La FTC nos recuerda el derecho al olvido

Por Danny Bradbury • 21 November 2024

"Internet nunca olvida" es una advertencia de que lo que haces en línea podría volverse en tu contra más tarde. También es una advertencia. mito común, ya que el contenido desaparece con frecuencia, ya sea por accidente o a propósito. Intente acceder a esos foros de discusión en línea que solía leer en 1998. O Décadas de MTV News.

Sin embargo, en algunos casos, a las personas les gustaría que su información digital desapareciera, especialmente cuando está alojada en empresas en las que ya no confían. La FTC hizo que esto fuera un poco más fácil en octubre cuando resolvió un caso con Marriott International. Ese acuerdo permite a los consumidores exigir que Marriott International borre sus registros. ¿Podría esto sentar un precedente en los EE. UU. del que los consumidores europeos han disfrutado durante años?

Cuando los criminales ingresaban y sacaban millones de registros

En 2018, Marriott reveló que unos intrusos habían comprometido el sistema de reservas de su filial Starwood Hotels & Resorts. En dos infracciones, robaron 339 millones de registros de clientes de Starwood, incluidos datos de tarjetas de crédito y números de pasaporte.

Los ataques comenzaron en 2014, antes de que Marriott adquiriera Starwood. Cuando Marriott descubrió la vulneración dos años después de la adquisición en 2016, todavía no había realizado la transición de Starwood a su propio sistema de reservas. Luego, entre 2018 y 2020, se produjo una tercera vulneración, esta vez afectando a los propios sistemas de Marriott. Esa intrusión supuso el robo de otros 5.2 millones de registros de clientes, principalmente para robar sus puntos de fidelidad.

La denuncia de la FTC contra Marriott se centra en dos aspectos. El primero es la supuesta falta de medidas de seguridad adecuadas, incluidos controles de contraseñas, parches de software y registro de la red. El segundo es lo que la FTC considera engaño al consumidor mediante declaraciones de seguridad engañosas.

Lo que la FTC no detalla explícitamente en su demanda es el cambio de postura de Marriott respecto de sus afirmaciones sobre el cifrado. El hotelero dijo en su momento que los números de tarjetas de crédito y algunos datos de pasaportes en la violación de Starwood habían sido cifrados con AES-128, un potente protocolo de cifrado. Sin embargo, en una audiencia legal celebrada el 10 de abril de este año, puesto de manifiesto que De hecho, se había procesado utilizando el algoritmo de hash SHA-1. No sólo no es un mecanismo de cifrado, sino que los investigadores de seguridad también han descubierto vulnerabilidades en SHA-1 desde 2005. La NSA ahora lo ha retirado por completo.

Los consumidores pronto podrán eliminar sus datos de Marriott

Marriott aceptó un pago considerable de 52 millones de dólares en un acuerdo separado con 50 fiscales generales. Esto representa el 0.8% de sus ingresos o algo más de tres días de recaudación, o, dicho de otro modo, unos 15 centavos por consumidor afectado.

Tal vez un resultado más sustancial para las verdaderas víctimas de la violación de datos de Marriott fue el acuerdo de la cadena hotelera con los estados y la FTC de permitir a los clientes borrar su información personal de sus sistemas. Marriott debe incluir un botón en su sitio web que permita a los clientes solicitar la eliminación de esta información. Luego debe confirmar la recepción y explicar el proceso de eliminación de datos dentro de los 60 días posteriores a cada solicitud.

Esta no es la primera vez que la FTC emite solicitudes de eliminación de datos como parte de sus acuerdos. En octubre de 2022, la Comisión llegó a un acuerdo con el proveedor de tecnología educativa Chegg por sus supuestas deficiencias en materia de ciberseguridad, y el acuerdo incluía una orden para que la empresa permitiera a los consumidores eliminar sus datos. acuerdo con En mayo de este año, la empresa de marketing InMarket también incluyó una exigencia para que la empresa elimine cualquier dato de ubicación del cliente si este lo solicita.

Sin embargo, en un análisis de En el caso Marriott, Jim Dempsey, director ejecutivo del Centro de Derecho de Ciberseguridad de la IAPP, dice que el acuerdo con Marriott contiene algo nuevo. “Fue la primera vez que la FTC exigió a una empresa que sufrió una violación de seguridad que proporcionara a todos los clientes un enlace para solicitar la eliminación de información personal asociada a una dirección de correo electrónico y/o un número de cuenta de un programa de recompensas de fidelidad”, dijo.

Difusión de los requisitos de eliminación de datos de los consumidores

Estas disposiciones sobre eliminación de datos podrían generalizarse. Estados Unidos no cuenta con una ley federal de privacidad, pero ya están en vigor o a punto de entrar en vigor numerosas leyes estatales sobre eliminación de datos. Quienes operan en California, Colorado, Connecticut, Utah y Virginia deben ahora eliminar los datos de los consumidores cuando se les solicite, mientras que leyes similares en Iowa y Nebraska entrarán en vigor en enero del año próximo. Hay más en proceso.

En Europa, las empresas llevan mucho tiempo ocupándose de este problema. El Reglamento General de Protección de Datos (RGPD), que entró en vigor en 2018, ha impuesto a los consumidores el derecho a eliminar sus datos.

Todo esto significa que es poco probable que el acuerdo más reciente y agresivo de la FTC sobre el derecho a eliminar sea el último. Con un nuevo gobierno, en gran medida contrario a la regulación, en el futuro cercano no está claro si el Congreso aprobará una ley federal general sobre el derecho a eliminar. Sin embargo, a medida que aumenta el apoyo a nivel estatal a las medidas de derecho a eliminar, la FTC tiene más fundamento para utilizar este concepto en acuerdos con empresas.

Cómo preparar

Es importante que las organizaciones que consideren que podrían verse afectadas por solicitudes de eliminación de datos se preparen para ello. Esto implica aspectos tanto legales como técnicos. Para comprender su responsabilidad en relación con una solicitud de eliminación entrante, es necesario evaluar las características específicas de esos datos en relación con el alcance de la norma, ya sea un acuerdo regulatorio, una ley estatal o una regulación regional. Esto incluye comprender si el propósito de la retención de los datos está exento de la norma y si necesita los datos para cumplir un contrato con la persona.

Si es necesario eliminar los datos, eso implica identificar y recopilar la información en cuestión, a menudo de varios sistemas. La creación de una estrategia de gobernanza de datos que respalde esto podría incluir el uso de tecnología para etiquetar y localizar los datos por solicitud y luego crear registros de eliminación para automatizar los informes.

Cuantos más derechos tengan los consumidores para borrar sus datos, más se podrá restablecer la confianza en un ecosistema en línea que les ha fallado gravemente. Las empresas que se preparen ahora para esta eventualidad harán más que asegurarse de poder cumplir con esa norma específica: estarán mejorando la gobernanza de los datos en un mundo que la necesita urgentemente.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

La seguridad cibernética 7 October 2025

La revisión de Safe Harbor sigue como siempre, por ahora

Septiembre fue un mes decisivo para las empresas europeas que querían compartir datos con EE. UU. El Tribunal General de la Unión Europea rechazó una impugnación...

danny bradbury

La seguridad cibernética 23 Septiembre 2025

Cuando fallan los sistemas heredados: lecciones de la violación de los tribunales federales

Los ciberataques ocurren a diario, pero algunos son especialmente escalofriantes. Un ataque este verano contra el sistema judicial estadounidense debería haber causado escalofríos en todos...

danny bradbury