La nueva privacidad de California La ley fue años en la fabricación.
La ley, la Ley de Privacidad del Consumidor de California, o CCPA, se convirtió en ley el 1 de enero, permitiendo a los residentes del estado reclamar su derecho a acceder y controlar sus datos personales. Inspirado en el RGPD de Europa, el CCPA es el mayor cambio de ley de privacidad a nivel estatal en una generación. La nueva ley permite a los usuarios solicitar una copia de los datos que las compañías tecnológicas tienen sobre ellos, eliminar los datos cuando ya no quieren que una compañía los tenga y exigir que sus datos no se vendan a terceros. Todo esto es para disgusto de los gigantes tecnológicos, algunos de los cuales habían gastado millones para cumplir con la ley y tienen muchos más millones destinados a atender la afluencia anticipada de solicitudes de acceso a datos de los consumidores.
Pero decir que las cosas van bien es difícil.
Muchos de los gigantes tecnológicos que pateado y gritado en resistencia a la nueva ley han aceptado y aceptado su destino, al menos hasta aparece algo diferente
Alex Davis es solo un residente de California que intentó usar sus nuevos derechos bajo la ley para solicitar una eliminación de sus datos. Expresó su molestia en Twitter, diciendo que las compañías han respondido a CCPA haciendo solicitudes "lo más confusas y difíciles posible en formas nuevas y peores".
"Nunca he visto intentos tan deliberados de confundir con el diseño", dijo a TechCrunch. Se refirió a lo que describió como "patrones oscuros", un tipo de diseño de interfaz de usuario que intenta engañar a los usuarios para que tomen ciertas decisiones, a menudo en contra de sus mejores intereses.
"Traté de hacer una solicitud de eliminación, pero me empantanó con menús que seguían redirigiendo … cosas para activar y desactivar", dijo.
A pesar de su frustración, Davis llegó más lejos que otros. Así como algunas empresas tienen lo hizo fácil para que los usuarios opten por no vender sus datos agregando los enlaces "No vender mi información" legalmente requeridos en sus sitios web, muchos no lo han hecho. Algunos han hecho que sea casi imposible encontrar estos "portales de datos", que las compañías configuraron para que los usuarios puedan solicitar una copia de sus datos o eliminarlos por completo. Por ahora, las compañías de California aún se encuentran en un período de gracia, pero tienen hasta julio cuando las disposiciones de aplicación de la ley CCPA entran en vigencia. Hasta entonces, los usuarios están encontrando formas de evitarlo. cotejar y compartir enlaces a portales de datos para ayudar a otros a acceder a sus datos.
"Realmente vemos una historia mixta en el nivel de respuesta de CCPA en este momento", dijo Jay Cline, quien dirige la consulta de la práctica de privacidad de datos del gigante PwC, describiéndola como un mosaico de cumplimiento.
Los propios datos de PwC encontraron que solo el 40% de las 600 empresas estadounidenses más grandes tenían un portal de datos. Solo una fracción, dijo Cline, extendió sus portales a usuarios fuera de California, a pesar de que otros estados se están preparando para impulsar leyes similares a la CCPA.
Pero no todos los portales de datos se crean por igual. Dada la cantidad de datos que las empresas almacenan en nosotros, personales o de otro tipo, los riesgos de equivocarse son mayores que nunca. Las compañías tecnológicas todavía están luchando por encontrar la mejor manera de verificar cada solicitud de datos para acceder o eliminar los datos de un usuario sin darlo a la persona equivocada sin darse cuenta.
El año pasado, el investigador de seguridad James Pavur se hizo pasar por su prometida y engañó a las compañías tecnológicas para que entregaran grandes cantidades de datos sobre ella, incluida información de tarjetas de crédito, inicios de sesión de cuentas y contraseñas y, en un caso, una verificación de antecedentes penales. Solo algunas de las empresas solicitaron la verificación. Hace dos años, el fundador de Akita, Jean Yang, describió alguien pirateando en su cuenta de Spotify y solicitando los datos de su cuenta como una "desafortunada consecuencia" de GDPR, que obligaba a las empresas que operan en el continente a permitir a los usuarios acceder a sus datos.
(Imagen: Twitter /@jeanqasaur)
La CCPA dice que las compañías deben verificar la identidad de una persona con un "grado razonable de certeza". Para algunos, esa es solo una dirección de correo electrónico para enviar los datos.
Otros requieren enviar información aún más confidencial solo para demostrar que son ellos.
De hecho, i360, una empresa de publicidad y datos poco conocida, hasta hace poco
Comcast solicita la misma cantidad de información para verificar una solicitud de datos que el controvertido inicio de reconocimiento facial, Clearview AI, que recientemente llegó a los titulares por crear un sistema de vigilancia compuesto por miles de millones de imágenes extraídas de Facebook, Twitter y YouTube para ayudar a las fuerzas del orden a rastrear los movimientos de una persona.
Por mucho que CCPA haya causado dificultades, ha ayudado a forjar una clase completamente nueva de nuevas empresas de cumplimiento preparadas para ayudar a grandes y pequeñas empresas a manejar las cargas regulatorias a las que están sujetas. Varias nuevas empresas en el espacio están aprovechando los $ 55 mil millones que se espera gastar en el cumplimiento de CCPA en el próximo año, como Segmento, que ofrece a los clientes una vista consolidada de los datos que almacenan; Osano que ayuda a las empresas a cumplir con CCPA; y Securiti, que acaba de recaudar $ 50 millones para ayudar a expandir su oferta de CCPA. Con CCPA y GDPR bajo sus cinturones, sus servicios están diseñados para adaptarse a las nuevas leyes estatales o federales a medida que entran.
Otra startup, Mine, que permite a los usuarios "tomar posesión" de sus datos al actuar como intermediario para permitir que los usuarios realicen fácilmente solicitudes bajo CCPA y GDPR, tuvo un debut un tanto accidentado.
El servicio solicita a los usuarios que les otorguen acceso a la bandeja de entrada de un usuario, escaneando las líneas de asunto del correo electrónico que contienen los nombres de las empresas y utilizando esos datos para determinar a qué empresas un usuario puede solicitar sus datos o eliminarlos. (El servicio solicita acceso a Gmail de un usuario, pero la compañía afirma que "nunca leerá" los correos electrónicos de los usuarios.) El mes pasado, durante una campaña publicitaria, Mine copió inadvertidamente un par de solicitudes de datos por correo electrónico a TechCrunch, lo que nos permitió ver los nombres y las direcciones de correo electrónico de dos solicitantes que querían que Crunch, una popular cadena de gimnasios con un nombre similar, borrara sus datos.
(Captura de pantalla: Zack Whittaker / TechCrunch)
TechCrunch alertó a Mine, y a los dos solicitantes, sobre el lapso de seguridad.
"Esta fue una confusión de nuestra parte donde el motor que encuentra las direcciones de las oficinas de protección de datos de las empresas identificó la dirección de correo electrónico incorrecta", dijo Gal Ringel, cofundador y director ejecutivo de Mine. "Este problema no se informó durante nuestra fase de prueba y lo solucionamos de inmediato".
Por ahora, muchas nuevas empresas han tomado un descanso.
Las startups más pequeñas y de etapa temprana que aún no obtienen $ 25 millones en ingresos anuales o almacenan los datos personales en más de 50,000 usuarios o dispositivos escaparán en gran medida de tener que cumplir de inmediato con CCPA. Pero eso no significa que las nuevas empresas puedan ser complacientes. A medida que crecen las empresas en etapa inicial, también lo harán sus responsabilidades legales.
"Para aquellos que lanzaron estos portales y ofrecieron derechos a todos los estadounidenses, están en la mejor posición para estar preparados para estos estados adicionales", dijo Cline. "Las empresas más pequeñas de alguna manera tienen una ventaja para el cumplimiento si sus productos o servicios son productos básicos, porque pueden incorporar estos controles desde el principio", dijo.
CCPA puede haber tenido un comienzo desigual, pero el tiempo dirá si las cosas se ponen más fáciles. Esta semana, el fiscal general de California Xavier Becerra lanzó una guía recientemente actualizada destinado a tratar de "ajustar" las reglas, según su portavoz. Esto demuestra que incluso los legisladores de California todavía están tratando de lograr el equilibrio correcto.
Pero con la amenaza inminente de fuertes multas a solo unos meses, se está acabando el tiempo para los que no cumplen.