Los CEO que mientan sobre el mal uso de los datos de los consumidores podrían enfrentarse hasta 20 años de cárcel bajo una nueva legislación estadounidense propuesta la semana pasada.
La ley “Mind Your Own Business”, redactada por el senador Ron Wyden, encarcelaría a los altos ejecutivos durante 20 años si se descubriera que sus empresas mentían sobre el mal uso de la información de los ciudadanos.
La legislación sigue una versión borrador conocida como la “Consumer Data Protection Act”, publicada para consulta el 1 de noviembre de 2018.
El proyecto de ley requiere que las empresas presenten informes anuales de protección de datos que confirmen que han cumplido con las regulaciones y que expliquen cualquier deficiencia. Esto se aplica a cualquier empresa que tenga datos de más de 50 millones de personas, o más de un millón de personas si obtienen más de 1 mil millones de dólares en ingresos.
El CEO o director de privacidad debe certificar personalmente ese informe anual. Si certifican deliberadamente algo que no es cierto, entonces los tribunales pueden multarlos con hasta 5 millones de dólares, o una cuarta parte del pago más grande que recibieron de la empresa en los últimos tres años. También se pueden enfrentar hasta 20 años de prisión.
Las empresas tendrán que describir a los consumidores qué información estaban recopilando y qué iban a hacer con ella. También tendrán que proporcionar un sitio que permita a los consumidores optar por la exclusión de cualquier recopilación de datos personales, ya sea a través de un formulario web o una interfaz de programación de aplicaciones (API) que les permita hacerlo a través de un software, como una aplicación móvil.
Estas API tendrán que estar estandarizadas bajo la ley, presumiblemente haciendo que sea más fácil para los desarrolladores usarlas. Esa es una medida que podría facilitar en teoría que los desarrolladores configuren servicios de exclusión masiva dirigidos a diferentes plataformas.
Una empresa puede obligar a sus usuarios a la recopilación de datos personales, pero solo si ofrece una versión alternativa de pago que no monetiza los datos de las personas. Esa versión de pago no puede costar más de lo que la compañía habría ganado con los datos personales del usuario. Además, las empresas deben ofrecer versiones gratuitas del servicio que respeten la privacidad para los estadounidenses de bajos ingresos según la ley propuesta.
Los consumidores tendrán derecho a exigir detalles de cualquier información que se tenga sobre ellos, dónde los obtuvo la empresa y para qué se utilizan.
Muchas medidas en este proyecto de ley se correlacionan estrechamente con el Reglamento General de Protección de Datos (GDPR) de la UE, especialmente el requisito de que las empresas realicen evaluaciones periódicas de la privacidad de los datos en los sistemas de información de alto riesgo (que contienen información confidencial como política u orientación sexual). Destaca los sistemas automáticos de toma de decisiones que utilizan IA para tomar decisiones que afectan a los consumidores.
El proyecto de ley, presentado el jueves, tendría que remitirse a un comité como su próximo paso. Puedes seguir su progreso aquí.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: