¿Cuáles son los principales puntos de contención que impiden la aprobación de la legislación federal de privacidad (y otras 3 leyes de seguridad)?

El gobierno en cualquier nivel es infame por moverse a paso de tortuga, ya que la política, la burocracia y los intereses en competencia a menudo se interponen en el camino del progreso. La tecnología, por otro lado, se mueve a la velocidad del rayo. 

Desafortunadamente, esta dualidad puede causar problemas, particularmente cuando la tasa de innovación excede la capacidad de los legisladores para pasar a una regulación diseñada para proteger a las personas de las amenazas a la privacidad planteadas por el uso de la tecnología y los datos del consumidor por parte de las empresas. 

Tomemos, por ejemplo, el hecho de que el estado de Washington no aprobó una ley integral de privacidad de datos en 2019. Una de las razones por las cuales la Ley de Privacidad de Washington fue suspendida en abril pasado fue porque los críticos exigieron restricciones más estrictas sobre el uso del gobierno del reconocimiento facial. Los defensores de la privacidad temen que la tecnología sea intrusiva y fácil de abusar, mientras que los fabricantes de la tecnología quieren asegurarse de que puedan continuar innovando y haciendo crecer sus negocios. 

Sin duda, es un acto de equilibrio, uno que se repite cada vez que se propone una nueva legislación sobre privacidad. “Como estudiante de informática en recuperación, reconozco que los avances tecnológicos han mejorado la vida. Sin embargo, no podemos ignorar la necesidad apremiante de mejorar la seguridad de los datos ”, dice el representante Ted Lieu (D-Calif.), Que sirve en el Subcomité de la Cámara de la Judicatura en Tribunales, Propiedad Intelectual e Internet. "Debemos establecer límites legales para evitar que las empresas utilicen datos personales y dejar a los consumidores en la oscuridad". 

Sin duda ha habido algún progreso: a partir del 1 de enero de 2020, entró en vigencia oficialmente la histórica Ley de Privacidad del Consumidor de California (CCPA), estableciendo el estándar para otros 49 estados que buscan hacer lo mismo. Aún así, los esfuerzos para crear una ley federal de privacidad del consumidor que cubra los 50 estados siguen siendo un trabajo en progreso. 

SC Media solicitó a una serie de expertos en seguridad y privacidad que opinaran sobre lo que creen que son algunos de los principales puntos de contención que impiden la aprobación de la legislación federal de privacidad, sin mencionar la legislación adicional de los EE. UU. Que crearía estándares para la notificación de violación de datos, Internet seguro de las cosas dispositivos y proteger la tecnología electoral de los piratas informáticos. Esto es lo que tenían que decir: 

Legislación de privacidad del consumidor 

El arduo proceso que llevó a la aprobación de CCPA en 2018 ofrece una ventana a algunos de los mismos desafíos que enfrentan actualmente las versiones federales de esta ley, como la Ley de Derechos de Privacidad en Línea del Consumidor, patrocinada por la senadora Maria Cantwell (D-Wash. ) y la recientemente propuesta Ley de Privacidad de Datos del Consumidor de los Estados Unidos de 2019, patrocinada por el senador Roger Wicker (R-Miss.). 

Art Ehuan, vicepresidente de la firma de ciberseguridad Crypsis Group, dice que a medida que estas posibles leyes se debaten en las cámaras del Congreso, “las objeciones se pueden anticipar en base a un costo mucho mayor, menor productividad, más papeleo (en forma de consentimientos, etc.) ) para consumidores y empresas, y la intervención federal en los procesos estatales ”. 

Al observar este tipo de legislación a nivel macro, los expertos indican que los principales puntos de conflicto pueden reducirse en gran medida a dos áreas clave: la prevención federal y el derecho privado de acción. 

El tema de la prioridad se centra en si una ley federal universal suplanta efectivamente toda la legislación estatal individual o si los estados aún tienen el poder de hacer cumplir sus propios estándares, especialmente si son más estrictos que una ley de compromiso aprobada por el Congreso. 

El primer punto de vista es un enfoque más amigable y uniforme para las empresas que permite a las empresas seguir un conjunto de reglas, mientras que el segundo es más atractivo para los defensores de los derechos de privacidad y las organizaciones de libertades civiles como la Electronic Frontier Foundation (EFF). 

“Hace mucho que hemos hecho sonar la alarma contra la legislación federal que borraría la pizarra de leyes estatales de privacidad más fuertes a cambio de una federal más débil. Evitar tal preferencia sobre las leyes estatales es nuestra principal prioridad al revisar las leyes federales de privacidad ”, escribió Gennie Gebhart, director asociado de investigación de la EFF, en un artículo publicado en el sitio web de la organización el año pasado. “Las legislaturas estatales se conocen desde hace mucho tiempo como 'laboratorios de la democracia' y ahora cumplen ese papel en lo que respecta a la protección de la privacidad de los datos. Además de aprobar leyes sólidas, la legislación estatal también permite un diálogo más dinámico a medida que la tecnología y las normas sociales continúan cambiando ”. 

Pero Daniel Castro, vicepresidente de la Information Technology and Innovation Foundation, un grupo de expertos que apoya el avance de la tecnología, dice que los defensores de la privacidad que luchan por los derechos de los estados están "presionando por reglas de mano dura en lugar de buscar un compromiso". Castro dice que la preferencia es la "mejor opción y la única práctica para la mayoría de las empresas". 

Kiersten Todt, presidenta y socia gerente de la firma de gestión de riesgos Liberty Group Ventures, y directora gerente de The Cyber ​​Readiness Institute, cree que antes de que los legisladores federales establezcan una política de privacidad en todo Estados Unidos, primero se debe trabajar más a nivel estatal, ya que las expectativas y definiciones de privacidad pueden variar de una región a otra. 

(De hecho, Todt piensa que cuando los ciudadanos estadounidenses exigen privacidad digital, en general realmente piden "control de sus datos", por lo que tienen el poder de retener o compartir su información personal con las partes que elijan, por su cuenta discreción. Pero esa no es necesariamente la definición de privacidad que están impulsando los grupos de defensa incondicionales, lo que solo complica aún más los esfuerzos legislativos, dice ella. 

“Donde nos desafían a nivel federal son todas las diferentes formas en que nosotros, como ciudadanos, miramos la privacidad. Por eso, creo que esto es algo que debe abordarse a nivel estatal ”, dice Todt, quien una vez fue asesor de ciberseguridad del ex presidente Barack Obama. “Tenemos que hacer que cada estado mire la privacidad a su manera y luego poder aprender unos de otros y aprender de los diferentes enfoques para poder considerar potencialmente una legislación federal”. 

“Quizás la solución sea la creación de un panel asesor de seguridad sólido con representación estatal y participación de expertos de la industria”, sugiere Ehuan, “donde las pautas se pueden redactar y abrir para revisión y comentarios públicos, lo que permite a los estados mantener la libertad de crear legislación, pero liderando a una mayor uniformidad en todas las regiones ". 

En última instancia, los legisladores federales deben llegar a un consenso no solo sobre qué estándares de privacidad codificar, sino también sobre cómo castigar a los infractores que no cumplen. ¿Deberían las agencias y los organismos reguladores de los Estados Unidos ser totalmente responsables de instituir sanciones financieras? ¿O deberían los consumidores tener un derecho privado de acción para poder demandar por daños y perjuicios, incluso si no se muestra ningún daño? 

“Sin un derecho de acción privado, la Comisión Federal de Comercio y, posiblemente, los fiscales generales estatales serían los únicos responsables de la ejecución. Esto requeriría que aumentaran significativamente su personal. E incluso con tal aumento, la aplicación probablemente sería mínima ”, dice Francoise Gilbert, CEO y fundadora de DataMinding. Caso en cuestión: la Oficina del Fiscal General de California ha indicado que espera procesar solo un puñado de casos por año bajo la CCPA. 

“Un derecho de acción privado aumentaría la capacidad de los consumidores para [castigar] a los infractores”, continúa Gilbert. Sin embargo, “por lo general, estos casos generalmente terminan en forma de demandas colectivas, en las que, en última instancia, los consumidores obtienen poca compensación por el daño que sufren.
ed mientras que una parte significativa de los daños pagados por los demandados se destinan al pago de costas judiciales”. 

Joseph Jerome, asesor de políticas en el Proyecto de datos y privacidad del Centro para la democracia y la tecnología, escribió en un artículo de opinión publicado en octubre de 2019 por la Asociación Internacional de Profesionales de la Privacidad (IAPP) que un derecho de acción privado “trasladaría los costos regulatorios de debajo "agencias que cuentan con recursos y mitigar el potencial de que las agencias sean capturadas por las industrias que regulan". Pero al mismo tiempo, advirtió a los legisladores que no "ignoren la evidencia legítima de que los litigios privados conducen a una aplicación excesiva o una responsabilidad ruinosa". 

De hecho, quienes se oponen a un derecho de acción argumentan que podría conducir a una cascada de demandas. "Los abogados litigantes y los grupos de defensa de la privacidad realmente quieren esto", dice Castro. "Sería una mina de oro para ellos, pero las empresas están legítimamente preocupadas por los costos". 

“Los reguladores ejercen la discreción de la fiscalía, haciendo cumplir la ley contra los infractores más atroces. [Pero] los abogados de los demandantes golpearían a todas las empresas, independientemente de los esfuerzos de buena fe para cumplir ”, dice Lisa Sotto, socia del bufete de abogados Hunton Andrews Kurth y presidenta de su práctica global de privacidad y ciberseguridad. “Una solución podría ser darle a la FTC más autoridad para hacer cumplir la ley y un martillo más grande. De esa manera, habría menos necesidad de acciones de los demandantes como una forma de fomentar el cumplimiento ". 

En su artículo de opinión, Jerome dijo que otra solución podría ser que el Congreso considere instituir un derecho de acción de una manera más matizada, estableciendo ciertas condiciones para cuando las demandas privadas sean apropiadas y estableciendo el alcance de dicho litigio. Quizás podría simplemente "aumentar la Comisión Federal de Comercio y proteger a las personas donde los legisladores tienen preocupaciones específicas ...", sugirió. 

El tiempo dirá qué decidirán los legisladores, pero al menos algunos expertos ven una luz al final del túnel. Omer Tene, director de conocimientos de la IAPP, dice que Estados Unidos "nunca se ha acercado" a aprobar una ley federal de privacidad del consumidor, y agrega que en realidad "no hay mucha luz del día" entre las diversas versiones que el Congreso está considerando. 

“En nuestra opinión, definitivamente hay una zona de acuerdo entre ambas partes”, dice Tene. En la prevención, la ley probablemente buscará armonizar el panorama nacional y evitar un trabajo de colcha de leyes en conflicto, pero al mismo tiempo preservará el espacio para que los estados innoven en temas específicos como IA, IoT o reconocimiento facial. Sobre un derecho de acción privado, la ley probablemente otorgará grandes poderes a los encargados de hacer cumplir las leyes institucionales como la FTC y los AG estatales, pero también permitirá que las personas presenten reclamos en áreas como el empleo, la vivienda o la discriminación crediticia ". 

Por supuesto, no es solo la legislación de privacidad de datos la que se ha estancado en Capitol Hill. También lo ha hecho la legislación federal que cubre las violaciones de datos, la seguridad de IoT y la seguridad tecnológica electoral. A continuación se muestran algunas opiniones sobre lo que también está retrasando estos proyectos de ley. 

Legislación de violación de datos 

Ejemplos de proyectos de ley propuestos: "Ley de prevención y compensación de violación de datos de 2019" y "Ley de responsabilidad y confianza de datos". 

Art Ehuan, vicepresidente de Crypsis Group: “A lo largo de los años, se han propuesto en el Congreso numerosas leyes federales y, en última instancia, se han derogado porque no brindaban un nivel suficiente de protección y flexibilidad para los usuarios. Las leyes propuestas han establecido estándares que reducirían el umbral para los requisitos de notificación y seguridad, en lugar de fortalecerlos, y no han proporcionado disposiciones para que los estados promulguen más legislación además de las leyes federales para fortalecer la seguridad de los datos dentro de su estado. Los legisladores también han rechazado la legislación propuesta que afectaría a las pequeñas y medianas empresas que necesitarían invertir una cantidad significativa de dinero para renovar sus políticas de seguridad para dar cuenta de estos cambios en la legislación ". 

Lisa Sotto, socia y presidenta de la práctica legal de privacidad y ciberseguridad global, Hunton Andrews Kurth: “Hay 54 leyes de notificación de infracciones en los EE. UU.… Aunque tendría todo el sentido del mundo aprobar una legislación federal que se adelantara a estas 54 leyes, las empresas o los defensores de la privacidad reclaman poco que lo hagan ". Sotto también dice que los legisladores federales están luchando por cuestiones de preferencia y derecho de acción. 

IOT legislación de seguridad 

Ejemplos de proyectos de ley propuestos: "Ley de mejora de la seguridad cibernética de Internet de las cosas de 2019" y "Ley de protección cibernética de 2019". 

John Moor, director gerente de la IoT Security Foundation: “La regulación debe llegar lo antes posible, ¡ayer si es posible! Desafortunadamente, este no es un ejercicio simple y es mucho más fácil equivocarse en la regulación que hacerlo por muchas razones. Una preocupación clave con la industria es el costo del cumplimiento. La seguridad 'óptima para el propósito' (óptima) depende en gran medida del contexto y, dado que IoT cubre prácticamente todas las áreas de la economía, esto significa que un conjunto universal de requisitos es una expectativa poco realista. Para algunas aplicaciones, los requisitos universales podrían ser demasiado onerosos, para otros podrían ser deficientes. Considere lo que sería apropiado para un dispositivo de consumo frente a lo que sería sensato para un dispositivo médico o incluso un automóvil conectado: el contexto y las implicaciones varían ampliamente ”. 

“Necesitamos asegurarnos de que la expectativa sea razonable: la seguridad perfecta es asintótica; por lo tanto, debemos hacer nuestro intento mejor probado lo antes posible y aceptar que la regulación evolucionará, sucesivamente, con el tiempo. Para hacer esto de manera efectiva, debemos asegurarnos de que todos los interesados ​​tengan la oportunidad de contribuir a través de un proceso bien administrado ... También es vital que los intentos de regulación se armonicen internacionalmente ya que los asuntos de ciberseguridad de IoT no se detienen en las fronteras y tienen requisitos conflictivos entre las regiones pueden crear tantos problemas de los que resuelven ". 

Sounil Yu, miembro de la junta de asesores de Strategic Cyber ​​Ventures: "Un punto de controversia sobre la legislación de seguridad de IoT es el requisito de proporcionar una Lista de materiales de software (SBoM) ... Desafortunadamente, incluso si un dispositivo de IoT es seguro hoy, no lo es" Esto significa necesariamente que mañana estará seguro cuando se descubran nuevas vulnerabilidades. Estas vulnerabilidades no son necesariamente introducidas por el fabricante, sino más bien como parte de [su] uso de varios componentes de software en la cadena de suministro de software. La resistencia proviene de algunos fabricantes que no pueden o no quieren proporcionar un SBoM. Pero la incapacidad de un fabricante sugiere una higiene deficiente y prácticas desactualizadas, ya que las herramientas de desarrollo de software modernas hacen que sea trivialmente fácil producir un SBoM. La falta de voluntad también podría sugerir que existen daños potenciales no revelados (por ejemplo, violaciones de licencias, vulnerabilidades) que esencialmente están transmitiendo a compradores involuntarios ". 

Kelsey Guyselman, directora sénior de asuntos gubernamentales en el Consejo de la Industria de la Tecnología de la Información (una asociación comercial que representa a la industria de la tecnología de la información y las comunicaciones): los dispositivos de IoT “deben ser seguros y resistentes. Dicho esto, centrarse exclusivamente en los dispositivos no resolverá todos los desafíos de seguridad de IoT. , ya que la ciberseguridad de IoT también requiere abordar problemas más amplios de seguridad del ecosistema. También es necesario desarrollar un consenso en torno a las capacidades de seguridad de referencia para todos los dispositivos de IoT. Recomendamos identificar un conjunto común de mejores prácticas y capacidades seguras que sean ampliamente aplicables e impulsadas por la demanda del mercado. El NISTIR 8228 del NIST, "Consideraciones para la gestión de los riesgos de ciberseguridad y privacidad de Internet de las cosas", proporciona un marco para las organizaciones que buscan abordar y mitigar las vulnerabilidades asociadas con los dispositivos IoT.
alcance y dar al NIST la flexibilidad para trabajar con la industria para la adopción de estándares de seguridad básicos”. 

Seguridad electoral legilización 

Ejemplos de proyectos de ley propuestos: "Asegurar la Ley de Elecciones Federales de los Estados Unidos (SAFE)", "Ley de Seguridad Electoral de 2019" y Ley de Asistencia de Seguridad Electoral. 

Art Ehuan, Crypsis Group: “Hoy en día, cada estado lleva a cabo las elecciones de manera muy diferente; por lo tanto, emplear la seguridad electoral de manera constante es un desafío formidable. A nivel federal, se han presentado y rechazado múltiples proyectos de ley de seguridad electoral; Recientemente, se aprobaron $ 425 millones de dinero federal para ayudar a asegurar las elecciones estatales, pero muchos argumentan que esto no es suficiente para asegurar las elecciones y que se necesitan estándares a nivel federal. Es poco probable que la lucha entre los derechos de los estados y la necesidad de seguridad se resuelva pronto ”. 

Daniel Castro, vicepresidente de la Fundación de Tecnología e Innovación de la Información: “La naturaleza descentralizada de cómo se llevan a cabo las elecciones también es un problema grave, y la Comisión de Asistencia Electoral idealmente debería desempeñar un papel mucho más importante ya que puede albergar experiencia en elecciones, pero los estados no quiere ceder esta autoridad al gobierno federal ". 

Kiersten Todt, presidenta y socia gerente de Liberty Group Ventures: “… Tenemos que mirar a nivel estatal, proporcionar recursos a los estados - [porque] conocen bien sus entornos y sus amenazas - en asociación con el gobierno federal para identificar el mejor enfoque para ello, y luego poder construir una estructura nacional de esfuerzos de seguridad a nivel estatal y jurisdiccional. 

“Nosotros, a nivel federal, debemos hacer un mejor trabajo compartiendo información sobre el entorno de amenazas, compartiendo información sobre amenazas con los estados y ayudándolos a mejorar en ciberseguridad. Debido a que la ciberseguridad se ha convertido en un elemento de línea en la última década ... Todavía lo están integrando en la forma en que asignan el dinero, y creo que eso es muy cierto para las elecciones. Aquí es donde el gobierno federal puede proporcionar recursos legislativos [y] autoridad: trabajar con los estados, proporcionar esa información sobre amenazas, proporcionar mejores prácticas y recursos y ofrecer orientación sobre enfoques para asegurar los sistemas electorales ".

De la edición de febrero de 2020 de SC Media