Índice:
Nos Estados Unidos, existem várias leis federais e estaduais de notificação de violação de dados, embora não exista uma lei federal abrangente. Em maio de 2011, o governo Obama enviou ao Congresso uma proposta abrangente de segurança cibernética, que inclui um requisito federal de notificação de violação de dados. Isso poderia melhorar muito a segurança cibernética, mas em janeiro de 2012, nenhuma legislação federal de notificação de violação de dados havia sido aprovada. Aqui, examinamos a segurança dos dados e a legislação que está sendo configurada para solucionar violações. (Para leitura em segundo plano, consulte Os princípios básicos de segurança de TI.)
Fazendo um caso federal
No nível federal dos EUA, existem leis e orientações que exigem notificação de violação para tipos específicos de dados: a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) e a Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH) para informações sobre cuidados de saúde, a Lei Gramm-Leach-Bliley para informações financeiras e as orientações do Escritório de Gerenciamento e Orçamento (OMB) para informações pessoais mantidas por agências federais.
De acordo com a Lei HITECH, os prestadores de serviços de saúde cobertos pelo HIPAA devem notificar os pacientes "imediatamente" quando suas informações de saúde forem violadas. O Departamento de Saúde e Serviços Humanos (HHS) e a mídia devem ser notificados nos casos em que as violações afetam mais de 500 pessoas. Os fornecedores de informações pessoais de saúde têm requisitos semelhantes de notificação de violação, mas devem informar a Federal Trade Commission, em vez do HHS.
De acordo com as orientações emitidas pelos reguladores bancários federais sob a Lei Gramm-Leach-Bliley, quando um banco ou outra instituição financeira toma conhecimento de uma violação de dados, ele deve conduzir uma investigação para determinar a probabilidade de que as informações tenham sido ou serão utilizadas indevidamente. Se o banco determinar que o uso indevido ocorreu ou é razoavelmente possível, deve notificar os clientes afetados o mais rápido possível.
O aviso do cliente pode ser adiado se a aplicação da lei determinar que a notificação interferirá em uma investigação criminal e fornecer ao banco uma solicitação por escrito do atraso. O banco deve notificar seus clientes assim que a notificação não interferir mais na investigação. No entanto, a notificação não pode ser adiada por causa de constrangimento ou inconveniência para o banco.
De acordo com as orientações da OMB, as agências federais são obrigadas a relatar todas as violações de dados que envolvam informações de identificação pessoal dentro de uma hora após a descoberta / detecção. No entanto, as agências têm o poder de relatar violações de dados fora da agência. Eles podem atrasar a notificação para fins de aplicação da lei, segurança nacional ou agência.
sonho californiano
No nível estadual, há uma colcha de retalhos de 46 leis estaduais (e do Distrito de Columbia) sobre notificação de violação de dados. A Califórnia promulgou a primeira lei de notificação de violação de dados em 2002 e foi usada como modelo para muitas outras leis estaduais.
De acordo com a lei da Califórnia, as empresas devem divulgar uma violação de dados aos clientes "o mais rápido possível, sem demora injustificada" por escrito. Se a pessoa ou empresa notificadora puder demonstrar que a notificação custaria mais de US $ 250.000 ou afetaria mais de 500.000 pessoas, seria possível usar um aviso substituto na forma de publicação e notificação de um site na mídia estatal. O estatuto isenta de notificação qualquer violação de dados na qual as informações pessoais foram criptografadas.
No entanto, a Califórnia, diferentemente de muitos outros estados, não inclui multas por não notificar imediatamente os consumidores sobre uma violação de dados. A Conferência Nacional de Legislaturas Estaduais mantém uma lista de leis estaduais de notificação de violação de dados e links para essas leis.
Europa ou busto
Na Europa, a União Europeia aprovou um requisito de notificação de violação de dados em uma emenda de 2009 à Diretiva de Privacidade Eletrônica. Os estados membros da União Europeia tiveram até 25 de maio de 2011 para implementar a alteração na legislação nacional.
A emenda exige que "provedores de serviços de comunicações eletrônicas publicamente disponíveis" notifiquem as autoridades nacionais sobre uma violação de informações pessoais que possa resultar em perdas econômicas substanciais e danos sociais aos clientes "assim que" tomar conhecimento da violação. Além disso, os clientes afetados devem ser notificados da violação "sem demora". A notificação deve incluir informações sobre as medidas tomadas pela empresa, bem como as ações recomendadas para os clientes afetados.
São esperadas alterações na Diretiva de Proteção de Dados da UE em 2012, incluindo a exigência de que todas as empresas, não apenas os provedores de serviços de comunicações eletrônicas, notifiquem as autoridades nacionais e os clientes afetados dentro de 24 horas após uma violação de informações pessoais.
A Lei de Proteção de Dados do Reino Unido, que antecede a Diretiva de Privacidade Eletrônica da UE, possui um conjunto abrangente de requisitos para as empresas protegerem dados, embora não contenha um requisito de notificação de violação de dados.
O Gabinete do Comissário de Informação do Reino Unido (OIC), encarregado de implementar a lei, disse que as empresas devem relatar violações graves de dados, definidas como violações que podem causar danos potenciais a indivíduos, à OIC. A agência disse que espera que as empresas britânicas o notifiquem sobre violações de informações pessoais não criptografadas de 1.000 ou mais indivíduos. A OIC afirmou que não é de sua responsabilidade informar os consumidores afetados, mas pode recomendar que a empresa torne a violação pública "onde claramente é do interesse dos indivíduos envolvidos ou se houver um forte argumento de interesse público".
Violações de dados e relatórios
Em resposta a violações de dados altamente divulgadas e pressão pública, legisladores e reguladores americanos e europeus estão considerando requisitos de que todas as empresas relatem violações de dados às autoridades nacionais e consumidores afetados. No entanto, em janeiro de 2012, nenhum desses esforços resultou em leis e regulamentos abrangentes de notificação de violação de dados nos Estados Unidos ou na União Europeia.