Lei SHIELD de Nova York: o que isso significa para as empresas

O Shield Act de Nova York é a mais recente lei de privacidade de dados que as empresas de todo o país devem levar em consideração, principalmente para empresas com clientes atuais ou potenciais que residem no estado. Que efeito isso terá nas organizações e como elas podem se preparar para futuras regulamentações e padrões de conformidade?

O que é o New York SHIELD Act?

A SHIELD Act de Nova York entrou em vigor oficialmente em 21 de ^março e foi projetada para expandir as regulamentações existentes, protegendo mais informações do consumidor e redefinindo o que constitui uma violação de dados.

• Cobertura: A Lei SHIELD expande quem está sob a jurisdição da lei. Anteriormente, as empresas que tinham que cumprir a lei eram as empresas que negociavam dentro do estado. A nova lei expande isso para incluir qualquer cliente que resida em Nova York, independentemente de a empresa estar sediada lá ou não.
• Definição: A definição do que constitui uma violação de segurança foi redefinida sob a lei. Antes, dados e informações pessoais tinham que ter sido adquiridos por uma parte não autorizada – destinada a hackers e cibercriminosos. Agora, os consumidores devem ser notificados quando uma parte não autorizada acessa informações, independentemente de terem sido roubadas ou não.
• Tipos de dados: Anteriormente, o tipo de informação protegida era qualquer dado usado em conjunto com o número do CPF de uma pessoa, número da carteira de motorista ou outros números de conta que podem ser usados ​​com senhas ou códigos de acesso que permitem o acesso a uma conta. Isso foi expandido para incluir o seguinte:
  • Números de contas financeiras que podem ser usados ​​para acessar uma conta, como um número de cartão de crédito
  • Nomes de usuário, senhas, e-mails e perguntas de segurança da conta
  • Informações biométricas usadas para identificar indivíduos

As empresas devem estar em conformidade com esses novos regulamentos agora.

“É fundamental que nossas leis acompanhem o mundo da tecnologia em rápida mudança. O SHIELD Act eleva os padrões de segurança para que nenhum nova-iorquino seja desnecessariamente vitimado por violações de dados e ataques cibernéticos.” – Senador Kevin Thomas, Presidente da Comissão de Defesa do Consumidor

Por que as empresas devem se importar?

Multas

É claro que a consideração mais óbvia a ser feita são as implicações financeiras de infringir os novos regulamentos de conformidade.

O estatuto tinha anteriormente um teto de US$ 150.000 em multas para uma única empresa, mas foi aumentado para US$ 250.000.

Para violações conscientes e imprudentes – organizações que não estabeleceram procedimentos de conformidade corretos – um tribunal pode buscar penalidades de mais de US$ 5.000 ou até US$ 20 por instância até o limite de US$ 250.000.

Em agosto de 2019, a Procuradoria-Geral já havia cobrado mais de US$ 600 milhões em multas de empresas que não atendiam aos padrões corretos de conformidade da lei anterior.

US$ 600 milhões é muito dinheiro, e isso – junto com a assinatura desse novo ato em lei – é uma indicação de quão seriamente Nova York está levando a proteção de privacidade de dados para os consumidores.

Com o SHIELD Act ampliando drasticamente com o que as empresas devem estar em conformidade e quais práticas elas têm, é provável que esse número aumente drasticamente nos próximos anos.

“A dura realidade é que as violações de segurança estão se tornando mais frequentes e, com essa legislação, Nova York está tomando medidas para aumentar a proteção dos consumidores e responsabilizar essas empresas quando manipulam dados confidenciais”. – Governador Cuomo

Em suma, há muito mais aspectos na regulamentação de proteção de dados em que as empresas podem cair no lado errado, portanto, evitar multas e garantir que isso não aconteça deve ser uma prioridade.

Mantendo seu negócio

Novas legislações como a SHIELD, juntamente com a CCPA existente na Califórnia e GDPR na União Europeia, são indicações claras de que os políticos estão reconhecendo a insatisfação do consumidor com a forma como as organizações estão lidando com seus dados.

As pessoas estão mais conscientes de seus direitos de dados e privacidade do que nunca, e 84% das pessoas dizem que se preocupam com privacidade, cuidam de seus próprios dados, se preocupam com os dados de outros membros da sociedade e querem mais controle sobre como seus dados estão sendo usados.

Mas como isso afeta o sucesso de um negócio?

Bem, francamente, garantir a proteção de dados é tanto um esforço de autopreservação para as organizações quanto manter os melhores interesses de seus clientes no centro.

79% das pessoas dizem estar muito ou um pouco preocupadas com a forma como as empresas estão usando os dados que coletam sobre elas

Repetidamente, as empresas que manipulam dados incorretamente ou sofrem violações de dados devido a padrões de proteção de informações deficientes estão dando um tiro no pé, pois os consumidores simplesmente levarão seus negócios para outra pessoa se sentirem que não estão sendo protegidos.

De fato, 48% dos entrevistados em uma pesquisa disseram que já haviam trocado de empresa ou provedor porque estavam preocupados com suas políticas de dados e práticas de compartilhamento.

A mensagem é alta e clara dos consumidores: leve seus dados a sério ou eles levarão seu costume para as empresas que o fazem.

Mais por vir

Como mencionamos brevemente, a SHIELD Act tem muitas semelhanças com as leis de proteção de dados existentes, como CCPA e GDPR.

A SHIELD não é a primeira e certamente não será a última.

Leis como essas estão moldando a conversa sobre o quanto os consumidores estão protegidos.

Figuras e organizações empresariais de alto escalão estão pedindo uma lei federal de privacidade de dados inspirada no GDPR e na CCPA e, embora um projeto de lei federal bipartidário não esteja fechado no momento, todos esses regulamentos parecem estar indo em uma direção.

Isso é especialmente verdade quando você considera o impacto que a CCPA e a SHIELD têm sozinhas – 60 milhões de pessoas na Califórnia e em Nova York estão agora sendo cobertas por isso.

Isso é quase 20% de toda a população dos EUA que as empresas precisam estar em conformidade.

É provável que, com o tempo, outros estados sigam o exemplo, mesmo que não haja lei federal – estados como a Flórida (um dos maiores centros populacionais e mercados dos EUA) estão apresentando projetos de lei em seus plenários.

As empresas que estão à frente da curva reconhecerão que leis como a CCPA e a SHIELD são apenas o começo e prepararão sua organização com padrões e práticas abrangentes para conformidade com a regulamentação de dados que serão necessários para o que está por vir.

O que as empresas podem fazer para se preparar?

As empresas devem começar investindo em alguns aspectos-chave de seus negócios que ajudarão a proteger os dados de seus clientes. Estes são nomeadamente:

Medidas de proteção de dados

Como os dados dos seus clientes são armazenados?

Uma das razões pelas quais a adoção da nuvem está aumentando de forma tão significativa entre as PMEs é por causa de sua relativa facilidade de uso e altos padrões quando se trata de proteção de dados.

Enquanto nos anos anteriores, os empresários hesitavam em armazenar dados confidenciais na nuvem, agora estão fazendo isso em grande número como resultado dos avanços na segurança da nuvem.

Serviços em nuvem, como o Azure da Microsoft, usam data centers de Nível IV, que fornecem segurança máxima e tempo de inatividade de apenas 26 minutos por ano.

Muitas empresas operam um sistema híbrido para seus dados, mantendo as informações gerais de trabalho armazenadas em data centers em nuvem pública; ao usar um data center privado para suas informações mais confidenciais, dando-lhes mais opções de controle e personalização.

Isso permite mais flexibilidade para organizações que podem estar especialmente conscientes sobre como cuidam de seus dados.

Post relacionado: Por que você precisa de um data center de nível IV

Pessoal diretamente responsável pela coordenação e avaliação de risco

De um modo geral, é bom ter um membro da equipe (ou um fornecedor) conduzindo sua política de conformidade.

Manipular dados de forma eficiente e de acordo com o padrão não é apenas um caso de instalação de novos aplicativos. Basicamente, tudo se resume a como sua força de trabalho está usando e compartilhando dados e as soluções que eles usam para fazer isso.

Se eles violam as novas leis, ou as práticas existentes são, então você precisa de alguém com o know-how e capacidade para lidar com essas preocupações e implementar os padrões corretos.

Essa pessoa também deve ser responsável por relatar quaisquer violações de dados que ocorram, além de avaliar rotineiramente quaisquer riscos potenciais com relação ao manuseio de dados, sejam relacionados a hardware ou software.

Isso será ainda mais pertinente, considerando as dificuldades que as empresas vêm enfrentando ao compartilhar dados dentro e entre uma força de trabalho remota.

Algumas empresas optarão por ter alguém interno para fazer isso, mas muitas optarão por um MSSP porque são econômicas e têm o conhecimento exato do que as empresas precisam fazer com relação à proteção de dados no que se refere às suas necessidades específicas. situação.

Aprendizado

• O New York SHIELD Act é uma extensão substancial das leis de privacidade de dados existentes, com as quais as empresas devem estar em conformidade agora.
• As demandas dos consumidores e o crescente interesse público nas leis de proteção de dados significam que as empresas devem levar suas práticas de manipulação de dados extremamente a sério para manter seus clientes satisfeitos.
• A SHIELD é apenas a mais recente de uma série de leis de privacidade de dados, e outras leis nos próximos anos acelerarão ainda mais a necessidade de as organizações se atualizarem com sua conformidade.

Seu negócio está em conformidade?

Novas leis como GDPR, CCPA e SHIELD são apenas o começo dos padrões de conformidade de proteção de dados que as empresas devem levar em consideração. Um objetivo principal para qualquer organização moderna deve ser interromper as violações de dados. Mas como?

Dê uma olhada em nosso e-book gratuito, “ O que é uma boa defesa de segurança cibernética para uma PME moderna?” e veja quais medidas as empresas devem adotar para manter seus dados seguros.