La vida tal como la conocemos, muchos cambios se manifestarán después de la pandemia, antes de que el coronavirus desaparezca para siempre. ¿Cómo afectará las leyes de privacidad en todo el mundo? Nadie lo sabe con certeza, y no lo sabremos hasta después de que haya pasado el coronavirus. Los ciberdelincuentes han explotado Internet durante mucho tiempo, y ahora la propagación de COVID-19 ha acelerado su nefasto trabajo.
Pero dado que no tenemos un conocimiento firme de todos los delitos cibernéticos que realmente ocurren, es imposible adivinar si las leyes de privacidad sobrevivirán a una pandemia.
Considere esto cuando esté en su próxima conferencia telefónica: ¿los ciberdelincuentes lo están acechando, tal vez incluso en una conferencia telefónica? Cuando tenga respuestas a tales preguntas, es posible que haya infringido más leyes de privacidad de las que cree.
Tabla de Contenidos
RGPD en Europa
El objetivo principal del RGPD de 2018 es proteger a los residentes de la UE y sus datos. Entre otras cosas, los ciudadanos de la UE pueden optar por no participar en la recopilación de datos, corregir datos inexactos y eliminar sus datos (el «derecho al olvido»).
Aún así, la vida se ha vuelto más complicada durante la pandemia de coronavirus de 2020. Personas de todo el mundo ahora usan Internet para ayudar a protegerse a sí mismos y a sus seres queridos. Probablemente, pocas personas prestaron mucha atención a los términos de uso, las políticas de privacidad o los acuerdos de clic; ciertamente, pocos incluso leyeron esos términos antes de que llegara la pandemia.
Es difícil imaginar que la UE tendrá los recursos para hacer cumplir su GDPR durante una pandemia, que desafortunadamente es la realidad de los tiempos. Después del hecho, la aplicación puede ser demasiado tarde para reconstruir la privacidad de algunos ciudadanos de la UE.
Actualización de privacidad de EE. UU.
Es posible que no haya notado que mucho antes de la pandemia de coronavirus de 2020, el Instituto Nacional de Estándares y Tecnología (NIST) lanzó la versión 1.0 de Voluntary Marco de privacidad.
Sin embargo, su efectividad es importante dado el impacto del coronavirus en las leyes de privacidad complejas en los EE. UU., la UE y en todo el mundo. Vale la pena tomarse un tiempo para comprender cómo encaja el marco de privacidad.
Primero, NIST es una división del Departamento de Comercio de EE. UU., pero no es una agencia reguladora. En cambio, entre otras responsabilidades, NIST establece estándares para tecnología de la información y ciberseguridad.
Firmado por el presidente en febrero de 2013 Orden Ejecutiva (EO) 13636«Mejora de la seguridad cibernética de la infraestructura crítica», que llevó al Congreso a aprobar la Ley de mejora de la seguridad cibernética (CEA) de 2014, que «actualizó el rol del NIST para incluir la identificación y el desarrollo de un marco de riesgo de seguridad cibernética para que los propietarios y operadores de la infraestructura crítica lo usen voluntariamente».
Marco de ciberseguridad del NIST
2014 NIST lanzó la versión 1.0 Un marco para mejorar la ciberseguridad de la infraestructura crítica (Marco de Seguridad Cibernética). Fue «desarrollado bajo EO 13636 y continúa evolucionando bajo CEA, utilizando un lenguaje común para abordar y administrar de manera rentable los riesgos de seguridad cibernética de acuerdo con las necesidades comerciales y organizacionales, sin requerir requisitos regulatorios adicionales para las empresas».
Cybersecurity Framework 1.0 actualizado a Versión 1.1 en 2018Esta actualización se basa en los comentarios de profesionales de la industria, académicos y gubernamentales que respondieron al llamado del NIST con cientos de comentarios, así como en los comentarios de más de 2000 asistentes a los talleres de 2016 y 2017.
El marco de seguridad cibernética se enfoca en el uso de impulsores comerciales para guiar las actividades de seguridad cibernética y considera el riesgo de seguridad cibernética como parte del proceso de gestión de riesgos de una organización. Consta de tres partes: el núcleo del marco, la capa de implementación y los archivos de configuración del marco.
Entre otras cosas, el marco de ciberseguridad incluye recomendaciones sobre «gestión de riesgos» y cómo los altos directivos pueden centrarse en el riesgo organizacional. Aborda los cambios en los riesgos actuales y futuros, así como la necesidad de establecer prioridades y presupuestos. A nivel de procesos de negocios, el enfoque debe estar en la gestión de riesgos de infraestructura crítica, mientras que a nivel operativo, el enfoque debe estar en proteger la infraestructura crítica.
El núcleo del marco enumera estas capacidades para que las organizaciones las adopten: Identificar, Proteger, Detectar, Responder y Recuperar. Por supuesto, estas capacidades suponen que una organización tiene un «plan de respuesta a incidentes» (IRP) que se prueba regularmente para que cuando ocurra un incidente de seguridad cibernética, la organización esté preparada.
Sin embargo, se estima que menos del 50 % de las empresas tienen realmente un IRP, e incluso aquellas que no lo tienen lo prueban con regularidad.
Marco de privacidad del NIST
El Marco de privacidad voluntario de NIST, versión 1.0, del 16 de enero, incluye recomendaciones sobre la intersección del riesgo de seguridad cibernética y el riesgo de privacidad y la relación entre el riesgo de privacidad y el riesgo organizacional. Por ejemplo, el riesgo de privacidad de un individuo podría ser «vergüenza, discriminación o pérdida financiera», mientras que un riesgo organizacional podría ser «abandono del cliente, costos de incumplimiento o daño a la reputación».
Debido a la relación entre el riesgo de seguridad cibernética y el riesgo de privacidad, el Marco de privacidad recomienda «mejorar la rendición de cuentas» a través de la colaboración y la comunicación entre la alta dirección, la gestión comercial/de procesos y la implementación/operaciones, con responsabilidades claras en todos los niveles.
RGPD y marco de privacidad
El marco de privacidad contiene solo una referencia al RGPD de la UE.lo maneja proporcionalidadque son «principios generales del derecho de la UE»:
- Restringe el ejercicio de las facultades de las autoridades al exigirles que establezcan un equilibrio entre los medios utilizados y los fines previstos. En el contexto de los derechos fundamentales, como el derecho a la protección de datos personales, la proporcionalidad es clave para cualquier restricción de derechos.
- Más concretamente, la proporcionalidad exige que las ventajas resultantes de la restricción del derecho no se vean compensadas por las desventajas del ejercicio del derecho. En otras palabras, las restricciones a los derechos deben estar justificadas. Las garantías adjuntas a la medida pueden respaldar la legitimidad de la medida.
Un requisito previo es que la medida sea suficiente para lograr los objetivos previstos. Además, al evaluar el procesamiento de datos personales, la proporcionalidad requiere que solo se recopilen y procesen los datos personales que sean suficientes y relevantes para el propósito del procesamiento.
El Marco de Privacidad no hace referencia a la Ley de Protección al Consumidor de California (CCPA) ni a ninguna otra ley estatal. Dado que el Marco de privacidad no es una ley, sino una recomendación del gobierno de los EE. UU., no está claro cómo las empresas utilizarán el Marco de privacidad para hacer frente a las leyes promulgadas por otros estados.
perspectiva nebulosa
No está claro si el nuevo marco de privacidad del NIST realmente brindará seguridad adicional en el ciberdelito durante la pandemia de coronavirus.
Desafortunadamente, nadie lo sabe, obviamente estamos pasando por tiempos muy inestables. Manténgase seguro en el mundo real y en Internet.