En Frank Sinatra y Jay-Z Ambos cantaron: «Si puedo triunfar aquí, puedo triunfar en cualquier lugar». Esa letra es especialmente válida para las empresas que procesan la información privada de cualquier residente del estado de Nueva York.
En Ley para Detener los Hackeos y Mejorar la Seguridad de los Datos Electrónicos (“SHIELD”) –aprobada en julio de 2019– amplía el alcance de la ley de notificación de violaciones de datos del estado de Nueva York para incluir:
- Una definición ampliada de lo que se considera “información personal”
- Nuevas medidas prescriptivas sobre cómo abordar adecuadamente proteger esos datos
- Una dimensión de extraterritorialidad
Para un estado con una población de más de 20 millones, la ley ahora se aplica a cualquier persona o empresa que procese la información de un residente de Nueva York, independientemente de si esa organización realmente realiza negocios en Nueva York.
La ley de violación de datos de Nueva York originalmente definía lo cubierto Información personal (IP) como “cualquier información concerniente a una persona física, que, por su nombre, número, marca personal u otro identificador, pueda utilizarse para identificar a dicha persona física”.
La Ley SHIELD amplió efectivamente esa definición de lo que se considera “Información Privada”: incluye elementos de datos como el número de Seguro Social, el número de licencia de conducir o tarjeta de identificación de no conductor, información biométrica, número de cuenta, número de tarjeta de crédito o débito en combinación con un código de seguridad o contraseña.
Un nuevo comienzo (para proteger los datos)
¿Cómo pueden las organizaciones? Lograr el cumplimiento de la Ley NY ShieldNecesitan visibilidad de los datos que deben protegerse según los nuevos requisitos y la capacidad de determinar cuyo Son datosAdemás, las organizaciones cubiertas deben poder distinguir entre empleados y clientes, sobre todo porque las organizaciones mantendrán distintos tipos de datos de ambos.
El primer paso en este proceso es conocimiento sus datosSin conocimiento de qué datos han sido afectados, implementar el proceso de notificación de violaciones de datos, incluso para accesos no autorizados, es una perspectiva desalentadora.
La capacidad de inventariar con precisión los fondos de datos de una organización, y poner en contexto la definición ampliada de lo que constituye información personal, es fundamental para establecer qué controles se implementan y mantienen para minimizar el impacto de una violación de datos.
Seguridad ¡Por favor!
El siguiente paso en la aplicación de la Ley SHIELD ya está aquí: la disposición sobre “requisitos de seguridad razonables” ha entrado en vigor: las empresas que procesan información personal de los residentes de Nueva York ahora deben desarrollar, implementar y mantener legalmente salvaguardas razonables para proteger la seguridad, confidencialidad e integridad de esos datos.
Los nuevos requisitos de seguridad razonables bajo la Sección 899-bb de la Ley General de Negocios incluyen garantías administrativas, técnicas y físicas: esto incluye medidas prescriptivas tales como realizar evaluaciones de riesgos, sesiones de capacitación de empleados, debida diligencia en los contratos con proveedores y eliminación oportuna de datos.
El incumplimiento de estos requisitos podría resultar en sanciones civiles de hasta $5,000 por cada infracción cometida por la empresa y sus empleados. Y si estos incumplimientos derivan en un incidente de seguridad de datos, las sanciones económicas podrían ser considerables.
Ocho millones de historias ahí fuera (y su información personal)
Las organizaciones financieras sujetas a la Ley Gramm-Leach Bliley (GLBA) y las organizaciones de atención médica sujetas a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) Es posible que ya estén preparados, ya que estos estatutos federales tienen disposiciones de seguridad y privacidad. Cómo manejar la información personalSin embargo, estas organizaciones aún tendrán que rendir cuentas de los datos según la definición ampliada de información personal de la Ley SHIELD.
Todos los demás, es decir, las muchas (muchísimas) empresas que caen dentro del alcance de la Ley SHIELD, deberán repensar su postura de seguridad y cómo gestionan sus reservas de datos.
Aquí es donde entra BigIDComprender la definición ampliada de lo que constituye información personal según la Ley es crucial para garantizar que se tomen las medidas adecuadas para protegerla. Las organizaciones deben poder:
- determinar OMS es residente del estado de Nueva York;
- automatizar su conocimiento de dónde Se almacenan los datos de los residentes del estado de Nueva York; y
- Determinar con precisión cómo se almacenan los identificadores, como el número de cuenta, las contraseñas y los datos biométricos. relatar a ese individuo.
BigID está diseñado para automatizar el proceso de creación de un inventario de información personal mediante la aplicación técnicas de aprendizaje automático que puede determinar la residencia, clasificar con precisión los identificadores y establecer cómo se correlacionan con las personas. Además, el inventario de datos personales puede facilitar un enfoque más ágil para el proceso de notificación de infracciones en caso de incidente, ya que BigID conserva información sobre dónde residen los datos, de quién son y qué identificadores se almacenan en una fuente de datos que podría ser objeto de acceso no autorizado.
En última instancia, depende de todas las organizaciones proteger y asegurar sus activos de datosY para cualquiera que esté específicamente cubierto por la Ley SHIELD, como sabiamente cantó Taylor Swift, “Bienvenido a Nueva York."