Lo que significa el EO del corredor de datos de Biden para su negocio

Muchos corredores de datos están felices de vender todo tipo de información personal sobre ciudadanos estadounidenses. Junte estos datos y podrá obtener información de inteligencia aterradoramente detallada sobre una amplia gama de personas, desde los físicamente vulnerables hasta los políticamente prominentes.

Los legisladores están cada vez más nerviosos por los riesgos de que un adversario extranjero compre esos datos, que podrían ir desde chantaje hasta daño físico. El 28 de febrero la Casa Blanca dio otro paso para mitigar la amenaza.

Una historia de preocupación por los flujos de datos extranjeros

El Orden Ejecutiva sobre la prevención del acceso a gran cantidad de datos personales confidenciales de los estadounidenses y a datos relacionados con el gobierno de los Estados Unidos por parte de los países de interés es el último de una serie de medidas que la Casa Blanca ha tomado para proteger los datos personales de los estadounidenses.

El 15 de mayo de 2019, la administración Trump emitió Asegurar la cadena de suministro de servicios y tecnologías de la información y las comunicaciones. Esa EO declaró una emergencia nacional relacionada con el uso de tecnología de comunicaciones y TI extranjera.

La Casa Blanca de Biden reconoció esa emergencia el 9 de junio de 2021 en otra EO, Proteger los datos confidenciales de los estadounidenses frente a adversarios extranjeros. Esto requirió un análisis de riesgos de los peligros de compartir datos de ciudadanos estadounidenses en el extranjero, junto con recomendaciones para acciones ejecutivas.

La última EO es una respuesta a ese análisis. Expresa los temores de la administración de que actores maliciosos en el extranjero puedan usar inteligencia artificial y otras tecnologías para extraer nuevos conocimientos a partir de datos sobre ciudadanos estadounidenses. Le preocupan los datos sobre cualquier ciudadano, pero señala a individuos en el ejército y otros que trabajan para el gobierno, junto con grupos vulnerables, incluidos los disidentes.

El documento exige que los departamentos gubernamentales protejan a estos grupos a través de varias medidas, incluida la priorización del examen de las licencias para cables submarinos de transmisión de datos (una cuestión que se planteó por primera vez en otra orden ejecutiva de la era Trump). a partir del 4 de abril de 2020. La Casa Blanca espera que esta priorización ayude a evitar que los países preocupantes manipulen a los licenciatarios para extraer datos de los cables.

Los investigadores sanitarios son otro objetivo de la EO. Ordenó a varios departamentos del poder ejecutivo que emitieran reglas sobre la gestión de información sanitaria masiva, incluidos tipos de datos biológicos como la genómica.

Avisar a los intermediarios de datos

La EO también se centra en los intermediarios de datos.

"Las entidades de la industria de corretaje de datos permiten el acceso a datos personales confidenciales en masa y a datos relacionados con el gobierno de los Estados Unidos por parte de países de interés y personas cubiertas", dice. “Estas entidades plantean un riesgo particular de contribuir a la emergencia nacional descrita en esta orden porque habitualmente participan en la recopilación, recopilación, evaluación y difusión de datos personales confidenciales en masa y del subconjunto de datos relacionados con el gobierno de los Estados Unidos con respecto a los Estados Unidos. consumidores”.

Aborda este sector al prohibir a quienes se encuentran en los EE. UU. realizar transacciones que involucren datos personales confidenciales en masa con ciudadanos extranjeros que representen países de interés. Esos datos incluyen algunos identificadores personales y biométricos, junto con geolocalización y datos de sensores relacionados, datos biológicos y de salud personal, y datos financieros personales. Existen exenciones a la regla, incluido el suministro de información para servicios financieros o para el cumplimiento regulatorio.

Sin embargo, las empresas habituales cuyo negocio principal no es vender datos no deberían alarmarse. La EO afirma que la orden no está diseñada para prohibir las transacciones comerciales "incluido el intercambio de datos financieros y de otro tipo como parte de la venta de bienes y servicios comerciales" con estos países. Tampoco intenta perturbar relaciones comerciales más amplias. Se trata de acceso a datos masivos confidenciales, explica el documento.

La Casa Blanca dependerá en parte de la Oficina de Protección Financiera del Consumidor (CFPB) para ayudar a que los intermediarios de datos entren dentro del alcance de la ley. No existe una regulación federal específica para los corredores de datos, pero las agencias de informes del consumidor (CRA) están reguladas por la Ley de informes crediticios justos (FCRA) de 1970.

En su propuesta de reglamentación, a la CFPB le preocupaba que más de medio siglo después de su introducción, la definición de CRA de la ley fuera ahora demasiado estrecha y que algunos corredores de datos trataran con información personal confidencial sin tener que cumplir con su mandato de privacidad. Las medidas propuestas incluyen ampliar el alcance para definir a esos corredores como agencias de informes, incorporándolos al redil.

La cuestión, según Claude Mandy, es si los intermediarios de datos podrán restringir las ventas a extranjeros. Mandy es evangelista jefe de seguridad de datos en Symmetry Systems, que ayuda a las empresas a comprender dónde están sus datos confidenciales, cómo los han utilizado y quién. Responder a esas preguntas es más difícil de lo que parece, advierte.

"Cada vez que ingresamos a una organización vemos los desafíos que tienen para controlar el flujo de datos y comprender qué datos tienen", le dice a ISMS.online.
Mandy también advierte que los datos se venden regularmente a terceros, quienes luego los venden a sí mismos, creando una cadena de suministro que, en el mejor de los casos, es turbia.

“No saben a quién se lo envían. No saben quién tiene acceso a él. Y ese flujo de datos de los primeros principios no se está abordando”, afirma. “Con empresas fantasma y propiedad extranjera, ¿cuántas capas de profundidad se pueden profundizar antes de que resulte insostenible encontrar esa posición final? Y eso es lo que les pedimos que hagan con esta Orden Ejecutiva”.

Es hora de repensar las prácticas de datos

Cobun Zweifel-Keegan, director general de la Asociación Internacional de Profesionales de la Privacidad (IAPP) en Washington DC, dice que cuando las agencias gubernamentales finalmente creen reglas específicas, los intermediarios de datos podrían necesitar repensar su gestión de datos. Puede que eso no sea malo, añade.

"Comprender el contexto y los posibles daños de ciertos conjuntos de datos es un desafío conocido que una empresa ya debería tener en cuenta", dice a ISMS.online.

¿Una ley que los obligue a todos?

Mientras tanto, el gobierno federal continúa presionando para que se apruebe una ley federal de privacidad más amplia. La última propuesta es el borrador de la Ley Estadounidense de Derechos de Privacidad, que permitiría a los estadounidenses controlar qué datos pueden recopilar y conservar las empresas sobre ellos, y evitar que sus datos se transfieran a otros.

Mientras esperamos que ese borrador de discusión se convierta en un proyecto de ley real, hay otros esfuerzos en el Congreso para frenar a los intermediarios de datos. Los legisladores introdujeron HR 7521, la Ley de Protección de Aplicaciones Controladas por Adversarios Extranjeros (publicitada como la prohibición de TikTok) y HR 7520, la Ley de Protección de Datos de los Estadounidenses contra Adversarios Extranjeros de 2024. Al igual que la EO de febrero, esta última se centra en impedir la venta de información por parte de los corredores de datos a entidades extranjeras.

Dado que tanto la Casa Blanca como la Cámara de Representantes están ansiosas por aumentar la presión sobre los intermediarios de datos, las empresas que se centran en vender datos de individuos harían bien en examinar sus prácticas.

“Los intermediarios de datos ciertamente están al tanto de que los formuladores de políticas están preocupados por las prácticas que involucran a adversarios extranjeros e incluso la venta de datos sin restricciones y en otros contextos”, dice Zweifel-Keegan. "Definitivamente no es momento de dormirse en los laureles, porque este es sólo uno de los muchos objetivos políticos en movimiento que se están acercando a las prácticas de los intermediarios de datos".