Ocho estados de EE. UU. aprobaron leyes de privacidad de datos en 2023, y en 2024, las leyes entrarán en vigor en cuatro, incluidos Oregón, Montana y Texas, cada uno con leyes estatales integrales de privacidad, y Florida, con su ley de Declaración de Derechos Digitales mucho más limitada. . En particular, todas estas leyes comparten similitudes y subrayan una tendencia nacional hacia estándares unificados de protección de datos en el heterogéneo panorama de privacidad de Estados Unidos.
Si bien estas leyes se alinean en muchos aspectos, como eximir la información del empleador y carecer de un derecho de acción privado, también exhiben matices específicos de cada estado. Por ejemplo, el umbral más bajo de Montana para definir la información personal, el enfoque único de Texas para la definición de pequeñas empresas y la categorización detallada de la información personal de Oregon ilustran esta diversidad.
Debido a su pequeña población de alrededor de un millón de personas, Montana fijó su umbral mucho más bajo que el de los demás estados. Debido a ese umbral reducido, es posible que más personas estén sujetas a él que de otra manera. La ley de privacidad de Montana exige que las empresas realicen evaluaciones de protección de datos para identificar áreas de alto riesgo donde se capturan y almacenan datos confidenciales. Esta ley obliga a las empresas a contar con evaluaciones y procesos de protección de datos para garantizar que las organizaciones rindan cuentas.
La ley de privacidad de Texas se destaca como una de las primeras en los EE. UU. que evita los umbrales financieros para su cumplimiento, basando sus criterios en las definiciones de la Administración de Pequeñas Empresas. Este enfoque innovador amplía la aplicabilidad de la ley, garantizando que una gama más amplia de empresas sean responsables de la privacidad de los datos.
La ley de Oregón amplía la definición de información personal para incluir dispositivos vinculados, lo que ilustra el compromiso del estado con la protección integral de datos. Cubre varias huellas digitales, desde relojes de fitness hasta registros médicos en línea. Oregón también incluye referencias específicas al género y a las personas transgénero en su definición de información confidencial, lo que muestra un enfoque matizado de la privacidad.
Las leyes demuestran una necesidad imperiosa de que las empresas evalúen y garanticen adendas de protección de datos en sus procesos. La rendición de cuentas es un aspecto crítico de estas leyes, lo que refleja el aumento de los derechos y la conciencia de los interesados. Las organizaciones deben establecer procedimientos que permitan a las personas ejercer sus derechos de privacidad de manera efectiva, lo que implica invertir en plataformas de gestión y monitorear las actividades de procesamiento para garantizar el cumplimiento.
La IA generativa y sus usos están recibiendo considerable atención y escrutinio
El auge de la inteligencia artificial generativa (GenAI) presenta desafíos únicos en el sector de la privacidad. A medida que las tecnologías de IA se vuelven parte integral de las empresas, la necesidad de políticas y procesos estructurados para gestionar la implementación de la IA es primordial. El Instituto Nacional de Estándares y Tecnología (NIST) ha desarrollado un marco para gestionar los riesgos de la IA, centrándose en las estrategias de diseño e implementación.
En términos de gobernanza, a menudo vemos que la IA se entrega a la privacidad en lugar de a la seguridad porque hay mucha superposición, pero en términos de impactos tácticos, hay bastantes. Los modelos de lenguajes grandes (LLM) y otras tecnologías de inteligencia artificial a menudo utilizan una gran cantidad de datos no estructurados, lo que genera preocupaciones críticas sobre la categorización, el etiquetado y la seguridad de los datos. La posibilidad de que la IA filtre inadvertidamente información confidencial es un problema apremiante que requiere un seguimiento atento y una gobernanza sólida.
También es importante recordar que estos sistemas de IA necesitan capacitación y lo que utilizan para entrenar sistemas de IA es su información personal. La reciente controversia en torno El plan de Zoom para utilizar datos personales para el entrenamiento de IA destaca la delgada línea entre el cumplimiento legal y la percepción pública.
Este año también es fundamental para las leyes de privacidad, ya que se cruzan con el floreciente dominio de GenAI. La rápida adopción de tecnologías de inteligencia artificial plantea nuevos desafíos para la privacidad de los datos, particularmente en ausencia de legislación específica o marcos estandarizados. Las implicaciones de la IA para la privacidad varían, desde sesgos en los algoritmos de toma de decisiones hasta el uso de información personal en el entrenamiento de IA. A medida que la IA remodela el panorama, las empresas deben permanecer alerta y garantizar el cumplimiento de las pautas emergentes de IA y las leyes estatales de privacidad en evolución.
Cuatro tendencias emergentes clave en privacidad de datos que las empresas deberían esperar ver este añor
Las empresas deberían esperar ver muchas tendencias emergentes en privacidad de datos este año, que incluyen:
-
Si ha mirado algunos de los mapas de EE. UU. en particular, el noreste se está iluminando como un árbol de Navidad debido a los proyectos de ley de privacidad que se están introduciendo. Una de las tendencias es que los estados sigan adoptando leyes integrales de privacidad. No sabemos cuántos se aprobarán este año, pero seguramente habrá mucha discusión activa.
-
La IA será una tendencia importante, ya que las empresas verán consecuencias no deseadas por su uso, lo que dará lugar a infracciones y multas debido a la rápida adopción de la IA sin ninguna legislación real ni marcos estandarizados. En el frente de la ley de privacidad estatal de EE. UU., habrá un área cada vez mayor de aplicación por parte de la Comisión Federal de Comercio (FTC), que ha dejado claro que tiene la intención de ser muy agresiva a la hora de aplicarla.
-
2024 es un año de elecciones presidenciales en los EE. UU., lo que creará conciencia y prestará más atención a la privacidad de los datos. La gente todavía está algo desligada del último ciclo electoral en términos de preocupaciones sobre la privacidad del voto por correo y en línea, que pueden llegar a las prácticas comerciales. La privacidad de los niños también está ganando importancia y estados como Connecticut introducen requisitos adicionales.
-
Las empresas también deberían anticipar que la soberanía de los datos será una tendencia en 2024. Si bien siempre ha habido esa discusión sobre la localización de datos, todavía se divide en soberanía de los datos, es decir, quién controla esos datos, sus residentes y dónde viven. Las multinacionales deben dedicar más tiempo a comprender dónde residen sus datos y los requisitos de estas obligaciones internacionales para cumplir con los requisitos de residencia y soberanía de los datos para cumplir con las leyes internacionales.
En general, este es un momento para que las empresas se sienten y analicen en profundidad lo que están procesando, qué tipos de riesgo tienen, cómo gestionar este riesgo y sus planes para mitigar el riesgo que han identificado. Este primer paso es identificar el riesgo y luego garantizar que, con el riesgo identificado, las empresas planifiquen una estrategia para cumplir con todas estas nuevas regulaciones que existen con la IA asumiendo el control. Las organizaciones deben considerar si están utilizando IA internamente, si los empleados están usando IA y cómo asegurarse de que conozcan y realicen un seguimiento de esta información.
Fuente Original darkreading
