La nueva ley de privacidad de Connecticut hace que el camino hacia el cumplimiento sea más complejo



Connecticut se convirtió en el quinto estado en aprobar una ley de privacidad de datos del consumidor con la firma de SB 6, titulado «Una ley sobre la privacidad de los datos personales y el control en línea». La ley, que entrará en vigencia el 1 de julio de 2023, es equivalent a las leyes de privacidad en Virginia, Colorado y Utah, pero no cumple con algunas de las disposiciones y protecciones de la Ley de Privacidad del Consumidor de California (California Customer Privateness Act, CCPA) y su actualización, la Ley de Derechos de Privacidad de California (CPRA).

Esta última ley estatal sobre privacidad intensifica aún más la presión sobre los departamentos de cumplimiento corporativo para intentar abordar la tarea cada vez más difícil de cumplir con los requisitos de información y cobertura de varias leyes de privacidad, y presiona al gobierno federal para que elabore una ley nacional que aclara los derechos de privacidad del consumidor, dice Lisa Sotto, socia y presidenta de la práctica de privacidad y ciberseguridad de Hunton Andrews Kurth LLP, una firma de abogados con sede en Richmond, Virginia.

«Es completamente una locura cumplir con todos estos [privacy] leyes es virtualmente imposible”, dice. No existe un “máximo común denominador” que permita a las organizaciones cumplir con un conjunto determinado de normas de privacidad para garantizar el cumplimiento de todas ellas.

«Es un desastre», dice Sotto.

Si bien todas las leyes de privacidad tienen mucho en común, no hay dos idénticas. Cuando agrega leyes adicionales, como las dirigidas a la privacidad relacionada con menores, atención médica, servicios financieros y otras áreas, además de las cinco leyes estatales, la matriz de requisitos de cumplimiento se vuelve difícil de manejar.

Maraña cada vez mayor de leyes de privacidad

Actualmente no existe una ley nacional de privacidad en los Estados Unidos, pero existe un mosaico de leyes a nivel nacional y estatal que abordan distintas áreas de la privacidad. Entre las leyes federales se encuentran las Ley Gramm-Leach-Bliley (GLBA), la Ley de Privacidad de 1974la Ley de informes crediticios justosla Ley de Privacidad y Derechos Educativos de la Familiala Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA), y la Ley de tecnología de la información sanitaria para la salud económica y clínica (DE ALTA TECNOLOGÍA).

También existen reglas de la industria, como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), que dictan cómo las empresas deben manejar la privacidad del consumidor. A veces, las leyes y las reglas de la industria están en conflicto directo, como cuándo se debe informar una violación de datos y a quién, lo que obliga a las empresas a elegir qué regulaciones seguir.

Agregue a esas leyes estatales y locales, como el Estado de Nueva York Ley de Protección de la Privacidad Particularasí como leyes internacionales, como la de la Unión Europea Reglamento Common de Protección de Datos (GDPR), que responsabiliza a personas de todo el mundo por el mal manejo de la información de identificación personalized (PII) de los ciudadanos de la UE, y el cumplimiento se vuelve inmanejable.

Un gran desafío al que se enfrentan las empresas cuando intentan gestionar el cumplimiento es determinar exactamente qué exigen las leyes y cómo definen la privacidad, lo cual está abierto a interpretación. La analista de Forrester, Stephanie Liu, dice que la ley coloradapor ejemplo, no permite la venta de información personalized por «consideración valiosa». No dice explícitamente vender solo por dinero en efectivo, sino algo de valor.

Sin embargo, dice Liu, ella ha «hablado con un par de corredores de datos que dijeron que no venden datos. Si un corredor de datos está haciendo ese argumento, entonces tienes una laguna».

Comparando las leyes de Utah, Colorado, Virginia y Connecticut, la «definición de venta» es donde tienden a diferir, dice Liu. «Es un gran dolor de cabeza», agrega.

Exactamente lo mismo, solo diferente

Si bien la ley de Connecticut habla específicamente de proteger los derechos de privacidad de los consumidores de aquellos que venden productos directamente a los ciudadanos del estado, no todos los derechos de privacidad están cubiertos por la ley. Los seguros, por ejemplo, son una gran parte de la economía del estado, pero las compañías de seguros no están cubiertas por esta nueva ley. En cambio, dice Sotto, esas empresas están cubiertas por las regulaciones federales de GLBA.

Las juntas directivas tienen un deber fiduciario de supervisión en lo que respecta a la cibernética, dice, y eso los obliga a mirar mucho más de cerca la privacidad también. Las juntas se están interesando mucho más personalmente en la privacidad y el cumplimiento, especialmente ahora que las leyes recientes pueden responsabilizar personalmente a los miembros de la junta si se viola una empresa o si se roba y se hace pública la PII.

La protección de la privacidad own también podría tener un impacto en las tarifas de los seguros cibernéticos. Los ataques de ransomware que roban PII y amenazan con hacerla pública son muy comunes hoy en día, y las pólizas de seguro cibernético a menudo incluyen cobertura para pagar esas demandas de rescate.

Para las aseguradoras cibernéticas, señala el analista sénior de Forrester Jess Burn off, eso significa que los costos legales muy altos están incluidos en las primas. Las empresas que son violadas «necesitan trabajar con su asesor externo en las notificaciones de violación de datos para cada estado afectado», dice Burns. «Además, si es una empresa B2C, [you have] notificaciones al consumidor, monitoreo de crédito y todas esas tarifas diferentes que lo acompañan. Ah, y luego van a llegar las multas también».

No todos los problemas de privacidad se abordan en la legislación de privacidad, y no todos los que no son PII se abordan directamente en las leyes estatales de privacidad. Los datos que pueden contener datos personales sobre inversores, por ejemplo, a menudo se abordan en otra legislación que no es específica de privacidad. La Ley de informes crediticios justos, por ejemplo, cubre algunos problemas de privacidad del consumidor que se superponen con las leyes estatales de privacidad, al igual que HIPAA y otras leyes de atención médica, pero no necesariamente contradicen otras leyes.

«Connecticut exime los datos de los empleados de su ley por completo», dice Burn. «Esa es otra área donde es interesante ver [that] tipo de incertidumbre, si somos honestos acerca de cómo los estados lo abordan».



Enlace a la noticia authentic