La mayoría de los productos IoT se fabrican en China y la mayoría de esos productos IoT se venden después en Estados Unidos, incluida California. Por ello, cabe mencionar que el gobernador de California, Jerry Brown, aprobó la semana pasada la ley SB-327, la primera ley de seguridad de la información de Estados Unidos dirigida específicamente al IoT.
La SB-327 entrará en vigor el 1 de enero de 2020 y exigirá que los fabricantes de dispositivos conectados -esencialmente, dispositivos IoT- estén equipados con medidas de seguridad "razonables". Estas medidas de seguridad deben ser apropiadas para la naturaleza de los dispositivos y para la información que recopilan y contienen, y deben estar diseñadas para proteger los dispositivos frente al acceso, la destrucción, el uso, la modificación o la divulgación no autorizados. La SB-327 también exige que los dispositivos a los que se pueda acceder fuera de una red de área local estén equipados con una contraseña única o permitan a sus usuarios generar su propia contraseña.
Es importante destacar que la SB-327 no impone ningún requisito a los usuarios de dispositivos IoT, sino a los fabricantes. Esto significará esencialmente que las empresas que fabriquen dispositivos que cumplan los requisitos tendrán que rehacer o volver a desarrollar o incluso reinventar sus productos IoT.
También es importante señalar que esta nueva ley de California no sólo se aplicará a los fabricantes californianos. Se aplicará a cualquier empresa que fabrique -por sí misma o a través de un tercero contratante- dispositivos cualificados que se venderán o se pondrán a la venta en California. Lo más importante es que no existe un umbral de ventas de productos en California. En consecuencia, prácticamente cualquier fabricante, en cualquier lugar, podría estar sujeto al SB-327.
Cumplir con la SB-327 puede ser tan sencillo como asignar contraseñas generadas aleatoriamente a cada uno de sus dispositivos IoT o reequipar el software o firmware de su dispositivo IoT para proporcionar una protección de seguridad más sólida. Pero para algunos fabricantes -especialmente los que fabrican dispositivos que recogen o contienen información sensible- el cumplimiento puede ser más complicado y puede requerir una reinvención desde cero. Y como estamos en California, es de esperar que te demanden (y te vuelvan a demandar) si no cumples estas nuevas leyes.
Cualquier empresa que haya tenido que lidiar con la Proposición 65 de California sabe de qué estamos hablando. Hablando de la Proposición 65 de California, ésta es otra ley de California que las empresas que fabrican en China y venden en California deben conocer. La Proposición 65 de California regula cualquier sustancia que, según el Estado de California, tenga una probabilidad de 1 entre 100.000 de causar cáncer en un periodo de 70 años o defectos de nacimiento u otros daños reproductivos. Se prohíbe a las empresas exponer conscientemente a las personas a las sustancias enumeradas sin advertirles de forma clara y razonable.
Sin embargo, aquí está el gran problema de la Propuesta 65: una empresa cuyo producto puede causar cáncer (según la definición anterior) puede ser demandada por un particular por tener ese producto en California. Lo que esto significa es que si usted tiene un producto fabricado en China (o en cualquier otro lugar) y ese producto termina en California, corre el riesgo de tener que pagar mucho dinero a los abogados para defenderse de tal demanda y de tener que pagar al demandante en tal demanda mucho dinero para hacer que desaparezca.
Y permítanme decirles que no se trata de un riesgo hipotético; lo sé porque las oficinas de mi bufete de abogados en Los Ángeles y San Francisco tratan este tipo de casos en nombre de nuestros clientes (estadounidenses, europeos y asiáticos) todo el tiempo.
Si usted vende sus productos en los Estados Unidos, debe calcular que eso incluirá California y debe calcular que tendrá que lidiar con SB-327 y/o Proposición 65 y no diga que no le advertimos.
¿Qué ves ahí fuera?
Nota del editor: Este artículo ha sido escrito por Griffen Thorne, abogado especializado en ciberseguridad de nuestra oficina de Los Ángeles.
