En octubre, la Oficina de Protección Financiera del Consumidor (CFPB) propuso un conjunto de reglas que, de implementarse, transformarían la forma en que las instituciones financieras manejan los datos personales de sus clientes. Las reglas devuelven el control de esos datos a manos de los estadounidenses comunes y corrientes, al tiempo que socavan la economía de los intermediarios de datos y aumentan las opciones y la competencia de los clientes. Más allá de estos efectos económicos, las reglas tienen importantes beneficios en materia de seguridad de los datos. Las reglas de la CFPB se alinean con una idea clave de seguridad: el principio de desacoplamiento. Al separar qué empresas ven qué partes de nuestros datos y en qué contextos, podemos obtener control sobre nuestros datos (mejorando la privacidad) y fortalecer la infraestructura de la nube contra ataques (mejorando la seguridad). Los funcionarios del CFPB han descrito las nuevas reglas como un intento de acelerar un cambio hacia la «banca abierta», y después de un período inicial de comentarios sobre las nuevas reglas cerrado a fines del año pasado, Rohit Chopra, director del CFPB, ha dicho que le gustaría vea la regla finalizada para este otoño. En este momento, innumerables corredores de datos controlan sus hábitos de compra. Cuando compras algo con tarjeta de crédito, esa transacción se comparte con terceros desconocidos. Cuando obtiene un préstamo para un automóvil o una hipoteca para una casa, esa información, junto con su número de Seguro Social y otros datos confidenciales, también se comparte con terceros desconocidos. No tienes otra opción en el asunto. Las empresas le informarán libremente esto en sus exenciones de responsabilidad sobre el intercambio de información personal: que no puede optar por no compartir datos con empresas «afiliadas». Dado que la mayoría de nosotros no podemos evitar razonablemente obtener un préstamo o usar una tarjeta de crédito, nos vemos obligados a compartir nuestros datos. Peor aún, no tienes derecho ni siquiera a ver tus datos ni a examinar su exactitud, y mucho menos a limitar su difusión. Las reglas simples y prácticas de la CFPB solucionarían este problema. Las reglas garantizarían que las personas puedan obtener sus propios datos financieros sin costo, controlar con quién se comparten y elegir con quién hacer negocios en la industria financiera. Esto cambiaría la economía de la financiación al consumo y la economía de datos ilícitos que existe hoy. La mejor manera para que las empresas de servicios financieros cumplan las reglas del CFPB sería aplicar el principio de desacoplamiento de manera amplia. Los datos son un activo tóxico y, a largo plazo, descubrirán que es mejor no estar sentados sobre una montaña de datos financieros mal protegidos. Eliminar los datos es mejor para sus usuarios y reduce la posibilidad de que incurran en gastos por un ataque de ransomware o una solución de infracción. Tal como están las cosas, la recopilación y venta de datos de consumidores es demasiado lucrativa para que las empresas digan no a participar en la economía de los intermediarios de datos, y las reglas de la CFPB pueden ayudar a eliminar el incentivo para que las empresas compren y vendan estos activos tóxicos. Además, en un mercado libre de servicios financieros, los usuarios tendrán la opción de elegir empresas más responsables que también pueden ser menos costosas, gracias a los ahorros derivados de una mayor seguridad. Actualmente, las agencias de crédito y los corredores de datos ganan dinero tanto de los prestamistas que solicitan informes como de los consumidores que solicitan sus datos y buscan servicios que los protejan contra el uso indebido de ellos. Las nuevas reglas de la CFPB (y los cambios técnicos necesarios para cumplirlas) eliminarían muchas de esas corrientes de ingresos. Estas empresas tienen muchas funciones, algunas de las cuales queremos y otras no, pero como consumidores no tenemos opción de participar en la compra y venta de nuestros datos. Dar a las personas derechos sobre su información financiera reduciría el trabajo de las agencias de crédito a su función principal: evaluar el riesgo de los prestatarios. Un mercado de servicios financieros libre y debidamente regulado también significa elección y competencia, algo que la industria necesita urgentemente. Equifax, Transunion y Experian constituyen un oligopolio de larga data en materia de informes crediticios. A pesar de ser responsable de una de las mayores violaciones de datos de todos los tiempos en 2017, la oficina de crédito Equifax todavía existe, lo que ilustra que la naturaleza oligopólica de este mercado significa que las empresas enfrentan pocas consecuencias por su mala conducta. En el lado bancario, la consolidación constante del sector bancario ha dado como resultado que un pequeño número de bancos muy grandes posean la mayoría de los depósitos y, por tanto, la mayoría de los datos financieros. Detrás de escena, una variedad de cámaras de compensación de datos financieros (compañías de las que la mayoría de nosotros nunca hemos oído hablar) son vulneradas todo el tiempo, perdiendo nuestros datos personales a manos de estafadores, ladrones de identidad y gobiernos extranjeros. Las nuevas reglas de la CFPB requerirían que las instituciones que manejan datos financieros proporcionen funciones simples pero esenciales a los consumidores que puedan brindar beneficios de seguridad. Esto incluiría el uso de interfaces de programación de aplicaciones (API) para software, eliminando la barrera a la interoperabilidad que presentan las interfaces barrocas, no estándar y no programáticas de hoy para acceder a los datos. Cada una de estas interfaces permitiría la interoperabilidad y la competencia potencial. La CFPB señala que algunas empresas han intentado afirmar que sus sistemas actuales brindan seguridad porque son difíciles de usar. Como expertos en seguridad, no estamos de acuerdo: estos sistemas financieros envejecidos son notoriamente inseguros y simplemente dependen de la seguridad a través de la oscuridad. Además, una mayor estandarización y apertura de los datos financieros con mecanismos para la privacidad y el control del consumidor significa menos guardianes. La CFPB señala que ha surgido un pequeño número de agregadores de datos en virtud de la complejidad y opacidad de los sistemas actuales. Estos agregadores aportan poco valor económico al país en su conjunto; extraen valor de todos nosotros y al mismo tiempo obstaculizan la competencia y el dinamismo. Los pocos nuevos participantes en este espacio se han dado cuenta de lo valioso que es para ellos presentar API estándar para estos sistemas mientras gestionan las desagradables tuberías detrás de escena. Además, al eliminar la opacidad del ecosistema de datos financieros actual, la CFPB puede agregar un nuevo requisito de trazabilidad y certificación de datos: las empresas solo pueden utilizar los datos de los consumidores cuando sea absolutamente necesario para brindar un servicio que el consumidor desea. Esta sería otra gran victoria para la privacidad de los datos financieros de los consumidores. Podría parecer sorprendente que un conjunto de reglas diseñadas para mejorar la competencia también mejore la seguridad y la privacidad, pero no debería ser así. Cuando las empresas pueden tomar decisiones comerciales sin preocuparse por perder clientes, la seguridad y la privacidad siempre se ven afectadas. La centralización de datos también significa centralización del control y del poder económico y una disminución de la competencia. Si se implementa esta regla, representará un paso importante y esperado para mejorar la competencia, la privacidad y la seguridad. Pero hay más que se puede y se debe hacer. Con el tiempo, esperamos ver más marcos regulatorios que brinden a los consumidores un mayor control de sus datos y una mayor adopción de la tecnología y la arquitectura de desacoplamiento para proteger todos nuestros datos personales, dondequiera que estén. Este ensayo fue escrito con Barath Raghavan y publicado originalmente en Cyberscoop. Etiquetas: banca, privacidad de datos, privacidad, regulación Publicado el 31 de enero de 2024 a las 7:04 •11 comentarios
Deja una respuesta