Navegando pela conformidade com o GLBA: Um guia abrangente

Em 2019, uma instituição financeira foi multada em $1,5 milhões pela Conselho da Reserva Federal por violar os requisitos de proteção de dados e privacidade da GLBA. A instituição não implementou medidas de segurança adequadas para proteger os dados do cliente, levando a acesso não autorizado e divulgação de informações confidenciais.

Em 2018, outra instituição financeira foi multada em $1 milhões pela Escritório de Proteção Financeira ao Consumidor (CFPB) por violações semelhantes dos requisitos de proteção de dados e privacidade da GLBA. A instituição não implementou controles adequados para impedir o acesso não autorizado aos dados dos clientes, levando a uma violação de dados que comprometeu as informações pessoais de mais de 100.000 clientes.

Esses casos destacam a importância da conformidade com o GLBA e as potenciais consequências da não conformidade.

O que é a Lei Gramm-Leach-Bliley (GLBA)?

A conformidade com o GLBA refere-se à adesão à Lei Gramm-Leach-Bliley, Lei federal que exige que as instituições financeiras protejam a privacidade e a segurança das informações financeiras pessoais de seus clientes. A lei se aplica a bancos, corretoras de valores mobiliários, seguradoras e outras instituições financeiras que coletam, usam e compartilham informações financeiras pessoais. A conformidade com a GLBA exige que as instituições financeiras estabeleçam e mantenham programas abrangentes de segurança da informação que protejam as informações dos clientes contra acesso, uso ou divulgação não autorizados.

A lei também exige que as instituições financeiras forneçam aos clientes avisos de privacidade que expliquem suas práticas de compartilhamento de informações e permitam que os clientes optem por não compartilhar determinados tipos de informações. A conformidade com o GLBA é aplicada por diversas agências federais, incluindo a Comissão Federal de Comércio (FTC), o Conselho do Federal Reserve e a Comissão de Valores Mobiliários (SEC), entre outras.

Por que isso é importante?

A Lei Gramm-Leach-Bliley (GLBA) é importante porque ajuda a proteger a privacidade e a segurança das informações financeiras pessoais dos consumidores. A GLBA exige que as instituições financeiras implementem medidas que salvaguardem a confidencialidade e a integridade dos dados dos clientes, incluindo números de previdência social, números de contas bancárias, números de cartão de crédito e outras informações financeiras sensíveis. Ao exigir que as instituições financeiras estabeleçam e mantenham programas abrangentes de segurança da informação, a GLBA ajuda a garantir que as informações financeiras pessoais dos clientes sejam protegidas contra acesso, uso ou divulgação não autorizados.

Isso ajuda a reduzir o risco de roubo de identidade e fraude financeira, que podem causar danos significativos aos consumidores. Além disso, a GLBA exige que as instituições financeiras forneçam aos clientes avisos de privacidade que expliquem suas práticas de compartilhamento de informações e permitam que os clientes optem por não compartilhar determinados tipos de informações. Isso ajuda a garantir que os clientes tenham controle sobre como suas informações financeiras pessoais são usadas e compartilhadas pelas instituições financeiras.

A evolução da Lei Gramm-Leach-Bliley (GLBA)

Desde sua promulgação em 1999, a Lei Gramm-Leach-Bliley (GLBA) passou por diversas alterações e atualizações para atender às crescentes preocupações com privacidade e segurança relacionadas às informações financeiras dos consumidores. Aqui estão algumas das principais mudanças na GLBA ao longo dos anos:

1. Alterações à Regra de Privacidade: Em 2009, a Comissão Federal de Comércio (FTC) emitiu emendas à Regra de Privacidade GLBA, exigindo que as instituições financeiras forneçam aos consumidores avisos de privacidade mais detalhados e claros. As emendas também ampliaram o escopo da regra para incluir afiliadas de instituições financeiras e exigiram que as instituições notificassem os clientes em caso de violação de suas informações pessoais.
2. Orientação Interinstitucional sobre Programas de Resposta para Acesso Não Autorizado a Informações de Clientes: Em 2005, as agências bancárias federais emitiram diretrizes sobre como as instituições financeiras deveriam responder a incidentes de acesso não autorizado a informações de clientes. Essas diretrizes estabeleceram expectativas para planos de resposta a incidentes e requisitos para notificação de clientes, autoridades policiais e reguladores em caso de violação.
3. Implementação da Regra de Salvaguardas: Em 2003, a FTC emitiu regulamentos para implementar a Regra de Salvaguardas da GLBA, exigindo que as instituições financeiras desenvolvessem e implementassem um programa abrangente de segurança da informação. Os regulamentos estabeleceram requisitos específicos para o programa, como avaliações de risco, treinamento de funcionários e supervisão de prestadores de serviços.

Regras do GLBA explicadas

A Lei Gramm-Leach-Bliley (GLBA), também conhecida como Lei de Modernização Financeira de 1999, é uma lei federal dos Estados Unidos que regulamenta o tratamento de informações financeiras de consumidores por instituições financeiras. A GLBA consiste em diversas regras que as instituições financeiras devem seguir para garantir a confidencialidade e a segurança das informações financeiras de consumidores. Aqui estão algumas das principais regras:

• Regra de privacidade: A regra de privacidade da GLBA exige que as instituições financeiras forneçam aos seus clientes um aviso de privacidade que explique os tipos de informações que a instituição coleta, como as utiliza e com quem as compartilha. As instituições financeiras também devem oferecer aos clientes a oportunidade de optar por não compartilhar suas informações com determinados terceiros.
• Regra de salvaguardas: A regra de salvaguardas da GLBA exige que as instituições financeiras implementem um programa abrangente de segurança da informação para proteger a confidencialidade e a segurança das informações dos clientes. O programa deve incluir salvaguardas administrativas, técnicas e físicas para proteger contra acesso, uso ou divulgação não autorizados de informações dos clientes.
• Regra de proteção de pretextos: A regra de proteção contra pretextos da GLBA proíbe indivíduos de obter informações de clientes sob falsos pretextos, como fingir ser o cliente ou um representante da instituição financeira.

Penalidades por não conformidade

A Lei Gramm-Leach-Bliley (GLBA) impõe penalidades para o descumprimento, que podem ser severas para instituições financeiras que não cumprem os requisitos da lei. As penalidades para o descumprimento incluem:

• Penalidades Civis: A GLBA autoriza a Comissão Federal de Comércio (FTC) Impor sanções civis a instituições financeiras que violem os requisitos de privacidade e segurança da lei. A multa máxima para cada violação é de $11.000.
• Penalidades Criminais: A GLBA também prevê penalidades criminais para instituições financeiras que, consciente e intencionalmente, violarem os requisitos da lei. Essas penalidades podem incluir multas e prisão de até cinco anos.
• Danos à reputação: O não cumprimento do GLBA também pode prejudicar a reputação de uma organização e minar a confiança do consumidor. Isso pode ter um impacto significativo nos resultados financeiros de uma instituição financeira, pois os clientes podem transferir seus negócios para outras instituições se sentirem que sua privacidade e segurança não estão sendo adequadamente protegidas.

Exemplos de não conformidade com o GLBA

Aqui estão alguns exemplos de não conformidade com o GLBA:

• Falha no fornecimento de avisos de privacidade: As instituições financeiras são obrigadas a fornecer aos clientes avisos de privacidade que expliquem os tipos de informações pessoais que a instituição coleta, como essas informações são usadas e como são compartilhadas. O não cumprimento desta exigência pode resultar em penalidades e multas.
• Acesso não autorizado às informações do cliente: As instituições financeiras são obrigadas a estabelecer salvaguardas adequadas para proteger as informações dos clientes contra acesso não autorizado. Se uma instituição não proteger seus sistemas ou autenticar os usuários adequadamente, isso poderá levar a uma violação de dados que expõe as informações dos clientes.
• Políticas de segurança da informação inadequadas: A GLBA exige que as instituições financeiras desenvolvam e implementem políticas de segurança da informação que protejam as informações dos clientes. Se uma instituição não desenvolver políticas adequadas ou não as implementar de forma eficaz, isso poderá resultar em uma violação de dados e expor as informações dos clientes.
• Falha no treinamento de funcionários: As instituições financeiras são obrigadas a treinar seus funcionários sobre como cumprir os requisitos de privacidade e segurança da GLBA. Se uma instituição não fornecer treinamento adequado, os funcionários podem inadvertidamente violar os requisitos da lei, o que pode resultar em penalidades e multas.
• Gestão inadequada de fornecedores: As instituições financeiras são obrigadas a garantir que os fornecedores que têm acesso às informações dos clientes também cumpram os requisitos de privacidade e segurança da GLBA. Se uma instituição não gerenciar adequadamente seus fornecedores, isso poderá resultar em uma violação que exponha as informações dos clientes.

Qualificações para isenção GLBA

As isenções da GLBA referem-se a determinadas situações ou entidades isentas ou excluídas dos requisitos da Lei Gramm-Leach-Bliley (GLBA). Por exemplo, as isenções da GLBA podem se aplicar a certos tipos de instituições ou atividades financeiras, como corretoras ou distribuidoras regulamentadas pela Comissão de Valores Mobiliários (SEC), ou a certas atividades relacionadas a produtos de seguros. Além disso, as isenções da GLBA também podem se aplicar a certos tipos de informações, como informações publicamente disponíveis ou informações que não se enquadram na definição de "informações pessoais não públicas" da GLBA.

Embora certas entidades ou atividades possam estar isentas de certos aspectos do GLBA, elas ainda podem estar sujeitas a outras regulamentações federais ou estaduais de privacidade e segurança. As instituições financeiras devem consultar profissionais jurídicos e de conformidade para garantir que compreendam o escopo das isenções do GLBA e suas obrigações sob outras leis e regulamentações relevantes.

Como a GLBA define “clientes” vs “consumidores”

No contexto da Lei Gramm-Leach-Bliley (GLBA), “clientes” e “consumidores” referem-se a diferentes grupos de indivíduos.

Um cliente é uma pessoa que mantém um relacionamento contínuo com uma instituição financeira, como um banco, uma cooperativa de crédito ou uma corretora. Um cliente forneceu informações pessoais à instituição financeira com a finalidade de obter produtos ou serviços financeiros, como uma conta corrente, um cartão de crédito ou uma conta de investimento. Os clientes têm o direito de receber avisos de privacidade de sua instituição financeira que expliquem as práticas de compartilhamento de informações da instituição e lhes dêem a oportunidade de optar por não compartilhar determinados tipos de informações.

Um consumidor, por outro lado, é uma categoria mais ampla que inclui não apenas clientes, mas também indivíduos que ainda não estabeleceram um relacionamento com uma instituição financeira. Por exemplo, um consumidor pode ser alguém que fez uma consulta sobre um produto ou serviço financeiro, mas ainda não abriu uma conta. As instituições financeiras geralmente têm permissão para compartilhar informações sobre consumidores para determinados fins, como marketing ou prevenção de fraudes, desde que forneçam um aviso claro e visível sobre suas práticas de compartilhamento de informações e permitam que os consumidores optem por não participar de certos tipos de compartilhamento de informações.

Aproveitando o uso de IA e aprendizado de máquina

Inteligência Artificial (IA) e Aprendizado de Máquina (ML) As tecnologias podem ser aproveitadas pelas organizações para manter a conformidade com o GLBA, aumentando sua capacidade de detectar e impedir acesso não autorizado às informações financeiras do consumidor. Aqui estão algumas maneiras pelas quais IA e ML podem ser usados:

• Avaliação de risco: As organizações podem usar IA e ML para avaliar o risco associado a diferentes tipos de dados e transações de clientes. Ao analisar padrões de acesso e uso de dados, essas tecnologias podem ajudar a identificar potenciais ameaças e vulnerabilidades à segurança.
• Detecção de fraude: IA e ML podem ser usados para detectar atividades fraudulentas, como acesso não autorizado a contas de clientes ou o uso de credenciais roubadas. Essas tecnologias podem analisar grandes volumes de dados e identificar comportamentos anômalos que podem indicar fraude.
• Biometria comportamental: A biometria comportamental pode ser usada para autenticar clientes e detectar fraudes por meio da análise de padrões de comportamento, como velocidade de digitação ou movimentos do mouse. Essas tecnologias podem fornecer uma camada adicional de segurança para proteger contra acesso não autorizado aos dados do cliente.
• Análise de dados: IA e ML podem ser usados para analisar grandes volumes de dados e identificar padrões que possam indicar uma violação ou acesso não autorizado. Essas tecnologias podem ajudar as organizações a identificar ameaças potenciais e tomar medidas proativas para preveni-las.

Garanta a conformidade do GLBA com BigID

BigID é um plataforma de inteligência de dados para privacidade, segurançae governança que auxilia organizações a atingir a conformidade com a GLBA, fornecendo uma gama de ferramentas e recursos que atendem aos requisitos da lei. Veja algumas maneiras pelas quais o BigID pode ajudar:

• Descoberta e inventário de dados: O BigID ajuda organizações a descobrir e inventariar seus dados confidenciais, incluindo informações financeiras cobertas pelo GLBA. Isso permite que as organizações entendam quais dados possuem e onde estão localizados, o que é um primeiro passo crucial para alcançar a conformidade.
• Classificação de dados: Recursos de classificação de dados do BigID Ajudar organizações a identificar e classificar diferentes tipos de dados, incluindo informações financeiras pessoais abrangidas pela GLBA. Isso permite que as organizações apliquem controles adequados para proteger os dados e cumprir a lei.
• Controle de acesso: Aplicativo de inteligência de acesso da BigID gerencia o acesso a dados confidenciais, fornecendo recursos como políticas de acesso a dados, rastreamento de acesso a dados e controle de acesso baseado em funções. Esses recursos ajudam as organizações a garantir que apenas pessoal autorizado tenha acesso aos dados cobertos pela GLBA.
• Solicitações do titular dos dados: O aplicativo de exclusão de dados utiliza automação e fluxos de trabalho simplificados para capacitar a organização a gerenciar e processar solicitações de titulares de dados, tudo em uma única plataforma.
• Avaliação de Impacto à Privacidade: Aplicativo de Avaliação de Impacto de Privacidade da BigID realiza avaliações de impacto na privacidade, que são exigidas pela GLBA, permitindo que as organizações avaliem melhor os riscos associados às suas atividades de processamento de dados e desenvolvam medidas apropriadas para mitigar esses riscos.

Agende uma demonstração individual para saber mais sobre como o BigID pode ajudar sua organização a atingir a conformidade com o GLBA.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.