Ley SHIELD de Nueva York: lo que significa para las empresas

La Ley Shield de Nueva York es la ley de privacidad de datos más reciente que las empresas de todo el país deben tener en cuenta, en particular las empresas con clientes actuales o potenciales que residen en el estado. ¿Qué efecto tendrá en las organizaciones y cómo pueden prepararse para la futura regulación y los estándares de cumplimiento?

¿Qué es la Ley SHIELD de Nueva York?

La Ley SHIELD de Nueva York entró en vigencia oficialmente el 21 de ^marzo y está diseñada para ampliar las regulaciones existentes al proteger más información del consumidor y redefinir lo que constituye una violación de datos.

• Cobertura: La Ley SHIELD amplía quién está bajo la jurisdicción de la ley. Anteriormente, las empresas que tenían que cumplir con la ley eran empresas que comerciaban dentro del estado. La nueva ley amplía esto para incluir a cualquier cliente que resida en Nueva York, ya sea que el negocio tenga su sede allí o no.
• Definición: La definición de lo que constituye una violación de la seguridad se ha redefinido en virtud de la ley. Antes, los datos personales y la información tenían que haber sido adquiridos por una parte no autorizada, dirigida a piratas informáticos y ciberdelincuentes. Ahora, los consumidores deben ser notificados cuando una parte no autorizada haya accedido a la información, independientemente de si es robada o no.
• Tipos de datos: anteriormente, el tipo de información protegida era cualquier dato utilizado junto con el número de seguro social de una persona, número de licencia de conducir u otros números de cuenta que pueden usarse con contraseñas o códigos de acceso que permiten el acceso a una cuenta. Esto se ha ampliado para incluir lo siguiente:
  • Números de cuentas financieras que se pueden usar para acceder a una cuenta, como un número de tarjeta de crédito
  • Nombres de usuario, contraseñas, correos electrónicos y preguntas de seguridad de la cuenta
  • Información biométrica utilizada para identificar a las personas.

Las empresas deben cumplir con estas nuevas regulaciones ahora.

“Es fundamental que nuestras leyes sigan el ritmo del mundo de la tecnología que cambia rápidamente. La Ley SHIELD eleva los estándares de seguridad para que no más neoyorquinos sean víctimas innecesarias de filtraciones de datos y ataques cibernéticos”. – Senador Kevin Thomas, presidente del Comité de Protección al Consumidor

¿Por qué debería importarles a las empresas?

Multas

Por supuesto, la consideración más obvia a tener en cuenta son las implicaciones financieras de no cumplir con las nuevas regulaciones de cumplimiento.

El estatuto había tenido previamente un tope de $150,000 en multas para una sola empresa, pero eso se elevó a $250,000.

Para infracciones conscientes e imprudentes (organizaciones que no han establecido procedimientos de cumplimiento correctos), un tribunal puede solicitar sanciones de más de $ 5,000 o hasta $ 20 por instancia hasta el límite de $ 250,000.

Para agosto de 2019, la oficina del Fiscal General ya había impuesto más de $600 millones en multas a empresas que no cumplían con los estándares de cumplimiento correctos de la ley anterior.

$600 millones es mucho dinero y eso, junto con la firma de esta nueva ley, es una indicación de la seriedad con la que Nueva York se toma la protección de la privacidad de los datos de los consumidores.

Con la Ley SHIELD ampliando drásticamente lo que las empresas deben cumplir y las prácticas que tienen implementadas, es probable que esa cifra aumente drásticamente en los próximos años.

“La cruda realidad es que las brechas de seguridad son cada vez más frecuentes y con esta legislación, Nueva York está tomando medidas para aumentar la protección de los consumidores y responsabilizar a estas empresas cuando manejan mal los datos confidenciales”. – Gobernador Cuomo

En resumen, hay muchos más aspectos de la regulación de la protección de datos en los que las empresas pueden caer del lado equivocado, por lo que evitar multas y asegurarse de que eso no suceda debería ser una prioridad máxima.

Mantener su negocio

La nueva legislación como SHIELD, junto con la CCPA existente en California y el RGPD en la Unión Europea, son indicaciones claras de que los políticos están reconociendo la insatisfacción de los consumidores con la forma en que las organizaciones manejan sus datos.

Las personas son más conscientes que nunca de sus derechos de datos y privacidad, y el 84% de las personas dicen que les importa la privacidad, cuidan sus propios datos, se preocupan por los datos de otros miembros de la sociedad y quieren más control sobre cómo se utilizan sus datos.

Pero, ¿cómo afecta esto al éxito de un negocio?

Bueno, francamente, garantizar la protección de datos es tanto un esfuerzo de autopreservación para las organizaciones como mantener los mejores intereses de sus clientes.

El 79% de las personas dicen que están muy o algo preocupadas por cómo las empresas utilizan los datos que recopilan sobre ellas.

Una y otra vez, las empresas que manejan mal los datos o sufren filtraciones de datos debido a los bajos estándares de protección de la información se disparan a sí mismos, ya que los consumidores simplemente llevarán su negocio a otra persona si sienten que no están protegidos.

De hecho, el 48% de los encuestados en una encuesta dijeron que ya habían cambiado de compañía o proveedor porque estaban preocupados por sus políticas de datos y prácticas de intercambio.

El mensaje de los consumidores es fuerte y claro: tomen sus datos en serio o llevarán su costumbre a las empresas que lo hacen.

Más por venir

Como mencionamos brevemente, la Ley SHIELD se parece mucho a las leyes de protección de datos existentes como CCPA y GDPR.

SHIELD no es el primero, y ciertamente no será el último.

Leyes como estas están dando forma a la conversación sobre cuánto se protege a los consumidores.

Las principales figuras y organizaciones comerciales están pidiendo una ley federal de privacidad de datos inspirada en GDPR y CCPA, y aunque un proyecto de ley federal bipartidista no está cerca en este momento, todas estas regulaciones parecen ir en una dirección.

Esto es especialmente cierto cuando se considera el impacto que CCPA y SHIELD tienen por sí solos: 60 millones de personas en California y Nueva York ahora están cubiertas por esto.

Eso es casi el 20% de toda la población de EE. UU. que las empresas deben cumplir.

Es probable que, con el tiempo, otros estados hagan lo mismo, incluso si no existe una ley federal; estados como Florida (uno de los centros de población y mercados más grandes de EE. UU.) están presentando proyectos de ley en sus senados.

Las empresas que están a la vanguardia reconocerán que las leyes como CCPA y SHIELD son solo el comienzo, y prepararán su organización con estándares y prácticas integrales para el cumplimiento de la regulación de datos que será necesario para lo que está por venir.

¿Qué pueden hacer las empresas para prepararse?

Las empresas deben comenzar invirtiendo en algunos aspectos clave de su negocio que ayudarán a proteger los datos de sus clientes. Estos son a saber:

Medidas de protección de datos

¿Cómo se almacenan los datos de sus clientes?

Una de las razones por las que la adopción de la nube está aumentando de manera tan significativa entre las PYMES es por su relativa facilidad de uso y sus altos estándares en lo que respecta a la protección de datos.

Mientras que en años anteriores, los dueños de negocios dudaban en almacenar datos confidenciales en la nube, ahora lo están haciendo en grandes cantidades como resultado de los avances en la seguridad de la nube.

Los servicios en la nube como Azure de Microsoft utilizan centros de datos de nivel IV, que brindan la máxima seguridad y un tiempo de inactividad de tan solo 26 minutos al año.

Muchas empresas operan un sistema híbrido para sus datos, manteniendo la información general del trabajo almacenada en centros de datos de nube pública; mientras usa un centro de datos privado para su información más confidencial, lo que les brinda más control y opciones de personalización.

Esto permite una mayor flexibilidad para las organizaciones que pueden ser especialmente conscientes de cómo cuidan sus datos.

Publicación relacionada: Por qué necesita un centro de datos de nivel IV

Personal directamente responsable de la coordinación y evaluación de riesgos

En términos generales, es bueno tener un miembro del personal (o un proveedor) que dirija su política de cumplimiento.

El manejo de datos de manera eficiente y estándar no es solo un caso de instalar nuevas aplicaciones. Se trata fundamentalmente de cómo su fuerza laboral usa y comparte datos y las soluciones que usan para hacerlo.

Si incumplen las nuevas leyes o las prácticas existentes, entonces necesita a alguien con el conocimiento y la capacidad para poder abordar estas inquietudes e implementar los estándares correctos.

Esta persona también debe ser responsable de informar cualquier violación de datos que ocurra, además de evaluar de forma rutinaria cualquier riesgo potencial con respecto al manejo de datos, ya sea relacionado con el hardware o el software.

Esto será aún más pertinente, considerando las dificultades que las empresas han tenido al compartir datos dentro y entre una fuerza laboral remota.

Algunas empresas optarán por tener a alguien interno para hacer esto, pero muchas optarán por un MSSP porque son rentables y tienen la experiencia de exactamente lo que las empresas deben hacer con respecto a la protección de datos en lo que respecta a sus necesidades específicas. situación.

comida para llevar

• La Ley SHIELD de Nueva York es una extensión sustancial de las leyes de privacidad de datos existentes, que las empresas deben cumplir ahora.
• Las demandas de los consumidores y el creciente interés público en las leyes de protección de datos significan que las empresas deben tomar muy en serio sus prácticas de manejo de datos para mantener a sus clientes satisfechos.
• SHIELD es solo la última de una serie de leyes de privacidad de datos, y otras leyes en los próximos años acelerarán aún más la necesidad de que las organizaciones se pongan al día con su cumplimiento.

¿Cumple su negocio?

Las nuevas leyes como GDPR, CCPA y SHIELD son solo el comienzo de los estándares de cumplimiento de protección de datos que las empresas deben tener en cuenta. Un objetivo principal para cualquier organización moderna debería ser detener las filtraciones de datos. ¿Pero cómo?

Eche un vistazo a nuestro libro electrónico gratuito, " ¿Qué hace que una buena defensa de seguridad cibernética para una PYME moderna?" y vea qué medidas deberían implementar las empresas para mantener sus datos seguros.