La FTC asume la protección de datos y la privacidad

Las filtraciones de datos recientes han puesto de relieve la protección de los datos personales de los consumidores. También arrojan luz sobre un mercado en el que las empresas acumulan y venden grandes conjuntos de datos personales, financieros y de ubicación de los consumidores a una industria próspera de corredores de datos.

En este contexto, la Comisión Federal de Comercio (FTC) anunció el lanzamiento de una Notificación Anticipada de Propuesta de Reglamentación (ANPR) para combatir la vigilancia comercial dañina y la falta de seguridad de los datos. “Actualmente, las empresas recopilan datos personales sobre individuos a gran escala y en una asombrosa variedad de contextos”, dijo la presidenta de la FTC, Lina M. Khan. "La creciente digitalización de nuestra economía, junto con modelos comerciales que pueden incentivar la acumulación interminable de datos confidenciales de los usuarios y una gran expansión de cómo se usa esa información, significa que las prácticas potencialmente ilegales pueden generalizarse".

La vigilancia comercial aumenta los riesgos de filtración de datos

Según la FTC, la vigilancia comercial se refiere a la recopilación, agregación, análisis, almacenamiento, transferencia o monetización de datos de consumidores y derivados directos de esa información. Esta vigilancia aumenta “los riesgos y las apuestas de las filtraciones de datos, el engaño, la manipulación y otros abusos”. La seguridad de los datos incluye "mitigación del riesgo de infracciones, gestión y retención de datos, minimización de datos y prácticas de divulgación y notificación de infracciones".

ANPR es solo el primer paso en el proceso de la FTC. Su objetivo es poner en marcha el trabajo antes de crear cualquier regla mediante la compilación de un registro público completo de su necesidad potencial. La Comisión argumenta que está facultada para implementar las normas que rigen la supervisión y los procedimientos laxos de seguridad de datos en virtud de su estatuto interno, la Ley de la FTC, y décadas de experiencia en aplicación y ejecución. política en estas dos áreas.

ANPR busca responder a una amplia gama de preguntas

ANPR es un documento de gran alcance que aborda casi todas las controversias actuales en torno a la recopilación, el uso y la venta de datos de personas, que no están regulados. A través de este documento, la FTC invita al público a comentar sobre la naturaleza y la prevalencia de la vigilancia comercial dañina y las prácticas laxas de seguridad de datos, el equilibrio de los costos y los beneficios compensatorios de estas prácticas para los consumidores y la competencia, así como las propuestas para proteger a los consumidores contra las prácticas dañinas. y prácticas generalizadas de vigilancia comercial y seguridad de datos.

ANPR plantea una serie de preguntas de fondo para las que busca respuestas. En primer lugar, ¿en qué medida las prácticas comerciales de vigilancia o las laxas medidas de seguridad perjudican a los consumidores? La FTC hace una docena de preguntas sobre cómo los consumidores pueden verse perjudicados por la vigilancia comercial o la falta de seguridad, incluido qué tipo de datos deben estar sujetos a sus reglas, si corresponde. También cuestiona cómo debe tratar los daños indirectos, como la angustia psicológica, y cómo debe tratar una regla los daños sufridos por diferentes consumidores en diferentes sectores.

La seguridad infantil entra en juego

Otras preguntas de ANPR incluyen qué tan dañinas son las prácticas de datos para los niños, incluidos los adolescentes. La Comisión pide a los comentaristas que indiquen si los niños son particularmente vulnerables o es probable que estén sujetos a una supervisión específica. Ella cuestiona hasta qué punto las próximas reglas deberían proporcionar a los adolescentes un mecanismo de eliminación, si los servicios que recopilan información de un gran número de niños deberían ser necesarios para brindarles protecciones de privacidad más sólidas, si los servicios están destinados a ellos o no, etc.

Finalmente, la FTC invita a realizar comentarios sobre los costos y beneficios relativos de cualquier práctica actual, así como los de cualquier regulación adaptada, en el horizonte de tiempo correcto para evaluar los costos y beneficios relativos de las prácticas comerciales de vigilancia y seguridad. datos existentes o emergentes, sobre cómo debe regular las prácticas nocivas, etc.

Preguntas sobre seguridad y minimización de datos

Junto con los muchos problemas de privacidad, la FTC está analizando consideraciones técnicas que describen cómo la agencia podría comenzar a establecer requisitos de seguridad, retención y reducción de datos. ANPR pregunta si la FTC debería implementar reglas que requieran que las empresas implementen medidas de seguridad de datos administrativas, técnicas y físicas, incluidas técnicas de cifrado, para protegerse contra los riesgos de seguridad de datos. seguridad, confidencialidad o integridad de los datos cubiertos. También pregunta si se deben implementar reglas adicionales para codificar la prohibición de afirmaciones engañosas sobre la seguridad de los datos del consumidor, lo que permite a la Comisión buscar sanciones civiles por infracciones tempranas.

El cuestionario pregunta si la FTC debería considerar otras leyes federales y estatales que ya tienen requisitos de seguridad de datos, que requieren que las empresas certifiquen que sus prácticas de datos cumplen con los estándares de seguridad de datos. claro y, de ser así, quién debe desarrollar estos estándares, la FTC o un tercero. Finalmente, considere otras reglas para imponer limitaciones a la recopilación, el uso y la retención de datos del consumidor por parte de las empresas y si deben establecer requisitos de minimización o limitaciones de propósito.

Biometría y consentimiento discutidos

También se analiza el tema controvertido de la biometría y si la FTC debería considerar limitar las prácticas comerciales de vigilancia que usan o facilitan el reconocimiento facial, la toma de huellas dactilares u otras tecnologías biométricas. Otro tema emergente y sensible abordado en ANPR es el uso de algoritmos y sistemas automatizados de toma de decisiones. La cuestión es si la FTC debe exigir a las empresas que evalúen y certifiquen que su uso de la toma de decisiones automatizada cumple con estándares claros de precisión, validez, confiabilidad o error.

Finalmente, ANPR plantea una serie de preguntas sobre el consentimiento: qué tan efectivos son los acuerdos de consentimiento actuales con respecto a las actividades de vigilancia y si se debe permitir a los consumidores retirar su consentimiento para compartir datos con fines de monitoreo.

¿Qué pasa con la Ley de Protección y Privacidad de Datos de los Estados Unidos?

En una conferencia de prensa, la comisionada de la FTC desde 2018, Rebecca Kelly Slaughter, dijo que pronunció un discurso hace tres años en el que argumentó que la aplicación caso por caso del abuso de datos no protegía de manera efectiva a los usuarios ni disuadía las violaciones legales. Desde entonces, el Congreso de los EE. UU. ha logrado avances significativos en un proyecto de ley de privacidad de gran alcance denominado Ley de Protección y Privacidad de Datos Estadounidenses (ADPPA, por sus siglas en inglés), que impone restricciones significativas a la recopilación y el uso de datos personales. datos sensibles del consumidor. Slaughter dijo que estaba "increíblemente impresionada" con la ADPPA, que considera complementaria al proceso de elaboración de normas de la FTC.

El comisionado de la FTC, Álvaro Bedoya, también expresó su apoyo a ADPPA y dijo: “Este es el proyecto de ley de privacidad más fuerte que jamás haya estado tan cerca de ser aprobado. . Yo espero que sea". Dijo que no votaría por las reglas de la FTC de la ANPR si inciden en la ADPPA. Ambos comisionados republicanos de la FTC señalan a ADPPA como la razón por la que no apoyan a ANPR. "La dinámica de ADPPA juega un papel importante en mi voto negativo sobre el Aviso anticipado de reglamentación propuesta anunciado hoy", dijo la comisionada de la FTC, Christine Wilson, en un comunicado. "Me preocupa mucho que los opositores al proyecto de ley utilicen la ANPR como excusa para descarrilar la ADPPA".

Noah Joshua Phillips, también comisionado de la FTC, dijo en un comunicado que "las leyes nacionales de privacidad del consumidor plantean serias dudas, razón por la cual he dicho repetidamente que depende del Congreso, no de la Comisión Federal de Comercio, que una ley nacional de privacidad debería Me alienta que el Congreso ahora esté considerando tal legislación y espero que el proceso de la Comisión no haga nada para interrumpir esa consideración”.

Reacción a la propuesta normativa

Elizabeth McGinn, socia de Buckley LLP, dice que no le sorprende que la FTC esté explorando reglas adicionales sobre vigilancia de datos y seguridad laxa. "Las áreas de preocupación sobre las que la FTC le pide al público que comente son áreas sobre las que la organización ha expresado inquietudes, emitido orientación y realizado talleres sobre investigaciones y acciones de cumplimiento".

Janis Kestenbaum, socia de Perkins Coie, que trabajó en temas de privacidad y seguridad de datos en la FTC, dijo: "El momento de este aviso es notable en sí mismo, dado que el Congreso está más cerca que nunca de promulgar una legislación integral sobre privacidad en forma de la Ley de Protección de Privacidad de Datos de los Estados Unidos, que cubre los mismos temas que la FTC propone abordar. Aunque la FTC dice que no procederá con esta regulación si el Congreso aprueba la ADPPA, mientras tanto, se dedicarán importantes recursos gubernamentales y del sector privado a este reglamento.”

El Capitolio reacciona

En Capitol Hill, los legisladores republicanos no dieron la bienvenida a la acción de la FTC. El senador estadounidense Roger Wicker (R-MS) dijo: “Para lograr una protección significativa de la privacidad de los datos del consumidor, el Congreso debe actuar. Los comisionados de la FTC han reconocido que la legislación, no la regulación, es la mejor manera de lograr estas protecciones. Espero que la acción de la FTC de hoy ayude a subrayar la urgencia de que la Cámara de Representantes apruebe la Ley de Privacidad y Protección de Datos de EE. UU. y que el Comité de Comercio del Senado avance en el comité. Es hora de actuar sobre la ADPPA”.

Incluso un legislador demócrata, Frank Pallone (Nueva Jersey), presidente del Comité de Energía y Comercio, reprendió amablemente a la FTC. " Yo aprecio [ses] esfuerzos para utilizar las herramientas a su disposición para proteger a los consumidores, pero el Congreso tiene la responsabilidad de aprobar una legislación federal integral sobre privacidad para equipar mejor a la agencia, y a otros, para proteger a los consumidores al máximo. En última instancia, la Ley de Protección y Privacidad de Datos de los Estados Unidos es necesaria para establecer protecciones de privacidad estatutarias nacionales integrales para todos los estadounidenses y me comprometo a que se adopte y promulgue como ley”.