular la privacidad en Internet?

Los titulares se están volviendo tan comunes que casi los ignoramos: importantes violaciones de tarjetas de crédito en Objetivo y Neiman Marcus; un error de seguridad importante en el corazón de los sistemas operativos de Apple; el "sangrado del corazón"Error en el corazón de OpenSSL... una y otra vez. Esta semana es la cadena de artesanías Michaels, que parece haber sido tomado por hasta tres millones de tarjetas de crédito y débito encima dos periodos de ocho meses. (No es que estemos juzgando). Y no olvidemos las revelaciones en curso de Snowden.

¿Estás entumecido? ¿O quiere que el gobierno “haga algo” para proteger sus datos?

El tribunal de la opinión pública

Los problemas de privacidad y las violaciones de seguridad están afectando la confianza de algunas personas. A encuesta reciente por la firma de investigación de mercado GfK encontró que uno de cada tres consumidores afirmó haber sido directamente afectados por el uso indebido de datos personales en el último año, y el 60 por ciento dijo que su preocupación por la privacidad de los datos ha aumentado en el último año. (Casi nueve de cada diez ahora dicen que están al menos “un poco” preocupados por la seguridad de su información personal). Además, más de la mitad de los encuestados dicen que el gobierno de EE. UU. no está haciendo lo suficiente para proteger sus datos, y casi el 80 por ciento dijo que debería haber regulaciones estrictas que regulen cómo los intermediarios de datos y otros pueden reutilizar datos personales. información.

De manera similar, un encuesta realizada el año pasado por Pew Internet & American Life Project encontró que el 66 por ciento de los adultos dijo que las leyes de privacidad actuales “no son lo suficientemente buenas” para proteger la privacidad de los usuarios de Internet y, curiosamente, la preocupación fue uniforme en todos los sectores políticos informados por los encuestados. afiliaciones. No importaba si la gente era liberal o partidaria del Tea Party: la mayoría estaba preocupada por su privacidad en línea. En enero, un encuesta Pew separada descubrió que al 18 por ciento de los encuestados le habían robado información personal importante (como una tarjeta de crédito o redes sociales). Número de seguridad), mientras que el 21 por ciento (es decir, uno de cada cinco) había tenido una cuenta de correo electrónico o de red social. pirateado.

¡Debería haber una ley!

Las personas que claman por regulaciones sobre cómo las corporaciones manejan nuestros datos y las violaciones de la privacidad se sentirán aliviadas de saber que existen. son leyes. Es sólo que son principalmente estado leyes. Actualmente, cuarenta y siete de los cincuenta estados han aprobado diversas formas de legislación de protección de la privacidad; Kentucky se está alineando apenas esta semana y Nuevo México parece ser el siguiente.

Los requisitos estatales varían ampliamente y se refieren principalmente a las condiciones bajo las cuales se debe informar a los residentes que sus datos personales han sido (o podrían haber sido) comprometidos. En un estado, un solo consumidor podría ser informado inmediatamente si su información personal queda expuesta, pero en otro estado las empresas podrían no tener que hacerlo. informar a nadie, a menos que se sepa que un cierto número de consumidores se ha visto afectado, o cuando el análisis de riesgos determine que una infracción probablemente haya causado daños reales. dañar. En algunos estados, las empresas tienen que ponerse en contacto directamente con los consumidores; en otros, pueden simplemente publicar un aviso en algún rincón oscuro de su sitio web.

No es que el gobierno federal esté totalmente fuera de escena. Sección Cinco de la Ley de la Comisión Federal de Comercio prohíbe las “prácticas desleales o engañosas”, que la FTC ha determinado que pueden aplicarse a procedimientos laxos de seguridad de datos. De hecho, la afirmación de la FTC fue confirmado la semana pasada en un caso contra Wyndham Hotels, que almacenó información de tarjetas de crédito como texto sin formato, no cambió las contraseñas predeterminadas... y fue llevado a la tintorería por piratas informáticos rusos en varias ocasiones. Sin embargo, la FTC no puede imponer sanciones por infracciones; en el mejor de los casos, puede obligar a las empresas a firmar acuerdos en los que modifican sus prácticas, pagan daños y prometen comportarse bien durante unos años.

¿Qué pasaría si los federales se involucraran más?

Las propuestas para regulaciones nacionales de protección de datos han existido durante años, pero hasta ahora no lo han hecho. ganado mucha tracción en el Congreso y hay poco acuerdo sobre estándares, umbrales o requisitos. ¿Debería ser suficiente la sospecha de una violación de datos para activar notificaciones, o es necesario que haya ocurrido un daño real? Por ejemplo, una propuesta de 2011 de la administración Obama habría exigido que cualquier empresa con información sobre más de 10.000 personas a revelar infracciones que afectan a más de 5.000 personas, pero sólo a las agencias de crédito y al gobierno federal, no a las autoridades reales. consumidores.

“La mayor preocupación es que un proyecto de ley federal pueda realmente ser más débil que muchas de las leyes estatales”, dijo Justin Brookman, Director de Privacidad del Consumidor de la Centro para la democracia y la tecnología. “Uno de los principales puntos de la notificación de violaciones de datos no es necesariamente que todo el mundo lo sepa, sino imponer un coste de responsabilidad a las empresas cuando se enfrentan a estas terribles situaciones. De esa manera, existe un fuerte incentivo para no cometer infracciones. Si una ley federal hace que ese costo menos, Ese no es un gran resultado”.

Hablando en segundo plano, los ejecutivos de dos minoristas a nivel nacional indicaron que las empresas estadounidenses podrían apoyar una ley nacional sobre violación de datos, incluso si conllevara responsabilidad. Uno comparó las distintas leyes de privacidad estatales con la situación del impuesto sobre las ventas en los Estados Unidos, donde las tasas, los informes y la recaudación varían ampliamente según las leyes estatales, de condado y municipales. Un estándar único de privacidad y protección de datos sería más fácil de gestionar para las empresas y, en opinión de ese ejecutivo, superarlo.

Sin embargo, el otro ejecutivo desconfiaba de los requisitos de presentación de informes. Si las empresas tuvieran el mandato de informar cada posible violación de datos para cualquier número de clientes, independientemente de si ocurrió algún daño, podrían convertirse en las empresas que gritaron al lobo, dijo. Los consumidores podrían recibir tantas advertencias que simplemente las ignorarían, lo que tampoco sería un gran resultado.

¿Quieres decir que simplemente recibiríamos avisos?

Los enfoques descritos hasta ahora se centran en informar a las personas cuya información ha sido comprometida después un incumplimiento. Sin duda, el mejor enfoque es, en primer lugar, prevenir las filtraciones de datos. ¿Y qué pasa con los intermediarios de datos, que recopilan y venden información sobre nosotros a cualquiera que tenga dos centavos para frotar?

No espere que el gobierno federal (o los estados, en realidad) intenten legislar prácticas de seguridad de datos. La conclusión es que esas leyes y regulaciones avanzan mucho más lentamente que la tecnología y las prácticas comerciales, y si bien los gobiernos pueden tener requisitos para contratos o servicios particulares realizados con el sector privado, nadie espera que el gobierno intente dictar en términos generales cómo las empresas protegen a los consumidores. datos.

¿Qué pasa con los corredores de datos? Los consumidores desconfían de la información que se comercializa sobre ellos. La encuesta de GfK mencionada anteriormente encontró que la mayoría de las personas en cada grupo de edad medido desconfiaban de los especialistas en marketing con sus datos personales, y el estudio Pew del año pasado encontró que el 86 por ciento de los consumidores ha tomado algunas medidas para minimizar el acceso a Internet seguimiento.

Algunos proyectos de ley de seguridad de datos presentados ante el Congreso contienen disposiciones dirigidas a los intermediarios de datos, potencialmente obligándolos a permitir que los consumidores vean, corrijan o incluso eliminen la información que se ha recopilado sobre ellos. Sin embargo, gran parte de la economía en línea está impulsada por el seguimiento, el análisis y la reventa de información sobre los consumidores; piense en toda la publicidad dirigida y los servicios personalizados que vemos todos los días. Es probable que empresas como Google, Facebook y Amazon desconfíen de cualquier requisito que permita a los consumidores controlar cómo se recopilan y generan datos sobre ellos.

¿Cuáles son las posibilidades de que existan regulaciones federales con respecto a los corredores de datos?

“El Congreso está tan anquilosado, hay tan poco tiempo para aprobar proyectos de ley, que es difícil ver que algo que no sea completamente libre de controversias gane impulso”, dijo Brookman. "Es posible que algo se mueva, pero creo que los republicanos, los demócratas, los defensores de los consumidores y las empresas probablemente quieran cosas algo diferentes".

Así que no contengas la respiración.

[Imagen final cortesía de guadaña5/Shutterstock]

Recomendaciones de los editores

• Kaspersky VPN debería ser tu opción para conexiones seguras y privacidad
• Así es como localicé a las personas que vendían mis datos y luego las detuve
• Cómo aumentar tu privacidad y seguridad en Zoom
• Guerreros del teclado: cómo Internet puede ser un salvavidas para los activistas con discapacidad
• La privacidad está muerta, pero puede que no importe tanto como pensamos