Taula de continguts:
Als Estats Units, hi ha diverses lleis federals i estatals sobre incompliment de dades, encara que no hi ha una llei federal completa. El maig de 2011, l’administració Obama va presentar al Congrés una proposta de ciberseguretat integral que inclou un requisit de notificació d’incompliment federal de dades. Això podria millorar la ciberseguretat, però des del gener del 2012 no s'havia aprovat cap legislació federal sobre notificacions d'incompliment de dades. Aquí fem un cop d’ull a la seguretat de les dades i a la legislació que s’està configurant per solucionar els incompliments. (Per a la lectura de fons, vegeu Els Principis bàsics de la seguretat informàtica.)
Fer un cas federal
A nivell federal dels Estats Units, hi ha lleis i directrius que requereixen notificació d’incompliment per a tipus específics de dades: la Llei de portabilitat i rendició de comptes de l’assegurança mèdica (HIPAA) i la Llei de tecnologia d’informació sanitària per a la salut econòmica i clínica (HITECH) per a informació sobre assistència sanitària, la Llei sobre Gramm-Leach-Bliley per a informació financera i l'orientació de l'Oficina de Gestió i Pressupostos (OMB) per a informació personal de les agències federals.
Segons la Llei HITECH, els proveïdors de serveis assistencials coberts per la HIPAA han de notificar als pacients "amb prou feines" quan s'hagi infringit la informació sanitària. S'ha de notificar al Departament de Salut i Serveis Humans (HHS) i als mitjans de comunicació els casos en què les infraccions afectin a més de 500 individus. Els venedors d’informació de salut personal tenen requisits de notificació d’incompliment similars, però han d’informar-se a la Comissió Federal del Comerç, en lloc de la HHS.
Segons les directrius emeses pels reguladors bancaris federals en virtut de la Llei Gramm-Leach-Bliley, quan un banc o una altra institució financera tingui coneixement d'un incompliment de dades, hauria de realitzar una investigació per determinar la probabilitat que la informació hagi estat o es faci mal. Si el banc determina que s’ha produït un mal ús o és raonablement possible, hauria de notificar als clients afectats tan aviat com sigui possible.
L’avís del client es pot retardar si l’ordenança determina que la notificació interferirà en una investigació criminal i proporciona al banc una sol·licitud per escrit del retard. El banc hauria de notificar als seus clients tan aviat com la notificació ja no interfereixi amb la investigació. No obstant això, la notificació no es pot retardar per vergonya o molèsties al banc.
Segons l’orientació de l’OMB, les agències federals han d’informar totes les infraccions de dades que impliquin informació identificable personalment dins d’una hora després del descobriment / detecció. No obstant això, les agències tenen discreció en informar incompliments de dades fora de l'agència. Poden retardar les notificacions per necessitats de compliment de la llei, seguretat nacional o agència.
Califòrnia Somiant
A nivell estatal, hi ha un model de 46 lleis estatals (i el districte de Colúmbia) sobre notificació d’incompliment de dades. Califòrnia va promulgar la primera llei de notificació d’incompliment de dades el 2002 i s’ha utilitzat com a model per a moltes altres lleis estatals.
Segons la legislació de Califòrnia, les empreses han de donar a conèixer un incompliment de dades als clients "el més aviat possible, sense retard raonable" per escrit. Si la persona o empresa que notifica pot demostrar que la notificació tindria un cost superior a 250.000 dòlars o afectarà a més de 500.000 persones, es podria utilitzar un avís de substitució en forma de publicació d’un lloc web i notificació als principals mitjans de comunicació de l’estat. L’estatut eximeix de la notificació qualsevol incompliment de dades en què es va xifrar la informació personal.
No obstant això, Califòrnia, a diferència de molts altres estats, no inclou penalitzacions per no notificar immediatament als consumidors un incompliment de dades. La Conferència Nacional de les Legislatures de l'Estat manté una llista de les lleis de notificació que incompleixen les dades estatals i enllaça amb aquestes lleis.
Europa o bust
A Europa, la Unió Europea va aprovar un requisit de notificació per incompliment de dades en una modificació del 2009 de la seva Directiva sobre privadesa electrònica. Els estats membres de la Unió Europea tenien fins al 25 de maig de 2011 l'aplicació de la legislació nacional.
La modificació requereix que "els proveïdors de serveis de comunicació electrònica disponibles públicament" notifiquin a les autoritats nacionals una violació d'informació personal que pugui provocar pèrdues econòmiques substancials i danys socials als clients "tan aviat com" tinguin coneixement de l'incompliment. Així mateix, els clients afectats haurien de ser notificats de l’incompliment “sense demora”. La notificació ha d’incloure informació sobre les mesures que pren l’empresa, així com accions recomanades per als clients afectats.
El 2012 s’esperaran canvis a la Directiva de protecció de dades de la UE, inclòs el requisit que totes les empreses, no només els proveïdors de serveis de comunicacions electròniques, notifiquin les autoritats nacionals i els clients afectats en un termini de 24 hores d’un incompliment d’informació personal.
La Llei de protecció de dades del Regne Unit, anterior a la Directiva de privadesa de la UE, té un conjunt complet de requisits per a les empreses per protegir les dades, tot i que no conté un requisit de notificació per incompliment de dades.
L’Oficina del Comissari d’Informació del Regne Unit (ICO), que s’encarrega d’implementar l’acte, ha dit que les empreses haurien d’informar a ICO incompliments greus de dades, definits com a incompliments que podrien causar danys potencials a persones. L’agència va dir que esperaria que les empreses del Regne Unit ho notifiquessin sobre incompliments d’informació personal no xifrada a 1.000 persones o més. ICO va dir que no és responsabilitat seva informar els consumidors afectats, però pot recomanar que l’empresa faci públic l’incompliment “quan estigui clarament en interès de les persones interessades o hi hagi un argument d’interès públic fort per fer-ho”.
Informes i incompliments de dades
En resposta a incompliments de dades i pressió pública, els legisladors i reguladors nord-americans i europeus consideren requisits que totes les empreses reportin incompliments de dades a les autoritats nacionals i als consumidors afectats. Tanmateix, al gener del 2012, cap d'aquests esforços havia derivat en lleis i regulacions de notificació incomplents de dades als Estats Units o a la Unió Europea.
