Las leyes de ciberseguridad y privacidad de los datos de EE. UU. Son, por decirlo así, un desastre.
Los años de legislación poco sistemática, las decisiones de la Corte Suprema y las crisis de vigilancia del gobierno, junto con las reiteradas fallas corporativas para proteger los datos de los usuarios, han creado un panorama legal que, para el público estadounidense y las empresas estadounidenses, es confuso, complicado y francamente molesto.
Se espera que las empresas cumplan con las leyes de privacidad de datos basadas en el tipo de datos. Por ejemplo, hay una ley que protege la información médica y de salud, otra ley que protege la información que pertenece a los niños y otra ley que protege los registros de alquiler de videos. (En serio, hay.) Sin embargo, confusamente, algunas de esas leyes solo se aplican a ciertos tipos de negocios , en lugar de a ciertos tipos de datos .
Por otro lado, se espera que los organismos encargados de hacer cumplir la ley y la comunidad de inteligencia cumplan con un marco diferente que a veces separa los datos según el «contenido» y el «no contenido». Por ejemplo, hay una ley que protege las conversaciones telefónicas, pero otra La ley protege los números reales marcados en el teclado.
E incluso cuando los datos parecen similares, sus protecciones pueden diferir. Los datos de ubicación GPS pueden, por ejemplo, recibir una protección diferente si se mantiene con un proveedor de telefonía celular en comparación con si se cargó voluntariamente a través de un servicio de «registro» de ubicación en línea o mediante una aplicación de aptitud que permite a los usuarios compartir rutas de jogging.
El Congreso podría racionalizar esta red inconexa al aprobar una legislación federal exhaustiva sobre privacidad de datos; sin embargo, sigue habiendo dudas sobre la aplicación de la normativa y si las leyes de privacidad de datos individuales de los estados se respetarán o se verán afectadas en el proceso.
Para comprender mejor el campo actual, Malwarebytes está lanzando una serie limitada de blogs sobre privacidad de datos y leyes de ciberseguridad en los Estados Unidos. Cubriremos el cumplimiento comercial, la legislación sectorial, la vigilancia gubernamental y la próxima legislación federal.
A continuación se muestra nuestro primer blog de la serie. Explora el cumplimiento de la privacidad de los datos en los Estados Unidos hoy en día desde la perspectiva de una startup.
Un cuento de startups: abundan las leyes de privacidad de datos
Cada año, un sinnúmero de personas viajan a Silicon Valley para unirse a la 21 st fiebre del oro del siglo, rompiendo lanzas no a lo largo de la costa, pero arriba y abajo Sand Hill Road, donde golpeándolo medios ricos que traen algún tipo de financiación de capital de riesgo grave.
Pero antes de que cualquier inicio incipiente pueda convertirse en el próximo Facebook, Uber, Google o Airbnb, debe cumplir con una gran variedad de leyes de privacidad de datos, a veces vertiginosas.
Por suerte, hay abogados de privacidad de datos para ayudar.
Hablamos con D. Reed Freeman Jr., copresidente de la práctica de ciberseguridad y privacidad en el bufete de abogados Wilmer Cutler Pickering Hale y Dorr, con sede en Washington, DC, sobre lo que una startup hipotética de recopilación de datos debería cumplir con los requisitos actuales de EE. UU. Leyes de privacidad de datos. ¿Cómo es su mapa de ruta?
Nuestra hipotética puesta en marcha, llamémosla Spuri.us, se basa en San Francisco y se centra por completo en un mercado estadounidense. La compañía desarrolló una aplicación que recopila datos de los usuarios para mejorar el rendimiento de la aplicación y, potencialmente, ofrecer anuncios dirigidos en el futuro.
Esta no es una lista exhaustiva de todas las leyes de privacidad de datos que una empresa debe tener en cuenta para el cumplimiento de la privacidad de datos en los Estados Unidos. En cambio, es una instantánea, que brinda información y respuestas a algunas de las preguntas más comunes en la actualidad.
Política de privacidad en línea de Spuri.us
Para dar inicio al cumplimiento de la privacidad de los datos con el pie derecho, Freeman dijo que la empresa de inicio debe escribir y publicar una política de privacidad clara y veraz en línea, tal como se define en la Ley de Protección de la Privacidad en Línea de California de 2004 .
La ley exige que las empresas y los operadores de sitios web comerciales que recopilan información de identificación personal publiquen en línea una política de privacidad clara y de fácil acceso. Estas políticas de privacidad deben detallar los tipos de información recopilada de los usuarios, los tipos de información que pueden compartirse con terceros, la fecha de vigencia de la política de privacidad y el proceso, si lo hubiera, para que un usuario revise y solicite cambios en sus información recopilada.
Las políticas de privacidad también deben incluir información sobre cómo responde una empresa a las solicitudes de «No rastrear», que son configuraciones del navegador web destinadas a evitar que un usuario sea rastreado en línea. La eficacia de estas configuraciones se debate, y Apple retiró recientemente la función en su navegador Safari .
Freeman dijo que las empresas no tienen que preocuparse por cumplir con las solicitudes de «No rastrear» tanto como deberían preocuparse por cumplir con la ley.
«Está bien decir ‘No lo hacemos'», dijo Freeman, «pero tienes que decir algo».
La ley cubre más de lo que se dice en una política de privacidad. También cubre qué tan prominente debe mostrar una empresa. De acuerdo con la ley, las políticas de privacidad deben estar «visibles» en un sitio web.
Hace más de 10 años, Google intentó probar esa interpretación y luego retrocedió. Tras un informe del New York Times de 2007 que reveló que la política de privacidad de la compañía estaba al menos a dos clics de la página de inicio, varias organizaciones de derechos de privacidad enviaron una carta al entonces CEO Eric Schmidt, instando a la compañía a cumplir de manera más proactiva.
«La renuencia de Google a publicar un enlace a su política de privacidad en su página de inicio es alarmante», decía la carta , que fue firmada por la American Civil Liberties Union, el Center for Digital Democracy y Electronic Frontier Foundation. «Le instamos a cumplir con la Ley de Protección de Privacidad en Línea de California y la práctica generalizada de sitios web comerciales tan pronto como sea posible».
La carta funcionó. Hoy, los usuarios pueden hacer clic en el enlace «Privacidad» en la página de inicio del gigante de búsqueda.
¿Qué pasa con COPPA y HIPAA?
Spuri.us, como cualquier nueva empresa ágil de Silicon Valley, está lista para girar. En un momento dado de su crecimiento, consideró convertirse en una aplicación de seguimiento de salud y estado físico, lo que significa que recopilaría la frecuencia cardíaca, los regímenes de sueño, la ingesta de agua, las rutinas de ejercicio e incluso su ubicación GPS de los usuarios para las rutas seleccionadas de jogging y ciclismo. Spuri.us también alguna vez consideró la posibilidad de integrarse a los juegos móviles, desarrollando una aplicación que no está diseñada para niños, pero que aún se puede descargar en dispositivos infantiles y jugar con niños.
El fundador de Spuri.us está familiarizado con al menos dos leyes federales de privacidad de datos: la Ley de Portabilidad y Responsabilidad de los Seguros de Salud ( HIPAA ), que regula la información médica, y la Ley de Protección de la Privacidad en Línea de los Niños ( COPPA ), que regula la información que pertenece a los niños.
El fundador de Spuri.us quiere saber: si su compañía comienza a recopilar información relacionada con la salud, ¿tendrá que cumplir con HIPAA?
No es así, dijo Freeman.
«HIPAA, la forma en que se presenta, no cubre toda la información médica», dijo Freeman. «Eso es un malentendido común».
En su lugar, dijo Freeman, HIPAA solo se aplica a tres tipos de empresas: proveedores de atención médica (como médicos, clínicas, dentistas y farmacias), planes de salud (como compañías de seguros de salud y HMO) y centros de intercambio de información de atención médica (como servicios de facturación que se procesan). información de salud no estándar).
Sin ajustar ninguna de esas descripciones, Spuri.us no tiene que preocuparse por el cumplimiento de HIPAA.
En cuanto al cumplimiento de la COPPA, Freeman calificó la ley de «complicada» y «muy difícil de cumplir». Junto con un proyecto de ley general masivo al cierre de la sesión legislativa de 1998, la COPPA es una ley que «nadie sabía que estaba allí hasta que se aprobó». «, Dijo Freeman.
Dicho esto, el alcance de la COPPA es fácil de entender.
«Algunas cosas son simples», dijo Freeman. «Usted está regulado por el Congreso y obligado a cumplir con sus requisitos bizantinos si su sitio web está dirigido a niños menores de 13 años, o si tiene conocimiento real de que está recopilando información de niños menores de 13 años».
Eso plantea la pregunta: ¿Qué es un sitio web dirigido a niños? Según Freeman, la Comisión Federal de Comercio creó una regla que ayuda a responder esa pregunta .
«Cosas como las animaciones en el sitio, el lenguaje que parece estar orientado a los niños, una variedad de factores que son intuitivos se tienen en cuenta», dijo Freeman.
Otros factores incluyen el tema de un sitio web, su música, la edad de sus modelos, la exhibición de «actividades orientadas a los niños» y la presencia de cualquier celebridad infantil.
Debido a que Spuri.us no está creando una aplicación dirigida a niños, y no recopila información a sabiendas de niños menores de 13 años, no tiene que cumplir con COPPA.
Una nota rápida sobre GDPR
Ninguna preocupación sobre el cumplimiento de la privacidad de los datos está completa sin que aparezca el Reglamento general de protección de datos (GDPR) de la Unión Europea . Aprobado en 2016 y que entró en vigencia el año pasado, GDPR regula la forma en que las empresas recopilan, almacenan, usan y comparten la información personal de los ciudadanos de la UE en línea. El día que GDPR entró en vigencia, innumerables estadounidenses recibieron correos electrónicos después de un correo electrónico sobre políticas de privacidad actualizadas, a menudo de compañías que se fundaron en los Estados Unidos.
El fundador de Spuri.us está preocupado. Ella podría tener usuarios de la UE pero no está segura. ¿Los usuarios la obligan a cumplir con GDPR?
«Esa es una percepción errónea común», dijo Freeman. Dijo que una sección de GDPR explica este tema, al que llamó «aplicación extraterritorial». O, para ponerlo un poco más claro, Freeman dijo: «Si eres una empresa estadounidense, ¿cuándo llega GDPR y te atrapa?»
GDPR afecta a las empresas de todo el mundo en función de tres factores. Primero, si la empresa está establecida dentro de la UE, ya sea a través de empleados, oficinas o equipos. En segundo lugar, si la empresa comercializa directamente o se comunica con los residentes de la UE. En tercer lugar, si la empresa supervisa el comportamiento de los residentes de la UE.
«El número tres es lo que hace tropezar a la gente», dijo Freeman. Dijo que los sitios web y las aplicaciones de EE. UU., Incluidas las operadas por compañías sin una presencia física en la UE, aún deben cumplir con GDPR si hacen un seguimiento específico del comportamiento de los usuarios que tiene lugar en la UE.
«Si tiene un servicio o red de análisis, o píxeles en su sitio web, o si coloca cookies en las máquinas de los residentes de la UE que rastrean su comportamiento», todo eso podría contar como un seguimiento del comportamiento de los residentes de la UE, dijo Freeman.
Debido a que esos servicios son bastante comunes, Freeman dijo que muchas compañías ya han encontrado una solución. En lugar de desmantelar una operación analítica completa, las empresas pueden capturar las direcciones IP de los usuarios que visitan sus sitios web. Las empresas luego realizan una búsqueda de geolocalización inversa. Si las compañías encuentran alguna dirección IP asociada con una ubicación en la UE, eliminan a los usuarios detrás de esas direcciones para evitar el seguimiento en línea.
Cuando se le preguntó si esta configuración ha demostrado proteger contra los reguladores de GDPR, Freeman dijo que estos pasos muestran un entendimiento y una preocupación por la ley. Esa preocupación, dijo, debería resistir el escrutinio.
«Si es una empresa nueva y un regulador de la UE inicia una investigación y demuestra que ha hecho todo lo posible para evitar el seguimiento (que lo obtiene), conoce la ley. Mi esperanza sería que los reguladores más razonables no aceptaran Una acción draconiana contra ti «, dijo Freeman. «Has hecho lo mejor que puedes para evitar lo que está regulado, que es la pista».
Una ley de violación de datos para cada estado
Spuri.us tiene una política de privacidad claramente publicada. Sabe sobre HIPAA y COPPA y tiene un plan para GDPR. Todo va bien … hasta que no lo es.
Spuri.us sufre una violación de datos.
Dependiendo de qué datos se tomaron de Spuri.us y a quién se refería, la empresa de inicio deberá cumplir con los muchos requisitos establecidos en la ley de notificación de violación de datos de California . Existen reglas sobre cuándo se activa la ley, qué se considera una infracción, a quién notificar y qué decirles.
La ley protege la «información personal» de los californianos, que define como una combinación de información. Por ejemplo, un nombre y apellido más un número de Seguro Social cuentan como información personal. También haga una primera inicial y un apellido más un número de licencia de conducir, o un nombre y apellido más cualquier reclamación de seguro médico anterior o diagnóstico médico. El nombre de usuario y la contraseña asociada de un californiano también califican como «información personal», según la ley.
La ley también define una violación como cualquier «adquisición no autorizada» de datos de información personal. Entonces, ¿un actor de amenaza deshonesto que accede a una base de datos? No es una brecha. ¿Ese mismo actor de amenazas descargando la información de la base de datos? Incumplimiento.
En California, una vez que una empresa descubre una violación de datos, debe notificar a las personas afectadas. Estas notificaciones deben incluir detalles sobre el tipo de información personal que se tomó, una descripción de la violación, información de contacto de la empresa y, si la empresa fue realmente la fuente de la violación, una oferta de servicios gratuitos de prevención de robo de identidad por al menos un año.
La ley es particularmente estricta en estas notificaciones a clientes e individuos afectados. Hay reglas sobre el tamaño de la fuente y los requisitos para los subtítulos que se deben incluir en cada aviso: «Qué sucedió», «Qué información se involucró», «Qué estamos haciendo», «Qué puede hacer» y «Más información».
Después de que Spuri.us envíe su gran cantidad de avisos, todavía podría tener mucho más que hacer.
A partir de abril de 2018, cada estado de EE. UU. Tiene su propia ley de notificación de violación de datos . Estas leyes, que a veces se pueden superponer, aún incluyen importantes diferencias, dijo Freeman.
“Algunos estados requieren que notifiques a los consumidores afectados. Algunos requieren que notifique al Fiscal General del estado ”, dijo Freeman. «Algunos requieren que notifiques a las agencias de crédito».
Por ejemplo, la ley de Florida requiere que, si más de 1,000 residentes se ven afectados, la compañía debe notificar a todas las agencias de informes de consumidores de todo el país. La ley de Utah, por otro lado, solo requiere notificaciones si, después de una investigación, la compañía encuentra que ocurrió un robo de identidad o fraude, o que probablemente ocurrió. Y Iowa tiene una de las pocas leyes estatales que protege tanto los registros electrónicos como los impresos.
De todos los dolores de cabeza relacionados con el cumplimiento de los datos, este podría ser el más lento para Spuri.us.
Mientras tanto, dijo Freeman, adoptar un enfoque proactivo, como publicar la política de privacidad precisa y veraz y ser sincero y honesto con los usuarios acerca de las prácticas comerciales, dará al inicio una ventaja clara.
«Si comienzan a saber esas cosas desde el punto de vista de la privacidad y solo en los Estados Unidos», dijo Freeman, «ese es un gran comienzo que los pone por delante de muchas otras empresas emergentes».
Manténgase atento a nuestro segundo blog de la serie, que cubrirá la lucha actual por la legislación integral de privacidad de datos en los Estados Unidos.
Sobre el autor