Proyecto de ley de notificación de violación de datos criticada como demasiado débil

La legislación propuesta que requeriría que las empresas estadounidenses notifiquen a los clientes afectados después de infracciones de datos es demasiado débil porque evitaría leyes de notificación de incumplimiento más estrictas en varios estados y no abarcaría varias clases de datos, incluida la geolocalización y la información sanitaria. La Ley de Notificación de Incumplimiento y Seguridad de Datos propuesta cubre solo datos vinculados al robo de identidad o fraude financiero, incluidos los números de la Seguridad Social, pero no requeriría que las empresas y grupos sin fines de lucro notifiquen a los usuarios si se roba otra información, dijeron los críticos. incluidos los miembros demócratas del subcomité comercial del Comité de Energía y Comercio de la Cámara de Representantes.

La propuesta eempt 51 leyes de notificación de incumplimiento estatales y territoriales existentes, y eliminaría gran parte de la autoridad de la Comisión Federal de Comunicaciones de EE. UU. para aplicar las normas de seguridad de datos para operadores de telecomunicaciones, otorgando autoridad de aplicación a la Comisión Federal de Comercio.

[Más información: cómo eliminar el malware de su PC con Windows]

"Sería mejor para la privacidad [del consumidor] no aprobar ninguna medida que aprobarla tal como está redactada actualmente", dijo Laura Moy, concejal principal de políticas del Open Technology Institute de la New America Foundation. durante una audiencia de subcomité el miércoles.

El proyecto de ley, con su preferencia de las leyes estatales, "desjarretaría" a los procuradores generales del estado en sus esfuerzos para proteger a los consumidores contra el robo de datos, agregó Sara Cable, asistente del fiscal general en Massachusetts. El proyecto de ley "dejaría de lado las sólidas protecciones al consumidor que ya existen en Massachusetts y muchos otros estados y las reemplazará con protecciones más débiles en un momento en que las protecciones más estrictas son imperativas", dijo.

El proyecto de ley también requeriría que empresas y organizaciones sin fines de lucro tomar medidas de seguridad de datos "razonables", pero no define "razonable", agregó Cable. "La única forma en que se puede determinar 'razonable' según el proyecto de ley, tal como está redactado, será a través de litigios prolongados y fragmentados", dijo.

Durante la última década, muchas empresas, incluidos varios proveedores de tecnología, han pedido al Congreso que aprobar una ley nacional de notificación de violación de datos como una forma de reducir los costos de cumplimiento asociados con muchas leyes estatales. Los estados comenzaron a aprobar leyes de notificación, comenzando con California en 2003, luego de una ola de infracciones de alto perfil.

EE. UU. los legisladores han presentado varios proyectos de notificación de incumplimiento durante la última década, pero ninguno ha pasado. Los proyectos de ley se han atascado en varios asuntos, incluido un debate sobre si las empresas deben notificar a los consumidores si determinan que hay poco riesgo de daño.

La Ley de Notificación de Incumplimiento y Seguridad de Datos se enfoca estrechamente en la información financiera del consumidor en un intento de evitar obstáculos pasados, dijo el Representante Peter Welch, Demócrata de Vermont y coautor del proyecto de ley.

Desde 2005, mil millones de registros de consumidores se han visto comprometidos, dijo Welch. "Necesitamos aprobar una legislación que se ocupe de este problema increíble", agregó. "Tenemos que actuar y dejar que haya un policía al ritmo para proteger a la gente".

El impulso de una ley nacional recibió un impulso en enero, cuando el presidente Barack Obama expresó su apoyo a la legislación.

Mientras varios legisladores llamaban en el Congreso para avanzar con un proyecto de ley, solo uno de los siete testigos en la audiencia del miércoles expresó su apoyo al proyecto de ley tal como está redactado. El proyecto de ley va más allá de la notificación de incumplimiento al incluir requisitos de seguridad de datos "sustantivos",

, dijo Jon Leibowitz, copresidente de 21st Century Privacy Coalition, un grupo de apoyo respaldado por grandes firmas de telecomunicaciones y cable.

Reemplazando el "Mosaico en constante cambio" de leyes estatales, el proyecto de ley daría a los consumidores la certeza de que están protegidos en violaciones de datos, agregó Leibowitz, un ex presidente de la FTC. "Los consumidores en todas partes del país tienen derecho a las mismas protecciones sólidas, y las empresas tienen derecho a un régimen de cumplimiento lógico y coherente", dijo.

Leibowitz también elogió el proyecto de ley para poner la aplicación en manos de la FTC. "Este proyecto de ley es mejor para los consumidores que la ley actual", agregó.

Sin embargo, los representantes de la Federación Nacional de Minoristas y el Consejo de la Industria de Tecnología de la Información [ITI] expresaron su preocupación sobre partes del proyecto de ley. ITI apoya un movimiento hacia la notificación federal de violación de datos, pero la ley podría generar demasiadas notificaciones porque requiere que las empresas incumplidas envíen avisos de "daños económicos", que podrían definirse ampliamente, dijo Yael Weinman, vicepresidente de política de privacidad global. en el grupo de comercio de tecnología.

El proyecto de ley permite a la FTC imponer multas de hasta $ 2.5 millones por cada violación de sus reglas de seguridad de datos y $ 2.5 millones por no informar a los consumidores. "Estas cantidades parecen punitivas, y no parecen reflejar que una organización que sufrió una violación de datos, en la mayoría de los casos, es una víctima propia de hackers criminales", dijo Weinman.