El Congreso de los Estados Unidos hizo un progreso significativo en esta sesión cuando se trata de privacidad de datos, pero la ciberseguridad sigue siendo un punto ciego para los legisladores.
El Congreso actualmente está considerando un
ley nacional de privacidad que refleja la legislación promulgada en la Unión Europea. Permitiría a las personas acceder, corregir y solicitar la eliminación de la información personal recopilada de ellos. Aunque hay varias ideas sobre la forma final que debe tomar el proyecto de ley, se hizo evidente un camino durante el Comité de Comercio del Senado
audiencia de privacidad el mes pasado.
El Congreso también parece dispuesto a abordar las consecuencias de las nuevas tecnologías. El mes pasado aprobó la Ley de Iniciativa Cuántica Nacional, que se espera que disperse US $ 1.275 mil millones para la investigación cuántica en los próximos cuatro años. Algunos han argumentado que este nuevo entusiasmo por la tecnología podría usarse
para arreglar el proceso de juicio político.
Sin embargo, cuando se trata de ciberseguridad, el Congreso todavía está en la edad oscura. Los esfuerzos para aprobar una ley de privacidad a menudo se consideran abordando tanto la privacidad de los datos como la ciberseguridad, pero en realidad no lo hacen. Las empresas y los consumidores se han visto obligados a tomar el asunto en sus propias manos, reflejado en el reciente anuncio de que Facebook
ha prohibido los deepfakes, y el creciente uso de VPN entre la población en general.
La privacidad no significa nada sin seguridad
Esta supervisión con respecto a la seguridad podría tener enormes consecuencias para la eficacia de la legislación sobre privacidad de datos. Aunque la privacidad y la seguridad de los datos son preocupaciones separadas, existe un vínculo inherente entre ellas. La seguridad se ha pasado por alto en la ley propuesta actual, así como en una legislación similar, como el GDPR de Europa y el proyecto de ley de privacidad de Australia.
pasado hace dos años.
Para comprender cómo se vinculan la privacidad y la seguridad, considere una aplicación que recopila datos de ubicación de sus usuarios. Los tipos de ley de privacidad de datos propuestos (o ya vigentes) impondrían requisitos estrictos a la empresa detrás de esta aplicación, como decirle a sus usuarios qué está recopilando y qué hace con los datos. Sin embargo, si la aplicación no está bien protegida y la información es robada o filtrada, las políticas de privacidad sólidas serán de poca comodidad para los usuarios.
Este descuido es evidente en casi toda la legislación sobre privacidad de datos en los EE. UU.
Ley de Transparencia de la Información y Control de Datos Personales, que fue presentado en la Cámara la primavera pasada, contiene un pasaje que requiere que los legisladores y las compañías tecnológicas "protejan a los consumidores de los malos actores en el espacio de privacidad y seguridad", pero no incluye más detalles. los
Ley de derechos de privacidad en línea del consumidor
Incluso el
Ley de privacidad de datos del consumidor de los Estados Unidos de 2019 proporciona solo la instrucción general de que las empresas deben "mantener políticas y prácticas de seguridad de datos administrativos, técnicos y físicos razonables para proteger contra los riesgos a la confidencialidad, seguridad e integridad de los datos confidenciales cubiertos".
Una falta de liderazgo
En el mejor de los casos, el fracaso del Congreso para abordar la ciberseguridad ha dejado desprotegidos los datos de millones de estadounidenses. En el peor de los casos, representa una falta de liderazgo que ha dejado a las empresas responsables completamente confundidas sobre cuáles son sus responsabilidades legales, morales y éticas cuando se trata de proteger los datos de los usuarios.
En este contexto, ha crecido un mercado enorme y no regulado para herramientas y servicios de seguridad cibernética, cada uno de los cuales afirma ofrecer una protección líder en su clase contra el delito cibernético. Para las empresas, la seguridad del sitio web es ahora un componente importante de
costos de mantenimiento del sitio web. Esto se debe a que los CEO son muy conscientes de los riesgos del delito cibernético, una forma de criminalidad que
le costará a la economía global $ 6 billones al año para 2021, según el informe anual de Cybersecurity Ventures.
Incluso la Agencia de Seguridad Nacional
ha advertido que los ciberdelincuentes "se están volviendo más sofisticados y capaces cada día en su capacidad de usar Internet para propósitos nefastos". Muchas empresas
no tomar precauciones básicas, como eliminar cuentas caducadas.
El futuro
Para ser justos con el Congreso, elaborar una ley de seguridad de datos que cubra a todas las empresas privadas es complejo. Hoy en día, es poco probable que una empresa tenga los datos en un solo lugar, y asignar la responsabilidad de protegerlos se ha convertido en un problema difícil. Cualquier ley de este tipo, por lo tanto, debería tener en cuenta la adopción generalizada del almacenamiento en la nube,
Modelos de negocio SaaSy otras formas de almacenamiento y procesamiento de datos distribuidos. En este contexto, es comprensible que la mayoría
leyes estatales sobre seguridad de datos exigir a las compañías que solo tomen prácticas de seguridad "razonables", sin especificar cuáles son.
Por otro lado, finalmente parece haber un apetito en el Congreso para abordar estos temas. Un número creciente de leyes de protección de datos cubren industrias individuales, como
cuidado de la salud y
instituciones financieras, y la FTC ha traído algunos datos relacionados con la violación
acciones de ejecución bajo su relativamente débil y vago
poderes de protección del consumidor.
Mirando hacia el futuro, estas leyes específicas de la industria podrían formar un modelo excelente para una ley nacional de protección de datos, al igual que la legislación a nivel estatal. El estado más mencionado a este respecto es Nueva York, que posiblemente tenga los requisitos más completos. Las compañías de servicios financieros en el estado deben cumplir con más de 10
requisitos específicos, que incluyen cifrado de información no pública, pruebas de penetración, evaluaciones de vulnerabilidad y supervisión de la ciberseguridad de los proveedores de servicios.
Nueva York también ofrece otra lección para el Congreso. Para redactar y promulgar la nueva ley, el estado convocó a un panel de expertos que reunió a legisladores, profesionales de seguridad cibernética y los CEO de las principales empresas.
El desarrollo de una ley efectiva de protección de datos a nivel nacional requerirá el mismo nivel de experiencia y consulta. Es por eso que algunos han sugerido que un
Departamento Federal de Ciberseguridad Es el camino a seguir. Tal departamento podría reunir responsabilidades que actualmente están fragmentadas en una gran cantidad de departamentos.
Al carecer incluso de una indicación básica del gobierno sobre lo que constituye una ciberseguridad adecuada, muchas personas están tomando la ciberseguridad en sus propias manos. Las VPN, herramientas de seguridad que encriptan los datos de los usuarios en tránsito, están experimentando un crecimiento explosivo. Hace solo unos años, se consideraban herramientas semi-legales que permitían a los consumidores
moverse por los geobloques de Netflix o
evitar las prohibiciones de criptomonedas. Ahora, son utilizados por una proporción significativa de la población.
Cualquiera sea el resultado de estas nuevas iniciativas legislativas, la protección de datos ya no es un tema que el Congreso puede ignorar. Proteger los datos del consumidor es importante para la economía. En el nivel más amplio, garantizar la seguridad de los datos también es fundamental para la eficacia de la legislación de privacidad de datos que ya se ha aprobado. Es decir, nada de la reputación del Congreso, que se vería gravemente dañada si no asumiera el liderazgo en uno de los problemas más importantes que enfrenta Estados Unidos en la actualidad.
Sam Bocetta ha sido columnista de ECT News Network desde 2019. Periodista independiente que se especializa en diplomacia estadounidense y seguridad nacional, el énfasis de Bocetta son las tendencias tecnológicas en guerra cibernética, defensa cibernética y criptografía.