Las leyes de notificación de violaciones de seguridad o leyes de notificación de violaciones de datos son leyes que requieren que las personas o entidades afectadas por una violación de datos , acceso no autorizado a los datos , [1] notifiquen a sus clientes y otras partes sobre la violación, así como que tomen medidas específicas para remediar la situación según la legislatura estatal. Las leyes de notificación de violaciones de datos tienen dos objetivos principales. El primer objetivo es permitir que las personas tengan la oportunidad de mitigar los riesgos contra las violaciones de datos. El segundo objetivo es promover el incentivo de la empresa para fortalecer la seguridad de los datos. [2] En conjunto, estos objetivos funcionan para minimizar el daño al consumidor por las violaciones de datos, incluida la suplantación de identidad, el fraude y el robo de identidad. [3]
Desde 2002, se han promulgado leyes de este tipo de forma irregular en los 50 estados de EE. UU. En la actualidad, los 50 estados han promulgado leyes de notificación de violaciones de datos. [4] No existe una ley federal de notificación de violaciones de datos, a pesar de los intentos legislativos anteriores. [5] Estas leyes se promulgaron en respuesta a un número creciente de violaciones de bases de datos de consumidores que contienen información de identificación personal . [6] De manera similar, muchos otros países, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Enmienda de Privacidad (Violaciones de Datos Notificables) de Australia de 2017 (Cth), han agregado leyes de notificación de violaciones de datos para combatir la creciente incidencia de violaciones de datos. [7]
El aumento de las violaciones de datos llevadas a cabo tanto por países como por individuos es evidente y alarmante, ya que el número de violaciones de datos denunciadas ha aumentado de 421 en 2011 a 1.091 en 2016 y 1.579 en 2017 según el Centro de Recursos para el Robo de Identidad (ITRC). [8] [9] También ha afectado a millones de personas y ha ganado una creciente conciencia pública debido a grandes violaciones de datos como la violación de Equifax de octubre de 2017 que expuso la información personal de casi 146 millones de personas. [10]
En 2018, entró en vigor la Ley de modificación de la privacidad de Australia (violaciones de datos notificables) de 2017. [11] Esta modificó la Ley de privacidad de 1988 (Cth), que había establecido un sistema de notificación para las violaciones de datos que involucraban información personal que provocaran daños. Ahora, las entidades con obligaciones de seguridad de la información personal existentes según la Ley de privacidad australiana deben notificar a la Oficina del Comisionado de Información de Australia (OAIC) y a las personas afectadas sobre todas las "violaciones de datos elegibles". [12] La enmienda surge a raíz de grandes experiencias de violaciones de datos en Australia, como el hackeo de Yahoo en 2013 que afectó a miles de funcionarios gubernamentales y la violación de datos de la ONG Cruz Roja Australiana que divulgó información personal de 550.000 donantes de sangre.
Entre las críticas a la notificación de las violaciones de datos figuran la exención injustificada de ciertas entidades, como las pequeñas empresas, y el hecho de que el Comisionado de Privacidad no esté obligado a publicar las violaciones de datos en un lugar permanente para que se utilicen como datos para futuras investigaciones. Además, las obligaciones de notificación no son uniformes a nivel estatal. [13]
A mediados de 2017, China adoptó una nueva Ley de Seguridad Cibernética, que incluía requisitos de notificación de violaciones de datos. [13]
En 1995, la UE aprobó la Directiva de Protección de Datos (DPD), que recientemente ha sido reemplazada por el Reglamento General de Protección de Datos (RGPD) de 2016, una ley federal integral de notificación de violaciones de datos. El RGPD ofrece leyes de protección de datos más estrictas, leyes de notificación de violaciones de datos más amplias y nuevos factores como el derecho a la portabilidad de datos. Sin embargo, ciertas áreas de las leyes de notificación de violaciones de datos se complementan con otras leyes de seguridad de datos. [13]
Algunos ejemplos de esto incluyen la implementación por parte de la Unión Europea de una ley de notificación de violaciones en la Directiva sobre Privacidad y Comunicaciones Electrónicas (Directiva E-Privacy) en 2009, específica para datos personales en poder de proveedores de servicios de Internet y telecomunicaciones. [14] [15] Esta ley contiene algunas de las obligaciones de notificación de violaciones de datos. [13]
Los datos de tráfico de los abonados que utilizan voz y datos a través de una empresa de red se guardan en la empresa únicamente por razones operativas. Sin embargo, los datos de tráfico deben eliminarse cuando ya no sean necesarios, con el fin de evitar infracciones. Sin embargo, los datos de tráfico son necesarios para la creación y el tratamiento de la facturación de los abonados. El uso de estos datos está disponible solo hasta el final del período en el que se puede pagar la factura según la legislación de la Unión Europea (artículo 6, párrafos 1 a 6 [16] ). En cuanto al uso comercial de los datos de tráfico para la venta de servicios adicionales de pago, la empresa solo puede utilizarlos si el abonado da su consentimiento (pero el consentimiento puede revocarse en cualquier momento). Además, el proveedor de servicios debe informar al abonado o usuario sobre los tipos de datos de tráfico que se procesan y la duración de este procesamiento en función de los supuestos anteriores. El tratamiento de datos de tráfico, de conformidad con los detalles anteriores, debe restringirse a las personas que actúen bajo la autoridad de los proveedores de redes públicas de comunicaciones y servicios de comunicaciones electrónicas disponibles al público que gestionen la facturación o el tráfico, las consultas de clientes, la detección de fraudes, la comercialización de servicios de comunicaciones electrónicas o la prestación de un servicio de valor añadido, y debe restringirse a lo que sea necesario para los fines de dichas actividades.
La nueva Directiva sobre seguridad de las redes y sistemas de información (Directiva NIS) incluye obligaciones de notificación de violaciones de datos. Esta establece requisitos de notificación para los proveedores de servicios esenciales y digitales. Entre estos requisitos se incluye la notificación inmediata a las autoridades o a los equipos de respuesta a incidentes de seguridad informática (CSIRTS) si experimentan una violación significativa de datos.
De manera similar a las preocupaciones de los EE. UU. por un enfoque estado por estado que crea mayores costos y dificultades para cumplir con todas las leyes estatales, los diversos requisitos de notificación de infracciones de la UE en diferentes leyes generan preocupación. [13]
En 2015, Japón modificó la Ley de Protección de la Información Personal (APPI) para combatir las fugas masivas de datos. En concreto, la fuga masiva de datos de Benesse Corporation en 2014, en la que se filtraron y vendieron casi 29 millones de datos privados de clientes. Esto incluye nuevas sanciones penales por transacciones ilegales, pero no hay ninguna disposición específica que se ocupe de la notificación de las violaciones de datos en la APPI. En cambio, las Políticas relativas a la protección de la información personal, de conformidad con la APPI, crean una política que alienta a los operadores comerciales a revelar las violaciones de datos de forma voluntaria. [17]
Kaori Ishii y Taro Komukai han teorizado que la cultura japonesa ofrece una posible explicación de por qué no existe una ley específica de notificación de violaciones de datos que aliente a las empresas a fortalecer la seguridad de los datos. El público en general y los medios de comunicación japoneses, en particular, condenan las filtraciones. En consecuencia, las filtraciones de datos rápidamente resultan en la pérdida de la confianza de los clientes, el valor de la marca y, en última instancia, las ganancias. Un ejemplo de esto incluye, después de una filtración de datos en 2004, Softbank perdió rápidamente 107 mil millones de yenes y Benesse Corporation perdió 940.000 clientes después de la filtración de datos. Esto ha dado como resultado el cumplimiento de la divulgación de filtraciones de datos de acuerdo con la política. [17]
Si bien es difícil demostrar objetivamente que la cultura japonesa hace necesarias leyes específicas de notificación de violaciones de datos, lo que se ha demostrado es que las empresas que sufren violaciones de datos sufren daños financieros y de reputación. [18] [19]
La Ley de Privacidad de Nueva Zelanda de 2020 entró en vigor el 1 de diciembre de 2020 y reemplazó a la ley de 1993. La ley hace obligatoria la notificación de violaciones de la privacidad. [20] Las organizaciones que reciben y recopilan datos ahora tendrán que informar sobre cualquier violación de la privacidad que consideren que ha causado, o es probable que cause, un daño grave.
Se han promulgado leyes de notificación de violaciones de datos en los 50 estados, el Distrito de Columbia , Guam , Puerto Rico y las Islas Vírgenes . [6] Hasta agosto de 2021, los intentos de aprobar una ley federal de notificación de violaciones de datos no han tenido éxito. [21]
La primera de esas leyes, la ley de notificación de violaciones de seguridad de datos de California , [22] se promulgó en 2002 y entró en vigencia el 1 de julio de 2003. [23] El proyecto de ley se promulgó como reacción al temor al robo de identidad y al fraude . [8] [24] Como se relata en la declaración del proyecto de ley, la ley requiere que "una agencia estatal, o una persona o empresa que realice negocios en California, que posea o licencie datos computarizados que incluyan información personal, según se define, divulgue de maneras específicas, cualquier violación de la seguridad de los datos, según se define, a cualquier residente de California cuya información personal no cifrada haya sido, o se crea razonablemente que ha sido, adquirida por una persona no autorizada". Además, la ley permite la notificación retrasada "si una agencia de aplicación de la ley determina que impediría una investigación criminal". La ley también requiere que cualquier entidad que licencie dicha información notifique al propietario o licenciatario de la información sobre cualquier violación de la seguridad de los datos.
En general, la mayoría de las leyes estatales siguen los principios básicos de la ley original de California: las empresas deben informar inmediatamente a los clientes sobre una violación de datos , normalmente por escrito. [25] Desde entonces, California ha ampliado su ley para incluir la información médica y de seguros de salud comprometida. [26] Donde más difieren los proyectos de ley es en qué nivel se debe informar la violación al Fiscal General del estado (normalmente cuando afecta a 500 o 1000 personas o más). Algunos estados como California publican estas notificaciones de violación de datos en sus sitios web oag.gov. Las violaciones deben informarse si "se ha adquirido información personal confidencial o se cree razonablemente que ha sido adquirida por una persona no autorizada, y es razonablemente probable que cause un daño sustancial a las personas a las que se refiere la información". [27] Esto deja lugar a cierta interpretación (¿causará un daño sustancial?); pero las violaciones de datos cifrados no necesitan informarse. Tampoco debe informarse si los datos han sido obtenidos o vistos por personas no autorizadas, siempre que no haya motivos para creer que utilizarán los datos de forma perjudicial.
La Conferencia Nacional de Legislaturas Estatales mantiene una lista de leyes de notificación de violaciones de seguridad promulgadas y propuestas. [6] Alabama y Dakota del Sur promulgaron sus leyes de notificación de violaciones de datos en 2018, lo que los convirtió en los últimos estados en hacerlo.
Algunas de las diferencias entre los estados en las leyes de notificación de violaciones de datos incluyen los umbrales de daño sufrido por las violaciones de datos, la necesidad de notificar a ciertas agencias de cumplimiento de la ley o de crédito al consumidor, definiciones más amplias de información personal y diferencias en las sanciones por incumplimiento. [13]
En agosto de 2021, no existe una ley federal de notificación de violaciones de datos. La primera propuesta de ley federal de notificación de violaciones de datos se presentó al Congreso en 2003, pero nunca salió del Comité Judicial. [5] De manera similar, se han presentado en el Congreso de los EE. UU. una serie de proyectos de ley que establecerían un estándar nacional para la notificación de violaciones de seguridad de datos , pero ninguno fue aprobado en el 109.º Congreso . [28] De hecho, en 2007, se propusieron tres leyes federales de notificación de violaciones de datos, pero ninguna fue aprobada por el Congreso. [5] En su discurso sobre el Estado de la Unión de 2015, el presidente Obama propuso una nueva legislación para crear un estándar nacional de violación de datos que establecería un requisito de notificación de 30 días a partir del descubrimiento de una violación. [29] Esto condujo a la propuesta de Ley de Notificación y Protección de Datos Personales (PDNPA) de 2015 del presidente Obama. Esto habría creado pautas y estándares federales de notificación, pero nunca salió del comité. [5]
Chlotia Garrison y Clovia Hamilton plantearon la teoría de que una posible razón para la incapacidad de aprobar una ley federal sobre notificaciones de violaciones de datos son los derechos de los estados. Hasta el momento, los 50 estados tienen diferentes leyes de notificación de violaciones de datos. Algunas son restrictivas, mientras que otras son amplias. [5] Si bien no existe una ley federal integral sobre notificaciones de violaciones de datos, algunas leyes federales exigen notificaciones de violaciones de datos en determinadas circunstancias. Algunos ejemplos notables incluyen: la Ley de la Comisión Federal de Comercio (FTC Act), la Ley de Modernización de Servicios Financieros (Gramm-Leach-Bliley Act) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA). [13]
La mayoría de los académicos, como Angela Daly, que abogan por leyes federales de notificación de violaciones de datos, destacan el problema de tener diferentes formas de leyes de notificación de violaciones de datos. Es decir, las empresas se ven obligadas a cumplir con leyes de notificación de violaciones de datos de múltiples estados. Esto crea una mayor dificultad para cumplir con las leyes y los costos. Además, los académicos han argumentado que un enfoque estado por estado ha creado el problema de las víctimas no compensadas y los incentivos inadecuados para persuadir a las empresas y los gobiernos de que inviertan en seguridad de datos. [13]
Los defensores de un enfoque de cada estado para las leyes de notificación de violaciones de datos destacan una mayor eficiencia, mayores incentivos para que los gobiernos locales aumenten la seguridad de los datos, fondos federales limitados disponibles debido a múltiples proyectos y, por último, los estados pueden adaptarse rápidamente y aprobar leyes para tecnologías de violación de datos en constante evolución. [10] En 2018, una mayoría de fiscales generales estatales se opusieron a una propuesta de ley federal de notificación de violaciones de datos que prevalecería sobre las leyes estatales. [30]
Las violaciones de datos ocurren debido a problemas técnicos, como códigos defectuosos, o problemas económicos que hacen que las empresas competidoras no cooperen entre sí para abordar la seguridad de los datos. [31] En respuesta, las leyes de notificación de violaciones de datos intentan evitar daños a las empresas y al público.
Un daño grave de las violaciones de datos es el robo de identidad . El robo de identidad puede perjudicar a las personas cuando sus datos personales son robados y utilizados por otra parte para crear daños financieros, como retirar su dinero, o no financieros, como reclamar fraudulentamente sus beneficios de salud y hacerse pasar por ellos y cometer delitos. [32] Según los datos recopilados entre 2002 y 2009 por la Comisión Federal de Comercio de los EE. UU. , el uso de la notificación de violaciones de datos ha ayudado a reducir el robo de identidad en un 6,1 por ciento. [33]
En general, las notificaciones de violaciones de datos conducen a una disminución del valor de mercado, lo que se evidencia en las empresas que cotizan en bolsa que experimentan una disminución de la valoración de mercado. [34] [35] Otros costos incluyen la pérdida de la confianza del consumidor y la fe en la empresa, la pérdida de negocios, la disminución de la productividad y la exposición a la responsabilidad de terceros. [35] Cabe destacar que el tipo de datos que se filtran a partir de la filtración tiene un impacto económico variable. Una filtración de datos que filtra datos confidenciales experimenta repercusiones económicas más duras. [36]
La mayoría de las demandas federales por violación de datos comparten ciertas características, entre ellas, que el demandante busca reparación por la pérdida de identidad, angustia emocional, pérdidas futuras y un mayor riesgo de sufrir daños en el futuro; la mayoría de los litigios son demandas colectivas privadas; los demandados suelen ser grandes empresas o bufetes; una combinación de causas de acción de derecho consuetudinario y estatutarias; y, por último, la mayoría de los casos se resuelven o se desestiman. [37]