Schneiderman Anuncia Proyecto De Ley “Shield” Para Proteger A Los Neoyorquinos De Las Infracciones De Datos

A raíz de la violación de datos de Equifax, la nueva legislación convertiría a NY en líder en seguridad de datos, requiriendo robustas protecciones para la información personal de los neoyorquinos

En el 2016 las infracciones de datos aumentaron en un 60%, afectando a los neoyorquinos

NUEVA YORK - El Fiscal General Eric T. Schneiderman presentó hoy una nueva legislación para proteger integralmente la información personal de los neoyorquinos de un número creciente de infracciones de datos. A raíz de la violación Equifax, el proyecto de ley Detener Piratería y Mejorar Seguridad de Datos Electrónicos (SHIELD Act), presentada esta semana en la legislatura, cerraría las principales lagunas en las leyes de seguridad de datos de Nueva York, sin imponer una carga excesiva a las empresas.

"Está claro que las leyes de seguridad de datos de Nueva York son débiles y obsoletas. La Ley SHIELD ayudaría a garantizar, en primer lugar, estos ataques nunca ocurran. Es hora de que Albany actúe, para que no más neoyorquinos no sean víctimas innecesariamente de medidas de seguridad de datos débiles ya que los piratas informáticos criminales que están constantemente al acecho", dijo el Fiscal General Schneiderman.

El proyecto de ley SHIELD fue presentado esta semana por el Fiscal General Schneiderman y está patrocinado por el Senador David Carlucci y el Asambleísta Brian Kavanagh.

Solo en 2016, la Oficina del Fiscal General recibió un récord de 1.300 notificaciones de incumplimiento de datos, lo que representa un aumento del 60 por ciento con respecto al año anterior. En septiembre, se anunció que Equifax Inc, una de las tres principales agencias de informes crediticios del país, experimentó una violación masiva que afectó a más de 8 millones de neoyorquinos; El Fiscal General Schneiderman inició una investigación formal sobre la violación y ha presionado con éxito a la compañía para abordar una serie de cuestiones.

Según la ley actual, las compañías pueden compilar porciones de datos confidenciales sobre neoyorquinos individuales, pero no están obligadas a cumplir con ningún requisito de seguridad de datos si la información de identificación personal en su poder no incluye un número de seguro social. De hecho, la ley actual ni siquiera exige que las empresas denuncien infracciones de datos de combinaciones de nombre de usuario y contraseña, o datos biométricos como la huella digital utilizada para desbloquear un iPhone.

Según el proyecto de ley SHIELD del Fiscal General Schneiderman, las empresas tendrían la responsabilidad legal de adoptar salvaguardas administrativos, técnicos y físicos "razonables" para los datos confidenciales; los estándares se aplicarían a cualquier negocio que tenga datos confidenciales de neoyorquinos, ya sea que hagan negocios en Nueva York o no. Los estándares son razonables y acordes con la sensibilidad de los datos retenidos y el tamaño y la complejidad del negocio.

La Ley SHIELD también amplía los tipos de datos que activan los requisitos de informes, para incluir combinaciones de nombre de usuario y contraseña, datos biométricos y datos de salud cubiertos por HIPAA. El proyecto de ley también brinda a las empresas un fuerte incentivo para ir más allá del mínimo indispensable y obtener una certificación independiente de que sus medidas de seguridad de datos cumplen con los estándares más altos; las empresas que lo hagan recibirán refugio de la acción de aplicación de la ley del estado.

"Las brechas de datos recientes han puesto en riesgo a los neoyorquinos. Desgraciadamente no estamos preparados para protegernos contra los ciberataques, poniendo en peligro la economía de los Estados Unidos. Hasta que el gobierno federal decida enfrentar este problema, debemos actuar para proteger a los neoyorquinos. La Ley SHIELD servirá como modelo a seguir para NY y el resto de la nación para mantener a los estadounidenses a salvo", dijo el Senador David Carlucci.

"Las principales deficiencias en las prácticas de seguridad de datos de las grandes empresas han provocado violaciones masivas, poniendo en riesgo a millones de neoyorquinos", dijo el asambleísta Brian Kavanagh, que preside el Comité de Protección y Asuntos del Consumidor de la Asamblea. "Me enorgullece trabajar con el Fiscal General Schneiderman en esta importante legislación para exigir a las empresas que tomen las medidas adecuadas para salvaguardar nuestros datos. En esta era tecnológica, no podemos permitir que las empresas sean descuidadas con nuestra información personal. Espero trabajar con el Senador Carlucci y nuestros colegas en la legislatura para promulgar este proyecto de ley".

"La seguridad de los datos es importante tanto para los consumidores como para las empresas. Ambos son víctimas cuando hay un ataque cibernético. Esperamos con interés trabajar con el Fiscal General en esta propuesta legislación", dijo Kathryn S. Wylde, Presidenta y Directora Ejecutiva de Partnership para la ciudad de Nueva York.

La Directora del Estado de Nueva York de AARP, Beth Finkel, dijo: "El robo de identidad ya no es una preocupación imprecisa de que podría afectar a alguien que conocemos; el escándalo de Equifax lo ha convertido en una amenaza para cada uno de nosotros. AARP aplaude al Fiscal General Schneiderman por dar un paso proactivo para proteger nuestra información personal de posibles ladrones que literalmente podrían arruinar nuestras vidas. Agradecemos el apoyo del Senador Carlucci y del Asambleísta Kavanagh, e instamos a todos a que aprovechen la Red de Vigilancia contra el Fraude de AARP para obtener información práctica y consejos sobre cómo protegerse".

David Zetoony, líder de la práctica global de privacidad y seguridad de datos de Bryan Cave, dijo: "Brindar un puerto seguro a las empresas que van más allá para certificar una buena seguridad de los datos es innovador, único y amigable para las empresas. Recompensa a las empresas que hacen un esfuerzo adicional para auditar y verificar el cumplimiento de una práctica de seguridad de datos de la industria, eliminando los costos y la imprevisibilidad de los litigios gubernamentales. Tampoco penaliza a las pequeñas empresas que tienen buenas prácticas de seguridad, pero no puede pagar el costo significativo de las auditorías y certificaciones anuales de seguridad de datos. Este es el tipo de liderazgo necesario para mejorar la legislación de seguridad de datos en todo el país".

La Ley SHIELD:

  • Requiere una seguridad razonable para la información privada, utilizando estándares adaptados al tamaño del negocio, evitando al mismo tiempo regulaciones duplicadas y proporcionando incentivos a las empresas que certifican el cumplimiento de la seguridad. Específicamente, el proyecto de ley:
    • Establece "entidades reguladas que cumplen con los requisitos", definidas como aquellas ya reguladas y que cumplen con las regulaciones existentes o futuras de cualquier entidad gubernamental federal o del Estado de Nueva York (incluidas las reglamentaciones del DFS del Estado de Nueva York, regulaciones bajo Gramm-Leach-Bliley, regulaciones HIPAA) que cumplen con el requisito de seguridad razonable de esta ley. El proyecto de ley establece que las "entidades certificadas en cumplimiento", definidas como aquéllas con certificación independiente de cumplimiento de las normas de seguridad de datos gubernamentales antes mencionadas o con las normas ISO / NIST, reciben protección de las acciones de cumplimiento de la Fiscalía General bajo esta ley.
    • Proporciona un estándar más flexible para pequeñas empresas (menos de 50 empleados y menos de $3 millones en ingresos brutos, o menos de $5 millones en activos): requiere garantías razonables "apropiadas para el tamaño y la complejidad [de la pequeña empresa]"
    • Para todos los demás negocios, requiere "garantías razonables" y proporciona ejemplos claros de medidas de protección (por ejemplo, medidas técnicas, administrativas y físicas).
  • Considera que la seguridad inadecuada es una violación de la Ley General de Negocios (GBL § 349) y permite que el Fiscal General entable una demanda y busque sanciones civiles bajo GBL § 350 (d).
  • Amplía los requisitos para informar una infracción al Fiscal General al agregar como un activador del aviso requerido:
    • "Acceso a" (por ejemplo, visualización de) información privada (además del activador actual para "adquisición")
    • Notificación de infracciones de tipos de datos adicionales, incluida la combinación de nombre de usuario y contraseña, datos biométricos y datos de salud cubiertos por HIPAA
  • Aplica el requisito de notificación a cualquier persona que tenga información privada de neoyorquinos, cambiando el requisito actual de que "realice negocios" en el estado de Nueva York.