Como Frank Sinatra e Jay-Z ambos cantaram, "se eu consigo fazer isso aqui, então consigo fazer isso em qualquer lugar". Essa letra é especialmente verdadeira para empresas que processam informações privadas de qualquer residente do estado de Nova York.
O Lei de Combate a Invasões e Melhoria da Segurança Eletrônica de Dados (“SHIELD”) – aprovada em julho de 2019 – expande o escopo da lei de notificação de violação de dados do estado de Nova York para incluir:
- Uma definição expandida sobre o que é considerado “informação pessoal”
- Novas medidas prescritivas sobre como proteger esses dados
- Uma dimensão extraterritorial
Para um estado com uma população de mais de 20 milhões, a lei agora se aplica a qualquer pessoa ou empresa que processe as informações de um residente de Nova York, independentemente de essa organização realmente conduzir negócios em Nova York.
A lei de violação de dados de Nova York definiu originalmente o que é coberto Informações Pessoais (IP) como “qualquer informação relativa a uma pessoa física que, devido ao nome, número, marca pessoal ou outro identificador, possa ser usada para identificar essa pessoa física”.
A Lei SHIELD ampliou efetivamente a definição do que é considerado “Informação Privada”: incluindo elementos de dados como número de Seguro Social; número da carteira de motorista ou cartão de identificação de não motorista; informações biométricas; número da conta; número do cartão de crédito ou débito em combinação com uma senha de segurança.
Um novo começo (para proteger dados)
Como as organizações podem alcançar a conformidade com a lei NY Shield? Eles precisam de visibilidade sobre os dados que devem ser protegidos pelos novos requisitos – e da capacidade de determinar cujo dados são. Além disso, as organizações cobertas precisam ser capazes de distinguir entre funcionários e clientes, principalmente porque as organizações manterão diferentes tipos de dados para ambos.
O primeiro passo neste processo é sabendo seus dados. Sem saber quais dados foram impactados, operacionalizar o processo de notificação de violação de dados, mesmo para acesso não autorizado, é uma perspectiva assustadora.
A capacidade de inventariar com precisão os acervos de dados de uma organização — e contextualizar a definição ampliada do que constitui informações pessoais — é fundamental para estabelecer quais controles são implementados e mantidos para minimizar o impacto de uma violação de dados.
Segurança Por favor!
O próximo passo na aplicação da Lei SHIELD já está aqui: a disposição de “requisitos de segurança razoáveis” entrou em vigor: as empresas que processam informações pessoais de residentes de Nova York agora devem desenvolver, implementar e manter legalmente salvaguardas razoáveis para proteger a segurança, a confidencialidade e a integridade desses dados.
Os novos requisitos de segurança razoáveis da Seção 899-bb da Lei Geral de Negócios incluem salvaguardas administrativas, técnicas e físicas: isso inclui medidas prescritivas, como a realização de avaliações de risco, sessões de treinamento de funcionários, diligência prévia em contratos com fornecedores e descarte oportuno de dados.
A não implementação desses requisitos pode resultar em penalidades civis de até $5.000 por violação, tanto pela empresa quanto por funcionários individuais. E se essas falhas resultarem em um incidente de segurança de dados, as penalidades monetárias podem ser significativas.
Oito milhões de histórias por aí (e suas informações pessoais)
Organizações financeiras sujeitas à Lei Gramm-Leach Bliley (GLBA) e organizações de saúde sujeitas à Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA) pode já estar preparado, pois esses estatutos federais têm disposições de segurança e privacidade como lidar com informações pessoais. No entanto, essas organizações ainda terão que contabilizar dados de acordo com a definição expandida de informações pessoais da Lei SHIELD.
Para todos os outros — também conhecidos como as muitas (muitas) empresas que se enquadram no escopo da Lei SHIELD — será necessário repensar sua postura de segurança e como gerenciar seus acervos de dados.
É aqui que entra o BigIDCompreender a definição ampliada do que constitui informação pessoal segundo a Lei é crucial para garantir que medidas adequadas sejam tomadas para proteger as informações. As organizações precisam ser capazes de:
- determinar Quem é residente do estado de Nova York;
- automatizar seu conhecimento de onde os dados dos residentes do estado de Nova York são armazenados; e
- determinar com precisão como identificadores como número de conta, senhas e dados biométricos relacionar para aquele indivíduo.
O BigID foi projetado para automatizar o processo de construção de um inventário de informações pessoais aplicando técnicas de aprendizado de máquina que pode determinar a residência, classificar identificadores com precisão e estabelecer como esses identificadores estão correlacionados a indivíduos. Além disso, o inventário de dados pessoais pode facilitar uma abordagem mais simplificada ao processo de notificação de violação em caso de incidente, já que o BigID mantém insights sobre onde os dados residem, de quem são os dados e quais identificadores estão armazenados em uma fonte de dados que podem ser alvo de acesso não autorizado.
Em última análise, cabe a todas as organizações proteger e assegurar seus acervos de dados. E para qualquer pessoa que esteja especificamente coberta pela Lei SHIELD, como Taylor Swift sabiamente cantou, “Bem-vindo a Nova York.”