Entendiendo la Ley SHIELD de Nueva York
La "Ley para detener los hackeos y mejorar la seguridad de los datos electrónicos" (Ley SHIELD) de Nueva York entra en vigencia el 21 de marzo de 2020. La Ley SHIELD exige que todas las empresas que recopilan información privada sobre los residentes de Nueva York implementen medidas de seguridad cibernética razonables para proteger esa información. . Todos deben familiarizarse con la ley, ya que se aplica a cualquier empleador, individuo u organización que recopile información privada sobre los residentes de Nueva York, a diferencia de solo las empresas que operan dentro del estado.
¿Qué hay de nuevo?
La Ley SHIELD amplía dos definiciones clave relacionadas con la información privada de los residentes de Nueva York: qué incluye la información privada y qué constituye una violación de la seguridad. Además, la Ley exige mayores requisitos de protección de datos de seguridad.
- Información privada: En virtud de la Ley, la definición de información privada se ha ampliado considerablemente. Además de la información de identificación personal, como el nombre de una persona y el número de seguro social, datos como datos biométricos, nombres de usuario/direcciones de correo electrónico en combinación con una contraseña, tarjeta de crédito/débito o números de cuenta (incluso sin un código de seguridad, siempre que persona no autorizada podría obtener acceso a la cuenta con la información proporcionada) ahora se consideran privados.
- Violación de la seguridad: Antes de la Ley, una infracción se definía como “la adquisición no autorizada de datos computarizados”. Esa definición ahora se amplía para incluir el acceso no autorizado de datos computarizados, ya sea que haya ocurrido o no la adquisición.
Requisitos de protección de datos
Se requerirá que las empresas desarrollen, implementen y mantengan "garantías razonables para proteger la seguridad, la confidencialidad y la integridad" de los datos de los residentes de Nueva York, incluida, entre otras cosas, la eliminación de datos. Las siguientes son las tres categorías de salvaguardas:
- Salvaguardias Administrativas: estos incluyen la designación de uno o más empleados para coordinar un programa de seguridad, la evaluación de los procedimientos y salvaguardas actuales, la capacitación en seguridad cibernética en toda la empresa, la selección del proveedor de servicios y la identificación del riesgo razonable causado por agentes externos o internos.
- Garantías técnicas: estos incluyen evaluaciones de riesgo relacionadas con el almacenamiento de datos y sistemas de transmisión, redes, procesamiento de información y software. También se incluyen en las salvaguardas técnicas la identificación, las mediciones y las respuestas a las fallas del sistema, así como las pruebas y el monitoreo para garantizar la efectividad de los controles clave.
- Salvaguardias físicas: estos incluyen detección y respuesta a cualquier intento de intrusión, protecciones contra el acceso no autorizado o uso de información privada e información
eliminación (incluido el borrado de medios electrónicos para garantizar que la información no se pueda leer ni reconstruir).
Las pequeñas empresas que cumplen con un conjunto muy limitado de criterios pueden escalar sus programas de seguridad de datos de acuerdo con su tamaño y el alcance y la naturaleza de sus actividades comerciales. Los criterios para la excepción son (a) la empresa tiene menos de 50 empleados; y (b) menos de $3 millones en ingresos brutos en cada uno de los últimos tres años fiscales, o menos de $5 millones en activos totales al final del año. Dado que la mayoría de las empresas superarán estos umbrales, se les exigirá que implementen un plan integral.
Además, se considera que las empresas que ya están reguladas por otras leyes de protección de datos federales o de Nueva York, como HIPAA o el Departamento de Servicios Financieros del Estado de Nueva York, cumplen con ciertos aspectos de la Ley SHIELD.
Con la fecha límite a solo unas semanas de distancia, es imperativo que su empresa evalúe si los procesos y procedimientos actuales requieren una actualización.
Para obtener más información, póngase en contacto con su Consejero Prager Metis.