¡Nadie sabe exactamente cuántas «cosas» están conectadas a Internet, pero la Comisión Federal de Comercio informó el año pasado que el número superaba los 8 mil millones y superará los 20 mil millones para fines de 2020! Sorprendentemente, resulta que las leyes de privacidad de EE. UU. no se aplican a todos estos dispositivos y los datos que recopilan.
Como resultado, por tercera vez en tres años, el Senado ha presentado una nueva ley, la Ley de mejora de la ciberseguridad de Internet de las cosas de 2019, que en realidad se aplica a los productos IoT, pero solo a los adquiridos por el gobierno de EE. UU. El enfoque de la FTC para la privacidad de los datos de IoT parece ser «ponerse su propia máscara antes de ayudar a quienes lo rodean».
Lo que es realmente alucinante es que las cosas conectadas transmiten cantidades masivas de datos desde nuestros teléfonos, relojes, dispositivos de salud, televisores, timbres, cámaras de seguridad; ya sabes, casi todo está conectado a Internet en 2019. ¿Debemos sentir que nuestra privacidad está debidamente protegida? Nos gusta pensar que sí.
Por ejemplo, todo el mundo confía en los mapas de su dispositivo móvil para saber cómo conducir al trabajo o al hogar, o para explorar una nueva ciudad. Sabemos que podemos suponer con seguridad que no hay tráfico cuando el mapa muestra carreteras verdes, mientras que el amarillo significa tráfico lento y el rojo significa tráfico detenido.
Sin embargo, la mayoría de la gente no se detiene a pensar en cómo se adquieren los datos. Proviene de teléfonos celulares en vehículos en esas carreteras. ¿cómo? Bueno, ¿recuerdas cuando hiciste clic en el botón «Permitir acceso» que apareció en tu aplicación Mapas? Básicamente, acepta compartir sus datos personales. O no sabemos lo que significa «permitir el acceso», o simplemente no nos importa.
¿Qué dijo Bretaña?
2018, Brittany Kasier, cofundadora Asociación de Intercambio de Activos Digitales, lo que llevó a Cambridge Analytica a revelar que gran parte de la información que las personas consideran privada está disponible gratuitamente en las redes sociales, aplicaciones en dispositivos móviles y empresas de comercio electrónico en línea. Brittany destacó el hecho de que la mayoría de nosotros no somos realmente conscientes de qué datos estamos compartiendo, ya sea de forma voluntaria o no, o cómo se almacenan y utilizan.
Brittany también señaló la proliferación de grandes datos que involucran el Internet de las cosas, las redes sociales y los dispositivos móviles, donde toda la información de identificación personal (PII) de las personas se junta en grandes datos. Los agregadores de datos compran esta PII de una variedad de fuentes porque nadie lee los términos de servicio (ToS), los acuerdos de clic y las políticas de privacidad otorgan a estos IoT, redes sociales y dispositivos móviles el derecho a compartir nuestra PII.
¿FTC al rescate?
La FTC es una agencia del gobierno de los Estados Unidos responsable de proteger la privacidad personal de los ciudadanos estadounidenses.en un documento sobre Grandes datos Fue publicado hace algunos años, y la FTC reveló algunas preocupaciones serias y preocupantes sobre la dirección en la que nos dirigíamos.
Si bien los hallazgos son preocupantes, la FTC solo hizo una «recomendación» para el mercado de consumo, que podría decirse que es más general que una recomendación. Por ejemplo, la FTC hace las siguientes recomendaciones a los fabricantes, proveedores de software y otras empresas relevantes:
- tomar medidas para proteger los datos que recopilan y almacenan;
- determinar quién es el propietario de los datos;
- Informar cómo y qué datos se recopilan, y notificar de inmediato a las personas en caso de una violación de datos.
Sin embargo, estas son solo sugerencias. La Ley de Mejora de la Ciberseguridad de 2019 dio el siguiente paso: exigir a los fabricantes de equipos gubernamentales que cumplan con ciertos estándares de seguridad. ¿Qué pasa con el resto de nosotros que usted pregunta? Bueno, según el senador Mark Warner de Virginia, «esta legislación utilizará el poder adquisitivo del gobierno federal para establecer algunos estándares mínimos de seguridad para los dispositivos IoT».
¿RGPD al rescate?
A diferencia de los EE. UU., la UE aplica estrictas leyes de protección de la privacidad. El RGPD de la Unión Europea, que entró en vigor la primavera pasada, parece estar teniendo un impacto aún mayor a nivel mundial. Es probable que esto se deba a que su aplicación se basa en la ubicación de los ciudadanos de la UE, independientemente del lugar del mundo en el que puedan residir.
Debido a su aplicación global, muchas empresas estadounidenses asumen que están obligadas a proteger los datos de todos los ciudadanos de la UE según el RGPD, un estándar más alto que las pautas sugeridas por la FTC. Como resultado, muchas empresas estadounidenses han elevado sus estándares de seguridad de TI.Sin embargo, todavía tenemos que ver pruebas en los tribunales para ver si el RGPD realmente se aplica en los EE. UU.
Según el RGPD, «fácil de entender» es un requisito legal clave. GDPR requiere que las políticas de privacidad se escriban en un lenguaje sencillo en lugar de jerga legal.Por ejemplo, si miras Política de privacidad de Googlevigente a partir de mayo de 2018 (actualizado recientemente), encontrará un conjunto de políticas fáciles de entender con dibujos explicativos.
¡California al rescate!
Muchas empresas estadounidenses argumentan que es imposible verificar si alguien que vive en los EE. UU. es realmente un ciudadano de la UE. Las empresas se negaron a cumplir con los requisitos de GDPR hasta que un tribunal de EE. UU. les ordenó hacerlo.
California promulgó una nueva ley de privacidad el año pasado, Ley de Privacidad del Consumidor de California (CCPA), similar a GDPR, entrará en vigor en 2020.
Otros estados han estado considerando leyes similares, y si suficientes estados aprueban estas nuevas y más estrictas leyes de protección de datos, podrían promulgarse leyes federales. Esto es lo que Brittany siempre ha esperado.
