Como Frank Sinatra e Jay-Z Ambos cantavam: "Se eu conseguir aqui, consigo em qualquer lugar". Essa letra é especialmente verdadeira para empresas que processam informações privadas de qualquer residente do estado de Nova York.
O Lei SHIELD (Stop Hacks and Improve Electronic Data Security) – aprovada em julho de 2019 – amplia o escopo da lei de notificação de violação de dados do Estado de Nova York para incluir:
- Uma definição ampliada do que é considerado “informação pessoal”
- Novas medidas prescritivas sobre como adequadamente proteger esses dados
- Uma dimensão de extraterritorialidade
Para um estado com uma população de mais de 20 milhões de habitantes, a lei agora se aplica a qualquer pessoa ou empresa que processe informações de um residente de Nova York, independentemente de essa organização efetivamente realizar negócios em Nova York.
A lei de violação de dados de Nova York originalmente definia o que era abrangido. Informações Pessoais (IP) como “qualquer informação relativa a uma pessoa singular que, devido ao nome, número, marca pessoal ou outro identificador, possa ser utilizada para identificar essa pessoa singular”.
A Lei SHIELD ampliou efetivamente a definição do que é considerado “Informação Privada”, incluindo elementos de dados como número do Seguro Social; número da carteira de motorista ou documento de identidade; informações biométricas; número da conta; número do cartão de crédito ou débito. combinação com um código de segurança ou senha.
Começando do zero (para proteger dados)
Como as organizações podem alcançar a conformidade com a lei NY ShieldEles precisam de visibilidade sobre os dados que devem ser protegidos de acordo com os novos requisitos – e da capacidade de determinar cujo dados sãoAlém disso, as organizações abrangidas precisam ser capazes de distinguir entre funcionários e clientes, principalmente porque as organizações manterão diferentes tipos de dados para ambos.
O primeiro passo nesse processo é sabendo seus dadosSem saber a quem os dados foram afetados, operacionalizar o processo de notificação de violação de dados, mesmo para acessos não autorizados, é uma perspectiva assustadora.
A capacidade de inventariar com precisão os dados de uma organização – e contextualizar a definição ampliada do que constitui informação pessoal – é fundamental para estabelecer quais controles serão implementados e mantidos para minimizar o impacto de uma violação de dados.
Segurança Por favor!
O próximo passo na aplicação da Lei SHIELD já está em vigor: a disposição sobre "requisitos razoáveis de segurança" entrou em vigor. Agora, as empresas que processam informações pessoais de residentes de Nova York devem, por lei, desenvolver, implementar e manter salvaguardas razoáveis para proteger a segurança, a confidencialidade e a integridade desses dados.
Os novos requisitos razoáveis de segurança, conforme a Seção 899-bb da Lei Geral de Negócios, incluem salvaguardas administrativas, técnicas e físicas: isso inclui medidas prescritivas, como a realização de avaliações de risco, sessões de treinamento para funcionários, diligência prévia em contratos com fornecedores e descarte oportuno de dados.
O não cumprimento desses requisitos pode resultar em multas civis de até £1.400.000 por cada violação cometida pela empresa e por seus funcionários. E se essas falhas levarem a um incidente de segurança de dados, as penalidades monetárias podem ser significativas.
Oito milhões de histórias por aí (e suas informações pessoais)
Organizações financeiras sujeitas à Lei Gramm-Leach-Bliley (GLBA) e organizações de saúde sujeitas à Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) podem já estar preparados, visto que essas leis federais contêm disposições sobre segurança e privacidade. como lidar com informações pessoaisNo entanto, essas organizações ainda terão que prestar contas dos dados de acordo com a definição ampliada de informações pessoais da Lei SHIELD.
Para todos os outros – ou seja, as muitas (muitas) empresas que se enquadram no âmbito da Lei SHIELD – será necessário repensar sua postura de segurança e a forma como gerenciam seus dados.
É aí que entra o BigID.Compreender a definição ampliada do que constitui informação pessoal nos termos da Lei é crucial para garantir que sejam tomadas as medidas adequadas para proteger a informação. As organizações precisam ser capazes de:
- determinar Quem é residente do estado de Nova Iorque;
- automatizar seu conhecimento de onde Os dados dos residentes do estado de Nova York são armazenados; e
- Determinar com precisão como identificadores como número de conta, senhas e dados biométricos são usados. relacionar para esse indivíduo.
O BigID foi projetado para automatizar o processo de criação de um inventário de informações pessoais por meio da aplicação de algoritmos. técnicas de aprendizado de máquina que pode determinar a residência, classificar identificadores com precisão e estabelecer como esses identificadores estão correlacionados a indivíduos. Além disso, o inventário de dados pessoais pode facilitar uma abordagem mais ágil ao processo de notificação de violação de dados em caso de incidente, uma vez que a BigID mantém informações sobre onde os dados residem, a quem pertencem e quais identificadores estão armazenados em uma fonte de dados que poderia ser alvo de acesso não autorizado.
Em última análise, cabe a todas as organizações proteger e assegurar os seus dadosE para qualquer pessoa especificamente abrangida pela Lei SHIELD, como Taylor Swift sabiamente cantou:Bem-vindo a Nova York.”
Autor
