Outro dia, o governador do Colorado assinou o projeto de lei HB18-1128, intitulado "Proteções à privacidade dos dados do consumidor". Obrigará as organizações a notificar os clientes e as autoridades estaduais sobre vazamentos de dados dentro de 30 dias após a ocorrência de tais incidentes. Sob o corte - nossa breve revisão deste projeto de lei, levando em consideração a situação geral em torno da introdução do RGPD.
/ Flickr / Chad Cooper / CC BYO que requer
30 dias é o período de aviso mais curto entre todos os estados. Aplica-se a todas as empresas sem exceção, mas com uma alteração. As empresas não podem relatar um “dreno”, se necessário, no interesse da investigação [página 9, parágrafo (c) no
texto da fatura]. Nesse caso, as agências policiais devem primeiro avisar a empresa. Assim que as restrições a seu pedido são levantadas, o relatório de 30 dias para notificação é retomado.
Além disso, a lei obriga as empresas a fornecer aos moradores afetados do Colorado informações sobre a data do vazamento e quais dados foram comprometidos, além de contatos de representantes da empresa para esclarecer todas as informações sobre o incidente. Tudo isso precisa ser fornecido aos proprietários de PD da seguinte maneira (dependendo dos dados disponíveis):
- envie uma notificação por correio;
- informar por telefone;
- envie email.
Além disso, se o custo de fornecer esses dados e notificar as vítimas exceder US $ 250 mil (ou o número de vítimas exceder 250 mil ou a empresa não tiver as informações necessárias para usar esses métodos de comunicação com os clientes, você poderá notificar os proprietários do PD usando:
- Mensagens na página do site da empresa (se houver);
- mídia regional que transmitem para todo o estado.
A situação
Regulamentos mais rígidos para trabalhar com DP estão associados a vários casos de alto perfil. Por exemplo, com o caso
Equifax . De acordo com o novo projeto, ele cai sob um imenso esgoto e requer notificação pública das vítimas através da mídia. Lembre-se de que, no caso de Equifax, o público descobriu o vazamento apenas um mês e meio após o incidente.
Além disso, a organização reconheceu que os problemas de segurança da informação eram conhecidos em março daquele ano, mas não conseguiu "fechar" a vulnerabilidade (e ficou em silêncio sobre isso).
Um caso mais recente é o hacking do serviço de eventos Ticketfly,
vendido pela Eventbrite por US $ 200 milhões em 2017. Troy Hunt, criador do projeto Have I Been Pwned,
estimou que 26 milhões de usuários do site foram vítimas do vazamento. Em uma correspondência com a Motherboard, o suposto cibercriminoso
afirmou que alertou a Ticketfly sobre vulnerabilidades e pediu 1 bitcoin para obter informações adicionais, mas a empresa não demonstrou interesse. Como resultado, o serviço ficou indisponível por vários dias e, apenas uma semana após o incidente, a empresa
publicou uma mensagem com informações sobre o vazamento, retomando o serviço.
/ Flickr / Korona Lacasse / CC BYPara evitar tais incidentes, os senadores começaram a "promover" um
projeto de lei que impõe
multas às empresas que permitiam vazamentos de PD. Para a Equifax, por exemplo, a multa seria de US $ 1,5 bilhão. A fatura de multas ainda não foi aprovada, mas pode-se supor que os novos prazos para notificações sejam um passo em direção à sua consideração ativa.
Onde mais
O Colorado não é o primeiro estado a atualizar os requisitos para operadores de dados pessoais. Por exemplo, em 2017 em Maryland, foi introduzido um prazo de 45 dias para notificar os proprietários de PDs. Esta é a
média dos EUA para aviso prévio.
Na Louisiana, por outro lado, são 60 dias (
texto da fatura , página 3, parágrafo E). Aqui, o projeto de lei estende o próprio conceito de DP (informações de identificação pessoal). Por exemplo, agora ele incluirá, entre outras coisas, dados biométricos e um número de passaporte (página 2 do
texto da fatura ).
Se falamos do conceito de operador de PD, em Vermont foi proposto estender-se às empresas que processam dados pessoais sem o conhecimento de seus proprietários.
O projeto de lei deve
entrar em vigor em 1º de janeiro de 2019 e obrigará essas empresas a se reportarem anualmente: forneça informações gerais sobre si mesmas, divulgue métodos para obter DP e informações sobre vazamentos e sua extensão.
A propósito, os requisitos de notificação europeus estabelecem uma estrutura mais rígida -
72 horas a partir da data da detecção de vazamentos.
O artigo 33 de um documento oficial estabelece que a notificação das autoridades de supervisão deve incluir:
- uma descrição da natureza do vazamento, indicando o número aproximado de proprietários de DP;
- uma descrição das possíveis consequências e medidas tomadas para mitigá-las;
- bem como informações de contato da empresa que vazou.
O que eles dizem
Segundo um dos redatores do projeto de lei no Colorado, o estado escolheu o prazo ideal, correspondente a riscos potenciais e bom senso. No entanto, esse projeto de lei causou indignação entre as empresas que se concentraram na
HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde) ao trabalhar, por exemplo, com o número querido. seguro. Eles terão que reduzir o período de aviso prévio de 60 dias (conforme exigido pela HIPAA) para 30 dias.
Os escritórios de advocacia
dizem que um período de notificação de vazamento de trinta dias é um requisito que as organizações ainda precisam se acostumar. No entanto, poucos duvidam que, com o tempo, os requisitos para os operadores de DP se tornem apenas mais rigorosos. Muitos estados podem adotar a abordagem européia e reduzir o prazo para dezenas de horas.
O que mais estamos escrevendo no blog corporativo da 1cloud:
Nosso formato mais popular está em um blog no Yandex.Zen: