Las grandes empresas se unen para instar a los legisladores a vender la privacidad de los consumidores

Veintidós grupos de la industria, que representan a miles de empresas de los Estados Unidos, enviaron una carta al Congreso días atrás pidiendo a los legisladores que aprueben amplias normas de seguridad de datos. A primera vista, ello parece realmente bueno para los consumidores.

Sin embargo, después de una inspección más pormenorizada, el documento sugiere que estos pesos pesados corporativos pretenden traicionar a los consumidores al presionar por leyes inconsistentes y mucho más débiles de los parámetros que ya exigen muchos estados, incluido California.

La advertencia es la presencia de la Asociación de Líderes de la Industria Minorista (RILA, por sus siglas en inglés) entre los signatarios de la nota.

En el pasado, los minoristas rara vez han estado de acuerdo con las firmas financieras sobre cuánta seguridad de datos se debe requerir y cuándo se debe notificar a los consumidores sobre una violación de seguridad. Los minoristas sostienen que estos no son problemas únicos o comunes para todos.

Más específicamente, remarcan los defensores de los consumidores, los minoristas son un objetivo frecuente de los piratas informáticos y preferirían evitar la ‘publicidad’ de anunciar día por medio que los datos de los clientes están en las manos equivocadas.

Sin embargo, de forma repentina, RILA se unió a la Asociación de Banqueros de los Estados Unidos, la Asociación de Banqueros del Consumidor y la Mesa Redonda de Servicios Financieros en la búsqueda de una “legislación federal para proteger la información personal y, en el caso de una violación de datos que podría resultar en el robo de identidad u otro daño financiero, asegurar que los consumidores sean notificados de manera oportuna”.

¿Qué ha ocurrido?

“Creo que han llegado a un acuerdo para que el Congreso apruebe un proyecto de ley que no requiera notificación en todas las instancias, todo el tiempo”, afirmó Ed Mierzwinski, director federal de programas de consumidores del Grupo de Investigación de Interés Público de los EE.UU.

“Los miembros de RILA en el pasado estaban muy, muy molestos por la idea de que todos tuvieran que dar aviso”, explicó. “Es probable que el Congreso apruebe una ley al estilo caballo de Troya, que debilite los requisitos de notificación del estado”.

Recientemente escribí sobre la falta de progreso en la aprobación de protecciones de la privacidad, meses después de la violación perpetrada a Equifax, que expuso información personal de más de 145 millones de estadounidenses.

Parece probable que los grupos de la industria, presintiendo que una sola infracción importante más impulsaría la acción federal, se hayan unido para guiar a los legisladores por un camino favorable para los negocios.

En 2015, RILA pidió al Congreso que adopte normas nacionales de notificación de incumplimiento que incluyan “un calendario razonable para el aviso” y que tengan en cuenta “los desafíos prácticos asociados con una notificación a gran escala”.

La asociación también expresó que una normativa federal debería garantizar “que se requiera una notificación sólo cuando exista una creencia razonable de que una infracción ha provocado o provocará el robo de identidad, pérdidas económicas o daños”.

Según ese estándar, los principales minoristas (y miembros de RILA), como Target y Home Depot, que en los últimos años sufrieron infracciones que afectaron a casi 100 millones de personas, estarían en su derecho de no informar si tienen “una creencia razonable” de que nadie saldrá perjudicado.

Nick Ahrens, vicepresidente de ciberseguridad y privacidad de RILA, reconoció que los minoristas y las firmas financieras se han enfrentado en el pasado por problemas de seguridad de datos. No obstante, indicó que estas peleas en realidad eran “representantes” de otras disputas, como cuánto deberían pagar los comerciantes como tarifas de tarjetas de crédito cuando los clientes usan sus plásticos.

Sin embargo, afirmó también que los minoristas siempre han apoyado medidas de seguridad de datos más efectivas, y la industria reconoce que debe trabajar con otras empresas para responder al creciente problema de las violaciones de datos. Lo que quiere RILA, agregó Ahrens, es “un estándar unificado de notificación de violación de datos” que rija a todas las compañías, y sugirió que esto es lo que buscan los 22 grupos de la industria en su carta a los legisladores.

Pero no es así.

Una lectura detallada de la nota enviada al Comité de Energía y Comercio de la Cámara de Representantes revela que los grupos desean una exclusión para las firmas financieras que les permita seguir guiándose por una ley federal conocida como Gramm-Leach-Bliley, que es poco exigente -en el mejor de los casos- en términos de su requisito de notificación.

Gramm-Leach-Bliley sostiene que si una empresa descubre que fue pirateada y que “ha ocurrido un uso indebido de su información sobre un cliente, o que ello es razonablemente posible”, la compañía “debería notificar al cliente afectado lo antes posible”.

Debería, no debe. Gran diferencia.

Más de la mitad de los grupos industriales que envían la carta representan a firmas financieras contempladas por la norma Gramm-Leach-Bliley. No quieren requisitos de notificación más estrictos.

Para la mayoría de las otras compañías, incluidos los minoristas, el documento insta a los legisladores a establecer estándares “flexibles”, que tengan en cuenta “el costo de las herramientas disponibles para proteger los datos” y “la sensibilidad de la información personal que posee una organización”. También debería haber garantías de que las empresas más pequeñas “no estén agobiadas por requisitos excesivos”.

Para recapitular: las mismas viejas lagunas legales para los bancos y otras firmas financieras, y nuevas reglas para otras compañías, que no las incomoden ni nada por el estilo.

Además de todo eso, la carta especifica que las nuevas normas federales de privacidad deben proporcionar “una clara ventaja ante el mosaico existente de leyes estatales, a menudo conflictivas y contradictorias”.

California requiere que se notifique a los clientes cada vez que una empresa se da cuenta de que ha sido pirateada, lo cual es mucho más estricto que cualquier otra propuesta a nivel federal.

Le señalé a Ahrens que RILA honestamente no puede decir que respalda “un estándar unificado de notificación de violación de datos” cuando está dispuesta a aceptar el uso continuo de la norma Gramm-Leach-Bliley para las firmas financieras.

En respuesta, suavizó sus comentarios al decir que “nuestro ideal sería tener a todos bajo el mismo régimen de notificación”. También indicó que RILA aceptó los términos de la misiva “para que se haga algo” en el Congreso.

Eso está bien, excepto que al otro grupo importante de la industria minorista, la Federación Nacional de Minoristas, se le solicitó de igual manera que respalde la iniciativa, pero su respuesta fue negativa.

“El problema es Gramm-Leach-Bliley”, aseguró David French, vicepresidente sénior de relaciones gubernamentales de la Federación Nacional de Minoristas. “No tiene una obligación de notificación. Dice “debería notificar”; no requiere comunicación”.

Aparentemente, RILA, que representa a las grandes cadenas minoristas, no es tan moralista como su contraparte de cabildeo, que se enfoca más en las pequeñas y medianas empresas.

Los países europeos adoptarán nuevas y estrictas reglas de privacidad en mayo. Entre ellas se encuentra el requisito de que se notifique a las personas dentro de las 72 horas de cualquier acceso no autorizado a su información personal.

Presta atención, Congreso. Así es como debe hacerse.

Traducción: Valeria Agis

Para leer esta nota en inglés, haga clic aquí