Las leyes de privacidad de datos cambian constantemente: asegúrese de que su empresa esté actualizada


Abogado que se especializa en privacidad de datos analiza la importancia de conocer la ley sin importar el tamaño de la empresa en la que opere.

Karen Roby de TechRepublic habló con Catherine Zhu, asesora especial de Foley & Lardner, sobre el panorama cambiante de las leyes de privacidad de datos. La siguiente es una transcripción editada de su conversación.

VER: Política de reembolso de gastos de TI (TechRepublic Premium)

Karen Roby: Cuando habla de empresas y se trata de privacidad de datos, ¿dónde ve a las empresas cometer errores? ¿Dónde están algunas de esas cosas que no están haciendo o que no consideran que deberían estar?

Catherine Zhu: Trabajo con muchos negocios en etapas iniciales y creo que, dependiendo de la etapa, hay diferentes baches y cosas con las que los negocios pueden toparse. Yo diría que en la etapa anterior, muchas empresas con las que trabajo, con respecto a la privacidad de los datos, a veces no están pensando en la privacidad de los datos al principio. Porque cuando comienzas una empresa, hay muchas cosas diferentes que estás tratando de hacer. Intenta llevar su producto al mercado. Estás intentando conseguir dinero para inversiones. Solo estás tratando de hacer rodar la pelota. Y es fácil impulsar el cumplimiento y los principios de privacidad de datos más adelante en esa etapa.

Y creo que eso tiene sentido. Pero creo que donde realmente puede volver a perjudicar a una empresa es cuando la empujas demasiado hacia abajo y has construido todas estas operaciones y procesos y todo sin tener en cuenta la minimización de datos, sin tener en cuenta la privacidad de los datos, es casi como una acumulación de «deuda de privacidad» de la misma forma que se puede acumular deuda técnica, lo que dificulta luego volver atrás y revisar todos esos procesos y operaciones que ahora están horneados.

Entonces, yo diría que, al comenzar como una empresa, tiene sentido priorizar sus recursos porque tiene recursos limitados, pero llevar el cumplimiento de la privacidad demasiado lejos en el camino definitivamente puede perjudicarlo.

Creo que para las empresas más grandes, tienden a tener más recursos. Por ejemplo, con los que trabajo, incluso pueden tener un equipo de privacidad interno. Y luego, realmente se trata de mantenerse al tanto del panorama regulatorio que cambia rápidamente y asegurarse de que los cambios que se avecinan, ya sea en forma de leyes pasadas o tendencias que se avecinan en el frente regulatorio, que su organización se está adaptando a aquellos en un de manera oportuna y sin dejar huecos allí.

Karen Roby: Catherine, sobre algunas de las cosas que se avecinan y lo que estamos viendo desde un punto de vista regulatorio: ¿Hay algo que te haya llamado la atención en los últimos tiempos que creas que es importante mencionar?

VER: Hacer malabarismos con el trabajo remoto con la educación de los niños es una tarea gigantesca. Así es como pueden ayudar los empleadores (PDF gratuito) (TechRepublic)

Catherine Zhu: Creo que sí, en el lado estadounidense, ha habido muchos cambios regulatorios en los últimos, quiero decir, dos años. Y antes de eso, en 2018, fue cuando Europa aprobó su gran legislación GDPR, que fue un gran cambio no solo en la ley europea de privacidad de datos, sino en la forma worldwide de pensar sobre la ley de privacidad. Entonces, especialmente para los EE. UU. Sin embargo, en los últimos dos años, estas nuevas regulaciones se han implementado a un ritmo muy rápido, comenzando con la Ley de Privacidad del Consumidor de California que entró en vigencia a principios de 2020, que se convirtió en la ley de privacidad de datos más estricta. cuando se aprobó en los Estados Unidos para los consumidores. Desde entonces, hemos visto a Virginia aprobar sus propios datos, la ley de privacidad, así como Colorado recientemente en los últimos meses. Y en California, en realidad ha habido una actualización, una actualización bastante significativa de la ley de privacidad del consumidor que entrará en vigencia a fines de 2022.

Entonces, las cosas están cambiando muy rápidamente. Mientras que antes, incluso tres años antes, no había una ley de privacidad del consumidor que rige en los EE. UU., De repente tuvimos una muy complicada y estricta a partir de 2020. Y ahora, está evolucionando rápidamente hacia un mosaico de diferentes leyes estatales que deben tenerse en cuenta, especialmente para las empresas que operan en todos los estados.

La gente se pregunta, ¿se aprobará una legislación federal sobre privacidad para que no podamos hacer un análisis multiestatal? Esa es una pregunta abierta. ¿Van a emitir más estados sus propias leyes de privacidad del consumidor, como Nueva York, Florida, Washington? Esa también es una posibilidad, se están discutiendo. Entonces, realmente mantener un registro de lo que está sucediendo tanto a nivel estatal como federal, diría, ha sido un sello distintivo de los últimos dos años en el lado estadounidense.

Karen Roby: Cuando miramos a los consumidores, quiero decir, todos somos consumidores, así que esto es algo que los consumidores merecen. Quiero decir, hay tantas preguntas por ahí, y la gente está confundida, y no tienen strategy de adónde van sus datos, y quién los intercambia, y quién hace esto y aquello con ellos. Y la privacidad debe ser de suma importancia.

VER: Experto: Intel compartir es clave para prevenir más ciberataques a la infraestructura (TechRepublic)

Catherine Zhu: Sí es cierto. Yo diría que casi ha habido un cambio en el sentimiento público donde quizás hace 5 o 10 años, a la gente realmente no le importaba si las empresas recopilaban sus datos. Quizás la mentalidad period cuanto más, mejor. Y creo que eso realmente ha cambiado en estos últimos años, donde las personas, así como los reguladores y las empresas, como resultado, piensan: «En realidad, necesitamos proteger estos datos. Necesitamos establecer limitaciones en los datos que se recopilan. . Necesitamos minimizar los datos que se recopilan «. Entonces, realmente ha habido un cambio, tanto en el sentimiento público como en la ley. Entonces, estaría de acuerdo con eso.

Karen Roby: Sí, definitivamente puedes sentir que ese cambio se ha producido. Quiero decir, me conozco a mí mismo, me pongo muy nervioso cuando estoy completando o haciendo algo, y me hacen preguntas y es como, «Oh, ¿qué están haciendo con esto?» Y te pones nervioso. Y, comprensiblemente, las personas que no trabajan en este negocio o que realmente comprenden la tecnología y la privacidad de los datos, quiero decir, es mucho para asimilar. Hable un poco sobre esto, Catherine, recientemente redactó un artículo sobre patrones oscuros. Habla un poco sobre eso. ¿Qué significa? ¿Qué necesitan saber las personas?

Catherine Zhu: Como mencioné anteriormente, en mi práctica legal, principalmente asesoro a las empresas, muchas de ellas en el lado de la etapa anterior, sobre el cumplimiento de la privacidad de los datos. El artículo de patrones oscuros realmente estaba sintiendo un cambio en la atmósfera regulatoria para la privacidad de los datos.

Empezaré con lo que son los patrones oscuros. Los patrones oscuros han existido durante mucho tiempo. Son esencialmente una característica de diseño que es manipuladora. Por ejemplo, ingresa a una aplicación net o una aplicación móvil y aparece una ventana emergente que le solicita información. Y tal vez la opción de proporcionar esa información parece ser la única opción, y la opción de no proporcionar información es muy pequeña y está en la parte de atrás. Entonces, ese es un ejemplo de un patrón oscuro.

Otro patrón oscuro es que ingresa a su cuenta para una determinada suscripción, está tratando de darse de baja y no se lo permite. Y es muy, muy difícil hacer eso. O llega algún anuncio, te pide tu correo electrónico, te dice que obtendrás $ 25 si les das tu correo electrónico. Pones tu correo electrónico y luego te pide tu número de teléfono. Entonces, es una forma en que la interfaz de usuario puede diseñarse para manipular a los consumidores para que hagan algo que en realidad no querían hacer o para evitar que hagan algo como optar por no hacer lo que se propusieron hacer.

Patrones oscuros, han existido durante mucho tiempo, pero creo que están comenzando a volverse cada vez más problemáticos a medida que avanzamos hacia una mayor digitalización de la sociedad. Y el artículo habla un poco más sobre eso. Y hemos visto, en el frente regulatorio, que tanto los reguladores federales como estatales están comenzando a prestar atención a esto. A nivel estatal, las leyes de privacidad del consumidor de Colorado y California que entraron en vigencia prohíben el uso de patrones oscuros como un medio legítimo para obtener el consentimiento. Por lo tanto, si alguien le dio su consentimiento o optó por participar porque utilizó un patrón oscuro, como una interfaz manipuladora, eso no se considerará legítimo según estas leyes.

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

A nivel federal, la FTC tiene autoridad para procesar a las empresas por prácticas comerciales engañosas. Y realizaron un taller en abril de este año, analizando específicamente el uso de patrones oscuros. Ahora, es un área complicada porque es difícil decir qué es y qué no es un patrón oscuro. A veces es muy obvio, pero a veces es más sutil. Entonces, si lee el artículo, también habla sobre cómo el uso de tecnología automatizada, donde estamos iterando sobre la entrada, puede conducir a una proliferación de patrones oscuros sin la intervención humana. Y así, si no somos conscientes del impacto de estos patrones oscuros, entonces podemos encontrarnos fácilmente inundados de ellos.

Finalmente, los patrones oscuros, desde un punto de vista social, tienden a tener un impacto dispar en diferentes grupos, especialmente en los grupos históricamente desfavorecidos: niños, adultos mayores, personas que no tienen un alto nivel de alfabetización electronic. Por lo tanto, si permitimos la proliferación no regulada de patrones oscuros, es probable que haya un impacto dispar que vuelva a afianzar las desigualdades existentes.

Creo que por todas esas razones eso realmente ha llamado la atención de los reguladores. Y, como resultado, creo que las empresas deben estar al tanto de esta tendencia en la regulación de la privacidad. Y podría afectar el diseño del producto, la participación del usuario y muchos aspectos diferentes para las empresas.

Karen Roby: Catherine, las empresas deben mantenerse al día sobre eso, ya que podría afectar sus productos y cómo se implementan. Entonces, creo que finalmente estamos en un punto en el que las empresas no pueden simplemente hundir la cabeza en la arena y decir: «Bueno, no lo sabíamos». Pero finalmente, creo, estamos llegando a un punto en el que tienes que saber esto. Y si va a estar en el negocio, es como cualquier otra cosa, debe conocer las reglas y las leyes y lo que conlleva todo eso, especialmente en lo que se refiere a la información privada de las personas.

Catherine Zhu: Definitivamente estoy de acuerdo con eso, Karen. Creo que, en este punto, la privacidad y la protección de datos realmente se han convertido en algo en juego, especialmente si está operando un negocio de tecnología. Entonces, incluso en esta etapa, diría que no hay forma de ignorarlo y definitivamente no en el futuro.

Ver también

Empresas y privacidad de datos

Karen Roby de TechRepublic habló con Catherine Zhu, asesora especial de Foley & Lardner, sobre el panorama cambiante de las leyes de privacidad de datos.

Imagen: Mackenzie Burke



Enlace a la noticia initial