La FTC se pone dura con la seguridad de los datos: 5 conclusiones vitales

Una parte de los consejos de la Comisión Federal de Comercio (FTC) sobre la seguridad de los datos dice: tener un plan de seguridad sólido para recopilar sólo los [datos] que necesita, mantenerlos a salvo y eliminarlos de forma segura puede ayudarle a cumplir sus obligaciones legales de proteger los datos sensibles.

Entonces, ¿qué ocurre cuando no se sigue este sabio consejo? Pues bien, parece que la FTC está adoptando una postura mucho más estricta en cuanto a las obligaciones de cumplimiento de las órdenes de consentimiento que firma con las empresas para resolver las acciones de aplicación relacionadas con las violaciones de datos.

La FTC ha emitido órdenes de consentimiento por las que se exige a dos empresas que adopten y apliquen programas completos de seguridad de la información y evaluaciones anuales. Las empresas, ClixSense e i-Dressup, supuestamente no tomaron medidas razonables para proteger la información personal de los consumidores.

En una declaración adjunta, la FTC dijo:

[Las órdenes] "incluyen nuevos requisitos" [para] "ofrecer mayores garantías de que los datos de los consumidores estarán protegidos en el futuro". [La FTC está] "especialmente comprometida a reforzar las... disposiciones relativas a las evaluaciones de seguridad de los datos de las empresas por parte de terceros" [en futuras órdenes de consentimiento].

Acusaciones contra ClixSense

ClixSense es un sitio web de recompensas que paga a sus usuarios por ver anuncios y realizar otras tareas en línea. La empresa recopila información personal como nombres, direcciones, fechas de nacimiento, credenciales de cuentas y, en algunos casos, números de la seguridad social de sus usuarios.

Según la denuncia de la FTC, ClixSense publicó en su sitio web una FAQ engañosa en la que afirmaba que "utiliza las últimas técnicas de seguridad y encriptación para garantizar la seguridad de la información de su cuenta". La FTC alegó que, contrariamente a esta caracterización, ClixSense no adoptó ni siquiera las medidas mínimas de seguridad de datos prescritas por la mayoría de los profesionales de la seguridad de datos.

Por ejemplo, ClixSense mantuvo las contraseñas en texto claro y no cambió los inicios de sesión por defecto para los recursos de red.La FTC alegó además que ClixSense incurrió en prácticas de seguridad no razonables cuando descargó y utilizó una extensión del navegador que inadvertidamente dio a los hackers acceso a la red interna de la empresa, exponiendo así la información personal de 6,6 millones de consumidores.

Acusaciones contra i-Dressup

El sitio web i-Dressup.com permitía a los usuarios jugar a juegos de vestir, diseñar ropa y decorar espacios en línea. La FTC alegó que los operadores del sitio sabían que muchos de sus usuarios eran menores de 13 años, pero no cumplían con los requisitos de consentimiento paterno y seguridad de los datos de la Ley de Protección de la Privacidad de los Niños en Línea. Con respecto a este último requisito, la FTC alegó que i-Dressup mantenía la información personal de los usuarios en texto claro y no evaluaba su vulnerabilidad a los ataques conocidos o razonablemente previsibles, ni aplicaba salvaguardias contra las intrusiones ni controlaba sus registros para detectar incidentes de seguridad.

La FTC alegó que un pirata informático explotó estas vulnerabilidades y obtuvo acceso a la información de más de 2 millones de usuarios, incluidos 245.000 usuarios que indicaron que eran niños.

Programas obligatorios de seguridad de la información
y las autoevaluaciones anuales

Al igual que las anteriores órdenes de consentimiento de la FTC en acciones de aplicación de la seguridad de la información, las nuevas órdenes exigen a las respectivas empresas que apliquen programas de seguridad de la información rigurosos y completos. Cada empresa debe designar a uno o más empleados como responsables del programa, identificar los riesgos internos y externos para la información personal, y diseñar, aplicar, probar y supervisar la eficacia de las salvaguardias que abordan los riesgos.

Las empresas también deben contratar a proveedores de servicios capaces de proteger la información personal y evaluar y ajustar sus programas según sea necesario. Además, las empresas deben contratar a asesores externos independientes para evaluar la eficacia de sus programas.

Es importante destacar que las nuevas órdenes de consentimiento contienen requisitos explícitos de calendario y documentación para las autoevaluaciones de las empresas. Las órdenes especifican que las empresas deben realizar autoevaluaciones de los riesgos y de la suficiencia de las salvaguardias de seguridad para hacer frente a esos riesgos al menos una vez al año y después de una divulgación no autorizada de información personal.

Cada empresa también debe evaluar y ajustar el programa de seguridad de la información al menos una vez al año o a la luz de los cambios en el negocio o las operaciones o después de un incidente de divulgación no autorizada. Las órdenes también exigen que las empresas documenten los riesgos internos y externos pertinentes y las salvaguardias correspondientes, y exigen que cada empresa documente el "contenido, la aplicación y el mantenimiento" del programa.

Las empresas deben obtener evaluaciones iniciales y bienales de los evaluadores externos. Las nuevas órdenes de consentimiento modifican el alcance de estas evaluaciones. Las órdenes de consentimiento anteriores exigían que el evaluador externo expusiera las salvaguardias específicas aplicadas por la empresa, explicara por qué las salvaguardias son adecuadas, explicara cómo las salvaguardias proporcionan protección a la información personal de los consumidores recopilada por la empresa y certificara que el programa de la empresa funciona con suficiente eficacia.

El evaluador externo debe ahora determinar si la empresa ha implementado las disposiciones del programa de seguridad de la información obligatorio, evaluar la eficacia de la implementación y la gestión del programa e identificar cualquier brecha o debilidad en el programa.

A diferencia de las órdenes anteriores, las nuevas órdenes de consentimiento prohíben específicamente a las empresas hacer declaraciones falsas a los evaluadores externos. Cada orden también requiere que la empresa proporcione a la FTC una certificación anual de un alto directivo o funcionario que indique que la empresa ha establecido, implementado y mantenido el programa de seguridad de la información requerido y que no tiene conocimiento de ningún incumplimiento material que no haya sido corregido o revelado a la FTC.

La certificación también debe describir brevemente cualquier divulgación no autorizada de información personal. Esta certificación debe basarse en el conocimiento personal o en expertos en la materia en los que el directivo o funcionario confíe razonablemente. El nuevo requisito de certificación eleva el listón con respecto a las órdenes de consentimiento anteriores, que exigían a las empresas presentar informes "verdaderos y precisos" a la FTC.

Contexto de LabMD para los nuevos requisitos

Los nuevos requisitos pueden considerarse en parte una respuesta al resultado de la acción de aplicación de la FTC contra LabMD. En esa acción, la FTC consideró que LabMD "no aplicó medidas de seguridad razonables" y, por tanto, "las prácticas de seguridad de datos de LabMD eran desleales según la Sección 5". Sin embargo, un panel del Tribunal de Apelación de los Estados Unidos para el Undécimo Circuito consideró que la orden de cese y desistimiento de la FTC era inaplicable porque "ordenaba una revisión completa del programa de seguridad de datos de LabMD y [decía] muy poco sobre cómo se iba a llevar a cabo". Esta conclusión puede haber impulsado a la FTC a revisar sus órdenes de consentimiento e introducir los cambios descritos anteriormente.

Los 5 puntos clave

He aquí las cinco claves para las empresas que manejan información personal en vista de las nuevas órdenes de consentimiento:

  1. Confirmar la gobernanza. Designe formalmente a un directivo que coordine y sea responsable del programa de seguridad de la información. La persona designada debe tener la autoridad adecuada para supervisar el programa e interactuar regularmente con cualquier experto en la materia que esté diseñando los controles y aplicando el programa.
  2. Evaluar el programa de seguridad actual a la luz de la nueva postura más estricta de la FTC. Revisar el programa de seguridad de la información comparándolo con un marco estándar del sector o un marco integrado personalizado que aborde cualquier obligación reglamentaria específica para identificar los riesgos para la información personal y la suficiencia de las salvaguardias establecidas para abordar los riesgos. Revise las prácticas de la empresa en materia de encriptación, autenticación, gestión de contraseñas y desidentificación de datos. Asimismo, compruebe y supervise la eficacia de las salvaguardias (por ejemplo, realice pruebas de vulnerabilidad y penetración, pruebas de simulación de intrusión y formación de los empleados).
  3. Realizar evaluaciones independientes del programa de seguridad anualmente y después de una violación. Revisar el programa de seguridad de la información anualmente en vista de los cambios en las operaciones o los procesos empresariales. Llevar a cabo revisiones y pruebas adicionales inmediatamente después de una infracción o de un cambio importante en la empresa. Identificar y abordar cualquier recomendación de seguridad de evaluaciones anteriores que aún no se haya aplicado porque los reguladores pueden centrarse en estos aspectos del programa de seguridad.
  4. Instituir cuestionarios de evaluación de proveedores y programas de gestión de riesgos para demostrar la capacidad de los proveedores de proteger la información personal. Tanto las órdenes de consentimiento recientes como las más antiguas exigen a las empresas que "seleccionen y contraten proveedores de servicios capaces" de salvaguardar la información personal de los consumidores. El Reglamento General de Protección de Datos y la Ley de Privacidad del Consumidor de California imponen obligaciones similares. La inclusión de cuestionarios de seguridad para los proveedores durante el proceso de contratación ayudará a cumplir estas obligaciones y a ajustarse a las mejores prácticas.
  5. Crear una estrategia para las comunicaciones de evaluación bajo privilegio legal. Realice evaluaciones voluntarias utilizando marcos que proporcionen privilegio legal, cuando sea posible, para permitir discusiones francas sobre el programa de seguridad de la información. Dicho esto, considere la posibilidad de proporcionar evaluaciones escritas y otros materiales voluntariamente si lo solicita un regulador, dependiendo de las circunstancias, el contexto y el contenido de los materiales.

Fuentes, créditos y lecturas adicionales: Fenwick & West, Declaración de la FTC, Órdenes de consentimiento de la FTC

Este artículo se proporciona únicamente con fines informativos. El Grupo de Privacidad de Datos le recomienda encarecidamente que contrate los servicios de un profesional con experiencia en privacidad de datos cuando se prepare para cumplir con cualquier legislación de protección de datos y privacidad.

Entradas relacionadas