Seguridad cibernética

El entorno legal y regulatorio

0 0 5 minutos de lectura
Data Breach Notification: The Legal and Regulatory Environment

En los Estados Unidos, la protección de datos se ha convertido en una prioridad principal entre los gobiernos y las personas. Con una mayor dependencia de la tecnología durante la pandemia de COVID-19, especialmente, proteger los datos confidenciales es más importante que nunca.

En 2011, la administración de Obama inició discusiones federales sobre las regulaciones de notificación de violación de datos. Cuatro años más tarde, pidió leyes de privacidad de datos más estrictas, afirmando que Internet “crea enormes oportunidades pero también enormes vulnerabilidades”. Desde entonces, los estados han desarrollado sus propias pautas y leyes en torno a las notificaciones de violación de datos, algunas de las cuales ya tienen más de 10 años. Aunque en general son similares, existen diferentes regímenes de divulgación; algunos tienen un desglose más complejo con penas más duras.

Todos los que trabajan con datos calificados deben comprender los entornos legales y reglamentarios de las infracciones en sus estados. (Lea también: Protección de datos y privacidad de EE. UU. en 2023).

Hacer un caso federal

A nivel federal, un caso legal puede caer en algunas categorías diferentes según los datos a los que se haya accedido.

Para el cuidado de la salud y las organizaciones e industrias que deben cumplir con la legislación, la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y la Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH) protegen estrictamente los datos médicos y la información de salud del paciente. De manera similar, la Ley Gramm-Leach-Bliley (GLBA) es esencial para salvaguardar los datos financieros. Además, la Conferencia Nacional de Legislaturas Estatales (NCSL) tiene una lista completa de estados y sus leyes de notificación de incumplimiento aplicables.

Estudio de caso: El ataque de ransomware del Hollywood Presbyterian Medical Center

En 2016, el Centro Médico Presbiteriano de Hollywood en Los Ángeles enfrentó un ataque de ransomware en sus datos personales. Después de notificar de inmediato a los consumidores y pacientes, los ejecutivos del hospital anunciaron que habían pagado el rescate, que equivalía a $ 17,000 en moneda Bitcoin, afirmando que los datos eran demasiado grandes para perderlos.

LEER
Por qué la protección contra riesgos digitales (DRP) es importante para todas las empresas

Este tipo de violación creó un caso federal con el apoyo de una investigación del FBI. Más recientemente, ta Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. publicó un aviso para alertar al público de que el pago de rescate que exigen los ciberdelincuentes puede ser una violación de la ley de EE. UU.

Sin embargo, si el hospital no hubiera hecho algún tipo de anuncio, habría violado directamente las políticas de notificación de HIPAA, HITECH y el Departamento de Servicios y Salud Humana (HHS). Similar a lo que sucedió con los datos de este paciente, una violación como esta ha sido noticia recientemente en el mundo financiero.

Publicaciones relacionadas

Estudio de caso: Multa de protección de datos del consumidor de Mortgage Solutions

En 2023, el servicio de corretaje Mortgage Solutions enfrentó una multa de $120,000 después de que la Comisión Federal de Comercio (FTC) declarara que el servicio no protegió la información del cliente. La FTC impuso esta sanción civil por violar la GLBA, la Ley de informes crediticios justos (FCRA) y la sección cinco de la Ley de la FTC.

Este caso surgió debido a una afirmación de que Mortgage Solutions había publicado datos personales confidenciales pertenecientes a sus clientes, incluidas las fuentes de ingresos, los impuestos y la información de salud, en respuesta a las críticas negativas de Yelp de los consumidores y solicitantes de hipotecas. (Lea también: Violaciones masivas de datos: la verdad que quizás no sepa).

Establecimiento de leyes de incumplimiento en California

Si bien estos actos son invaluables para ayudar a los consumidores y al público en general a comprender las violaciones de datos a nivel federal, los estados tienen sus propios desgloses de las leyes de violación de datos. California, por ejemplo, es uno de los estados más minuciosos en lo que respecta a las regulaciones de notificación.

La ley de California requiere que una empresa o agencia estatal notifique a cualquier residente de California cuya sin cifrar la información personal, tal como se define, fue adquirida o se cree razonablemente que ha sido adquirida por una persona no autorizada, tan pronto como sea posible. El estado define claramente lo que califica como información personal, desde números de Seguro Social hasta datos biométricos. Con la nueva tecnología que evoluciona a diario, elementos como la computación perimetral y el Internet de las cosas (IoT) transportan datos invaluables que las empresas deben proteger a toda costa.

Si las empresas de California violan esta ley o no toman medidas de ninguna manera, las sanciones pueden ascender a $250,000. Específicamente, las fallas de notificación o las infracciones pueden acumular cientos o miles de dólares en multas según el cronograma y la respuesta. Esta violación de notificación fue un desarrollo reciente y no siempre forma parte de la ley.

Aprendiendo de Europa

A partir de enero de 2023, el Consejo Europeo de Protección de Datos (EDPB) ha establecido pautas estrictas sobre las notificaciones de violación de datos. Varios países de Europa han sido notoriamente cautelosos sobre cómo las empresas usan los datos. Por ejemplo, en 2023, el Comité de Protección de Datos de Irlanda envió a Facebook una orden para suspender la transferencia de datos de usuarios europeos a los Estados Unidos. El incumplimiento de esta decisión podría haberle costado a Facebook hasta 2800 millones de dólares.

A través de estas normas y acciones, Europa se ha preparado para una brecha que venga de cualquier dirección. Las pautas de EDPB describen que las empresas deben comunicarse con las autoridades y las personas cuyos datos hayan estado involucrados en una violación. (Sin embargo, vale la pena mencionar que la notificación a un regulador solo ocurre una vez que el controlador de datos, es decir, la empresa comercial a cargo de los datos, ha descubierto la infracción. Y para entonces, la infracción podría haber durado semanas, meses o incluso años).

El documento también define los diferentes tipos de infracciones, las multas y sanciones correspondientes y las formas de trabajar con el Reglamento General de Protección de Datos (GDPR) durante estos casos.

Algunos ejemplos de infracciones que podrían ocurrir, como lo describe el EDPB, incluyen:

El enfoque clave aquí es que Estados Unidos puede aprender de Europa.

Si bien los estados individuales tienen sus propios conjuntos de reglas y regulaciones sobre las notificaciones de violación de datos, el gobierno de los EE. UU. debe desarrollar una ley federal de seguridad cibernética general. Esta adición proporcionaría otra capa de protección para el mundo de datos en constante crecimiento. (Lea también: La mejor manera de combatir el ransomware en 2023).

Conclusión

A medida que el mundo de la tecnología evoluciona y utiliza más datos con cada innovación, las empresas deben proteger esa información. De lo contrario, podrían enfrentar infracciones que los obligarán a seguir las leyes de notificación de infracciones de datos de manera más estricta. Para detener este efecto dominó, EE. UU. debería ver más regulaciones a nivel federal.

0 0 5 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba