Tabla de contenido:
En los Estados Unidos, existen varias leyes federales y estatales de notificación de violación de datos, aunque no existe una ley federal integral. En mayo de 2011, la administración de Obama presentó una propuesta integral de seguridad cibernética al Congreso que incluye un requisito de notificación federal de violación de datos. Esto podría mejorar enormemente la seguridad cibernética, pero a partir de enero de 2012, no se había aprobado ninguna legislación federal de notificación de violación de datos. Aquí echamos un vistazo a la seguridad de los datos y la legislación que se está configurando para abordar las infracciones. (Para leer los antecedentes, consulte Los principios básicos de seguridad de TI).
Hacer un caso federal
A nivel federal de EE. UU., Existen leyes y pautas que requieren notificación de incumplimiento para tipos específicos de datos: la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH) para información de atención médica, el Ley Gramm-Leach-Bliley para información financiera, y la orientación de la Oficina de Administración y Presupuesto (OMB) para información personal en poder de las agencias federales.
De acuerdo con la Ley HITECH, los proveedores de servicios de atención médica cubiertos por HIPAA deben notificar a los pacientes "de inmediato" cuando se ha violado su información de salud. El Departamento de Salud y Servicios Humanos (HHS) y los medios deben ser notificados en los casos en que las infracciones afecten a más de 500 personas. Los proveedores de información de salud personal tienen requisitos de notificación de incumplimiento similares, pero deben informar a la Comisión Federal de Comercio, en lugar de a HHS.
De acuerdo con las directrices emitidas por los reguladores bancarios federales en virtud de la Ley Gramm-Leach-Bliley, cuando un banco u otra institución financiera se da cuenta de una violación de datos, debe realizar una investigación para determinar la probabilidad de que la información haya sido o sea mal utilizada. Si el banco determina que se ha producido un mal uso o es razonablemente posible, debe notificar a los clientes afectados lo antes posible.
El aviso al cliente puede retrasarse si la policía determina que la notificación interferirá con una investigación criminal y le proporciona al banco una solicitud por escrito para la demora. El banco debe notificar a sus clientes tan pronto como la notificación ya no interfiera con la investigación. Sin embargo, la notificación no se puede retrasar por vergüenza o inconveniente para el banco.
De acuerdo con la guía de OMB, las agencias federales deben informar todas las violaciones de datos que involucren información de identificación personal dentro de una hora de descubrimiento / detección. Sin embargo, las agencias tienen discreción para informar violaciones de datos fuera de la agencia. Pueden retrasar la notificación para la aplicación de la ley, la seguridad nacional o las necesidades de la agencia.
sueño californiano
A nivel estatal, hay un mosaico de 46 leyes estatales (y el Distrito de Columbia) sobre notificación de violación de datos. California promulgó la primera ley de notificación de violación de datos en 2002, y se ha utilizado como modelo para muchas otras leyes estatales.
Según la ley de California, las empresas deben revelar una violación de datos a los clientes "lo antes posible, sin demoras injustificadas" por escrito. Si la persona o empresa notificante puede demostrar que la notificación costaría más de $ 250, 000 o afectaría a más de 500, 000 personas, entonces se podría usar un aviso sustituto en forma de publicación en el sitio web y notificación a los principales medios estatales. El estatuto exime de notificación cualquier violación de datos en la cual la información personal fue encriptada.
Sin embargo, California, a diferencia de muchos otros estados, no incluye sanciones por no notificar de inmediato a los consumidores sobre una violación de datos. La Conferencia Nacional de Legislaturas Estatales mantiene una lista de leyes estatales de notificación de violación de datos y enlaces a esas leyes.
Europa o busto
En Europa, la Unión Europea aprobó un requisito de notificación de violación de datos en una enmienda de 2009 a su Directiva de privacidad electrónica. Los estados miembros de la Unión Europea tenían hasta el 25 de mayo de 2011 para implementar la enmienda en la legislación nacional.
La enmienda requiere que los "proveedores de servicios de comunicaciones electrónicas disponibles al público" notifiquen a las autoridades nacionales sobre una violación de la información personal que podría resultar en una pérdida económica sustancial y un daño social para los clientes "tan pronto como" se den cuenta de la violación. Además, los clientes afectados deben ser notificados del incumplimiento "sin demora". La notificación debe incluir información sobre las medidas que está tomando la empresa, así como las acciones recomendadas para los clientes afectados.
Se esperan cambios en la Directiva de protección de datos de la UE en 2012, incluido el requisito de que todas las empresas, no solo los proveedores de servicios de comunicaciones electrónicas, notifiquen a las autoridades nacionales y a los clientes afectados dentro de las 24 horas posteriores a la violación de la información personal.
La Ley de Protección de Datos del Reino Unido, anterior a la Directiva de Privacidad Electrónica de la UE, tiene un conjunto integral de requisitos para que las empresas protejan los datos, aunque no contiene un requisito de notificación de violación de datos.
La Oficina del Comisionado de Información del Reino Unido (ICO), que está a cargo de implementar la ley, ha dicho que las compañías deben informar a la ICO las infracciones graves de datos, definidas como infracciones que podrían causar daños potenciales a las personas. La agencia dijo que esperaría que las compañías del Reino Unido le notifiquen sobre violaciones de información personal sin cifrar en 1, 000 o más personas. ICO dijo que no es su responsabilidad informar a los consumidores afectados, pero puede recomendar que la empresa haga pública la infracción "cuando sea claramente en interés de las personas involucradas o si existe un fuerte argumento de interés público para hacerlo".
Violaciones de datos e informes
En respuesta a las infracciones de datos altamente publicitadas y la presión pública, los legisladores y reguladores estadounidenses y europeos están considerando los requisitos de que todas las empresas denuncien infracciones de datos a las autoridades nacionales y a los consumidores afectados. Sin embargo, a partir de enero de 2012, ninguno de esos esfuerzos había resultado en leyes y regulaciones de notificación de violación de datos integrales en los Estados Unidos o la Unión Europea.
