stringtranslate.com

Leyes de notificación de violación de datos

Las leyes de notificación de violaciones de seguridad o leyes de notificación de violaciones de datos son leyes que requieren que las personas o entidades afectadas por una violación de datos , acceso no autorizado a datos , [1] notifiquen a sus clientes y otras partes sobre la violación, así como que tomen medidas específicas para remediar la violación. situación basada en la legislatura estatal. Las leyes de notificación de violaciones de datos tienen dos objetivos principales. El primer objetivo es brindar a las personas la oportunidad de mitigar los riesgos contra las filtraciones de datos. El segundo objetivo es promover incentivos a las empresas para fortalecer la seguridad de los datos. [2] En conjunto, estos objetivos trabajan para minimizar el daño al consumidor causado por violaciones de datos, incluida la suplantación de identidad, el fraude y el robo de identidad. [3]

Estas leyes se han promulgado de manera irregular en los 50 estados de EE. UU. desde 2002. Actualmente, los 50 estados han promulgado formas de leyes de notificación de violaciones de datos. [4] No existe una ley federal de notificación de violaciones de datos, a pesar de intentos legislativos anteriores. [5] Estas leyes se promulgaron en respuesta a un número cada vez mayor de violaciones de bases de datos de consumidores que contienen información de identificación personal . [6] De manera similar, muchos otros países, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y la Ley de Enmienda de Privacidad (violaciones de datos notificables) de Australia de 2017 (Cth), han agregado leyes de notificación de violaciones de datos para combatir la creciente ocurrencia de violaciones de datos. [7]

El aumento de las violaciones de datos realizadas tanto por países como por individuos es evidente y alarmante, ya que el número de violaciones de datos reportadas ha aumentado de 421 en 2011 a 1.091 en 2016 y 1.579 en 2017, según el Centro de Recursos sobre Robo de Identidad (ITRC). [8] [9] También ha impactado a millones de personas y ha ganado una mayor conciencia pública debido a grandes violaciones de datos, como la violación de Equifax de octubre de 2017 que expuso casi 146 millones de información personal de personas. [10]

Australia

En 2018, entró en vigor la Ley de Enmienda de Privacidad de Australia (violaciones de datos notificables) de 2017. [11] Esto modificó la Ley de Privacidad de 1988 (Cth), que había establecido un sistema de notificación para violaciones de datos que involucran información personal y que conducen a daños. Ahora, las entidades con obligaciones de seguridad de la información personal vigentes en virtud de la Ley de Privacidad de Australia deben notificar a la Oficina del Comisionado de Información de Australia (OAIC) ​​y a las personas afectadas sobre todas las "violaciones de datos elegibles". [12] La enmienda surge de grandes experiencias de violaciones de datos en Australia, como el hackeo de Yahoo en 2013 que involucró a miles de funcionarios gubernamentales y la violación de datos de la ONG Cruz Roja Australiana que liberó la información personal de 550.000 donantes de sangre.

Las críticas a la notificación de violación de datos incluyen: la exención injustificada de ciertas entidades, como las pequeñas empresas, y que el Comisionado de Privacidad no está obligado a publicar violaciones de datos en un lugar permanente para ser utilizado como datos para futuras investigaciones. Además, las obligaciones de notificación no son consistentes a nivel estatal. [13]

Porcelana

A mediados de 2017, China adoptó una nueva Ley de Ciberseguridad, que incluía requisitos de notificación de violaciones de datos. [13]

unión Europea

En 1995, la UE aprobó la Directiva de Protección de Datos (DPD), que recientemente fue reemplazada por el Reglamento General de Protección de Datos (GDPR) de 2016, una ley federal integral de notificación de violaciones de datos. El RGPD ofrece leyes de protección de datos más estrictas, leyes de notificación de violaciones de datos más amplias y nuevos factores como el derecho a la portabilidad de los datos. Sin embargo, ciertas áreas de las leyes de notificación de violaciones de datos se complementan con otras leyes de seguridad de datos. [13]

Ejemplos de esto incluyen, la Unión Europea implementó una ley de notificación de incumplimiento en la Directiva sobre Privacidad y Comunicaciones Electrónicas (Directiva de Privacidad Electrónica) en 2009, específica para los datos personales en poder de los proveedores de servicios de Internet y telecomunicaciones. [14] [15] Esta ley contiene algunas de las obligaciones de notificación de violaciones de datos. [13]

Los datos de tráfico de los abonados que utilizan voz y datos a través de una empresa de red se guardan en la empresa únicamente por motivos operativos. Sin embargo, los datos de tráfico deben eliminarse cuando ya no sean necesarios para evitar violaciones. Sin embargo, los datos de tráfico son necesarios para la creación y tratamiento de la facturación del abonado. El uso de estos datos está disponible sólo hasta el final del período en el que la factura puede reembolsarse según la ley de la Unión Europea (Artículo 6 - párrafos 1-6 [16] ). En cuanto al uso comercial de los datos de tráfico para la venta de servicios adicionales de pago, la empresa sólo puede utilizarlos si el suscriptor da su consentimiento (pero el consentimiento puede retirarse en cualquier momento). Asimismo, el prestador del servicio deberá informar al abonado o usuario de los tipos de datos de tráfico que se tratan y de la duración del mismo en base a los supuestos anteriores. El procesamiento de datos de tráfico, de acuerdo con los detalles anteriores, debe limitarse a personas que actúen bajo la autoridad de proveedores de redes públicas de comunicaciones y servicios de comunicaciones electrónicas disponibles públicamente que se encarguen de la facturación o la gestión del tráfico, consultas de clientes, detección de fraude y marketing de servicios de comunicaciones electrónicas. o proporcionar un servicio de valor agregado, y debe restringirse a lo necesario para los fines de tales actividades.

Las obligaciones de notificación de violaciones de datos están incluidas en la nueva Directiva sobre seguridad de redes y sistemas de información (Directiva NIS). Esto crea requisitos de notificación sobre los servicios esenciales y los proveedores de servicios digitales. Entre ellas se incluye notificar inmediatamente a las autoridades o a los equipos de respuesta a incidentes de seguridad informática (CSIRTS) si experimentan una violación de datos importante.

De manera similar a las preocupaciones de Estados Unidos por un enfoque estado por estado que genere mayores costos y dificultades para cumplir con todas las leyes estatales, los diversos requisitos de notificación de incumplimiento de la UE en diferentes leyes generan preocupación. [13]

Japón

En 2015, Japón modificó la Ley de Protección de Información Personal (APPI) para combatir las fugas masivas de datos. Específicamente, la filtración masiva de datos de Benesse Corporation en 2014, donde se filtraron y vendieron casi 29 millones de datos privados de clientes. Esto incluye nuevas sanciones penales por transacciones ilegales; sin embargo, no existe ninguna disposición específica que trate sobre la notificación de violación de datos en la APPI. En cambio, las Políticas relativas a la protección de información personal, de acuerdo con la APPI, crean una política que alienta a los operadores comerciales a revelar violaciones de datos de forma voluntaria. [17]

Kaori Ishii y Taro Komukai han teorizado que la cultura japonesa ofrece una posible explicación de por qué no existe una ley específica de notificación de violaciones de datos para alentar a las empresas a fortalecer la seguridad de los datos. El público japonés en general y los medios de comunicación en particular condenan las filtraciones. En consecuencia, las filtraciones de datos rápidamente resultan en la pérdida de la confianza del cliente, el valor de la marca y, en última instancia, las ganancias. Un ejemplo de esto incluye, después de una filtración de datos en 2004, Softbank perdió rápidamente 107 mil millones de yenes y Benesse Corporation perdió 940.000 clientes después de la filtración de datos. Esto ha resultado en el cumplimiento de la divulgación de fugas de datos de acuerdo con la política. [17]

Si bien es difícil demostrar objetivamente que la cultura japonesa hace necesarias leyes específicas de notificación de violaciones de datos, lo que se ha demostrado es que las empresas que sufren violaciones de datos experimentan daños tanto financieros como de reputación. [18] [19]

Nueva Zelanda

La Ley de Privacidad de Nueva Zelanda de 2020 entró en vigor el 1 de diciembre de 2020 y reemplazó la ley de 1993. La ley hace obligatoria la notificación de violaciones de la privacidad. [20] Las organizaciones que reciben y recopilan datos ahora tendrán que informar cualquier violación de la privacidad que crean que ha causado, o que probablemente causará, un daño grave.

Estados Unidos

Se han promulgado leyes de notificación de violación de datos en los 50 estados, el Distrito de Columbia , Guam , Puerto Rico y las Islas Vírgenes . [6] En agosto de 2021, los intentos de aprobar una ley federal de notificación de violaciones de datos no han tenido éxito. [21]

Los 50 estados

La primera ley de este tipo, la ley de notificación de violaciones de seguridad de datos de California , [22] se promulgó en 2002 y entró en vigor el 1 de julio de 2003. [23] El proyecto de ley se promulgó como reacción al temor al robo de identidad y al fraude . [8] [24] Como se relata en el extracto del proyecto de ley, la ley exige que "una agencia estatal, o una persona o empresa que realice negocios en California, que posea o conceda licencia a datos computarizados que incluyan información personal, según se define, la divulgue de maneras específicas". , cualquier violación de la seguridad de los datos, tal como se define, a cualquier residente de California cuya información personal no cifrada fue, o se cree razonablemente que fue, adquirida por una persona no autorizada". Además, la ley permite retrasar la notificación "si una agencia encargada de hacer cumplir la ley determina que ello impediría una investigación criminal". La ley también exige que cualquier entidad que otorgue licencia para dicha información notifique al propietario o licenciatario de la información sobre cualquier violación de la seguridad de los datos.

En general, la mayoría de las leyes estatales siguen los principios básicos de la ley original de California: las empresas deben revelar inmediatamente una violación de datos a los clientes, generalmente por escrito. [25] Desde entonces, California ha ampliado su ley para incluir información médica y de seguros de salud comprometida. [26] Donde más difieren los proyectos de ley es en qué nivel se debe informar la infracción al Fiscal General del estado (normalmente cuando afecta a 500 o 1.000 personas o más). Algunos estados como California publican estas notificaciones de violación de datos en sus sitios web oag.gov. Las infracciones deben informarse si "se ha adquirido información confidencial de identificación personal o se cree razonablemente que ha sido adquirida por una persona no autorizada, y es razonablemente probable que cause un daño sustancial a las personas a quienes se relaciona la información". [27] Esto deja lugar a algunas interpretaciones (¿causará un daño sustancial?); pero no es necesario informar sobre las violaciones de datos cifrados. Tampoco se debe informar si los datos han sido obtenidos o vistos por personas no autorizadas, siempre y cuando no haya motivos para creer que los utilizarán de manera dañina.

La Conferencia Nacional de Legislaturas Estatales mantiene una lista de leyes de notificación de violaciones de seguridad promulgadas y propuestas. [6] Alabama y Dakota del Sur promulgaron sus leyes de notificación de violación de datos en 2018, lo que los convirtió en los últimos estados en hacerlo.

Algunas de las diferencias estatales en las leyes de notificación de violaciones de datos incluyen umbrales de daño sufrido por violaciones de datos, la necesidad de notificar a ciertas autoridades o agencias de crédito al consumo, definiciones más amplias de información personal y diferencias en las sanciones por incumplimiento. [13]

Historial de la ley federal de notificación de violación de datos

En agosto de 2021, no existe ninguna ley federal de notificación de violaciones de datos. La primera propuesta de ley federal de notificación de violaciones de datos se presentó al Congreso en 2003, pero nunca salió del Comité Judicial. [5] De manera similar, se han presentado en el Congreso de los EE. UU. una serie de proyectos de ley que establecerían un estándar nacional para la notificación de violaciones de seguridad de datos , pero ninguno fue aprobado en el 109º Congreso . [28] De hecho, en 2007, se propusieron tres leyes federales de notificación de violaciones de datos, pero ninguna fue aprobada por el Congreso. [5] En su discurso sobre el Estado de la Unión de 2015, el presidente Obama propuso una nueva legislación para crear un estándar nacional sobre violación de datos que establecería un requisito de notificación de 30 días desde el descubrimiento de una violación. [29] Esto llevó a la propuesta de Ley de Protección y Notificación de Datos Personales (PDNPA) de 2015 del presidente Obama. Esto habría creado pautas y estándares federales de notificación, pero nunca surgió del comité. [5]

Chlotia Garrison y Clovia Hamilton teorizaron que una posible razón para la incapacidad de aprobar una ley federal sobre notificaciones de violación de datos son los derechos de los estados. A partir de ahora, los 50 estados tienen diferentes leyes de notificación de violaciones de datos. Algunas son restrictivas, mientras que otras son amplias. [5] Si bien no existe una ley federal integral sobre notificaciones de violaciones de datos, algunas leyes federales exigen notificaciones de violaciones de datos en determinadas circunstancias. Algunos ejemplos notables incluyen: la Ley de la Comisión Federal de Comercio (Ley FTC), la Ley de Modernización de Servicios Financieros (Ley Gramm-Leach-Bliley) y la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA). [13]

Debate sobre las leyes federales o estatales de notificación de violaciones de datos

La mayoría de los académicos, como Angela Daly, abogan por leyes federales de notificación de violaciones de datos y enfatizan el problema de tener distintas formas de leyes de notificación de violaciones de datos. Es decir, las empresas se ven obligadas a cumplir con múltiples leyes estatales de notificación de violaciones de datos. Esto crea una mayor dificultad para cumplir con las leyes y los costos. Además, los académicos han argumentado que un enfoque estado por estado ha creado el problema de víctimas no compensadas e incentivos inadecuados para persuadir a empresas y gobiernos a invertir en seguridad de datos. [13]

Los defensores de un enfoque estado por estado para las leyes de notificación de violaciones de datos enfatizan una mayor eficiencia, mayores incentivos para que los gobiernos locales aumenten la seguridad de los datos, fondos federales limitados disponibles debido a múltiples proyectos y, por último, los estados pueden adaptarse rápidamente y aprobar leyes para tecnologías de violación de datos en constante evolución. [10] En 2018, la mayoría de los fiscales generales estatales se opusieron a una propuesta de ley federal de notificación de violaciones de datos que prevalecería sobre las leyes estatales. [30]

Impacto

Las violaciones de datos se producen debido a problemas técnicos, como códigos incorrectos, o problemas económicos que hacen que las empresas competidoras no cooperen entre sí para abordar la seguridad de los datos. [31] En respuesta, las leyes de notificación de violaciones de datos intentan evitar daños a las empresas y al público.

Impacto criminal

Un daño grave de las violaciones de datos es el robo de identidad . El robo de identidad puede dañar a las personas cuando sus datos personales son robados y son utilizados por otra parte para crear daños financieros, como retirar su dinero, o no financieros, como reclamar fraudulentamente sus beneficios de salud, hacerse pasar por ellos y cometer delitos. [32] Según los datos recopilados entre 2002 y 2009 por la Comisión Federal de Comercio de EE. UU. , el uso de la notificación de violación de datos ha ayudado a disminuir el robo de identidad en un 6,1 por ciento. [33]

Impacto económico

En general, las notificaciones de violación de datos conducen a una disminución del valor de mercado, lo que es evidente en las empresas que cotizan en bolsa que experimentan una disminución en la valoración de mercado. [34] [35] Otros costos incluyen la pérdida de confianza del consumidor y en la empresa, pérdida de negocios, disminución de la productividad y exposición a responsabilidad de terceros. [35] En particular, el tipo de datos que se filtran a partir de la infracción tiene un impacto económico variable. Una violación de datos que filtra datos confidenciales experimenta repercusiones económicas más duras. [36]

Respuesta de la víctima

La mayoría de las demandas federales por violación de datos comparten ciertas características. Estos incluyen un demandante que busca alivio por la pérdida de un robo de identidad, angustia emocional, pérdidas futuras y mayor riesgo de daños futuros; la mayoría de los litigios son demandas colectivas privadas; los demandados suelen ser grandes empresas o negocios; una combinación de causas de acción de derecho consuetudinario y legales; y, por último, la mayoría de los casos se resuelven o se desestiman. [37]

Referencias

  1. ^ Sen, Ravi; Borle, Sharad (3 de abril de 2015). "Estimación del riesgo contextual de filtración de datos: un enfoque empírico". Revista de sistemas de información de gestión . 32 (2): 314–341. doi :10.1080/07421222.2015.1063315. ISSN  0742-1222. S2CID  2311182.
  2. ^ Bisogni, Fabio (2016). "Demostración de los límites de las leyes estatales de notificación de violaciones de datos: ¿es una ley federal la solución más adecuada?". Revista de Política de Información . 6 : 154-205. doi : 10.5325/jinfopoli.6.2016.0154 . ISSN  2158-3897. JSTOR  10.5325/jinfopoli.6.2016.0154.
  3. ^ Acquisti, Alessandro; Friedman, Allan; Telang, Rahul (2006). "¿Las violaciones de la privacidad tienen un costo? Un estudio de eventos". Procedimiento ICIS 2006 .
  4. ^ Murciano-Goroff, Raviv (2019). "¿Las leyes de divulgación de violaciones de datos aumentan las empresas; la inversión para proteger su infraestructura digital?". Taller sobre economía de la seguridad de la información : 1–39.
  5. ^ ABCDE Guarnición, Clotia; Hamilton, Clovia (2 de enero de 2019). "Un análisis comparativo del RGPD de la UE con las notificaciones de incumplimiento de EE. UU." (PDF) . Ley de Tecnologías de la Información y las Comunicaciones . 28 (1): 99-114. doi :10.1080/13600834.2019.1571473. hdl : 10535/10737 . ISSN  1360-0834. S2CID  86668452.
  6. ^ abc "Leyes de notificación de infracciones de seguridad". Conferencia Nacional de Legislaturas Estatales . Consultado el 27 de enero de 2019 .
  7. ^ "¿Qué es GDPR, la nueva ley de protección de datos de la UE?". RGPD.eu. ​2018-11-07 . Consultado el 25 de octubre de 2021 .
  8. ^ ab Bisogni, Fabio; Asghari, Hadi (2020). "Más que un sospechoso: una investigación sobre la conexión entre las leyes de vulneración de datos, robo de identidad y notificación de vulneración de datos". Revista de Política de Información . 10 : 45–82. doi : 10.5325/jinfopoli.10.2020.0045 . ISSN  2381-5892. JSTOR  10.5325/jinfopoli.10.2020.0045. S2CID  226623656.
  9. ^ Romanosky, Sasha; Boudreaux, Benjamín (26 de agosto de 2020). "Atribución de incidentes cibernéticos por parte del sector privado: beneficios y riesgos para el gobierno de EE. UU.". Revista Internacional de Inteligencia y Contrainteligencia . 34 (3): 463–493. doi : 10.1080/08850607.2020.1783877. ISSN  0885-0607. S2CID  235636491.
  10. ^ ab Ronaldson, Nicholas (1 de mayo de 2019). "HACKING: EL CIBERCRIMEN, CLAPPER & STANDING DE LA ERA DESNUDA, Y EL DEBATE ENTRE LAS LEYES ESTATALES Y FEDERALES DE NOTIFICACIÓN DE VIOLACIÓN DE DATOS". Revista Northwestern de Tecnología y Propiedad Intelectual . 16 (4): 305. ISSN  1549-8271.
  11. ^ AG. "Ley de enmienda de privacidad (violaciones de datos notificables) de 2017". www.legislación.gov.au . Consultado el 29 de octubre de 2023 .
  12. ^ Verde, Pablo. "Leyes obligatorias de notificación de vulneración de datos de Australia: ¿está listo?". Aspecto empresarial . Consultado el 30 de noviembre de 2020 .
  13. ^ abcdefgh Daly, Ángela (2018). "La introducción de una legislación de notificación de violaciones de datos en Australia: una visión comparada". Revisión de seguridad y derecho informático . 34 (3): 477–495. doi :10.1016/j.clsr.2018.01.005. ISSN  0267-3649. S2CID  67358435.
  14. ^ "Modificación del artículo 4 lit. 3-5 de la Directiva 2002/58/CE (Directiva de privacidad electrónica) por el artículo 2 lit. 4 c) de la Directiva 2009/136/CE" . Consultado el 27 de enero de 2019 .
  15. ^ "Nuevas normas específicas para los consumidores en caso de pérdida o robo de datos personales de telecomunicaciones en la UE". Mercado Único Digital . 5 de noviembre de 2016 . Consultado el 11 de mayo de 2016 .
  16. ^ "EUR-Lex - 32002L0058 - ES - EUR-Lex". eur-lex.europa.eu . Consultado el 27 de enero de 2019 .
  17. ^ ab Ishii, Kaori; Komukai, Taro (7 de septiembre de 2016). "Un estudio jurídico comparativo sobre violaciones de datos en Japón, Estados Unidos y el Reino Unido". Tecnología e intimidad: elección o coerción . Avances del IFIP en tecnologías de la información y las comunicaciones. vol. AICT-474. págs. 86-105. doi :10.1007/978-3-319-44805-3_8. ISBN 978-3-319-44804-6. S2CID  41459415.
  18. ^ Honeywill, Sean (1 de marzo de 2006). "Seguridad de datos y notificación de vulneración de datos para instituciones financieras". Instituto Bancario de Carolina del Norte . 10 (1): 269.
  19. ^ Préstamos, Claire; Minnick, Kristina; Schorno, Patrick J. (2 de abril de 2018). "Gobierno corporativo, responsabilidad social y filtración de datos". Revisión financiera . 53 (2): 413–455. doi : 10.1111/fuego.12160 . ISSN  0732-8516.
  20. ^ "Transición de la Ley de Privacidad de 1993 a la Ley de Privacidad de 2020" . Consultado el 29 de noviembre de 2020 .
  21. ^ Voss, W. Gregorio; Houser, Kimberly A. (20 de mayo de 2019). "Datos personales y el RGPD: proporcionar una ventaja competitiva para las empresas estadounidenses". Revista estadounidense de derecho empresarial . 56 (2): 287–344. doi :10.1111/ablj.12139. ISSN  0002-7766. S2CID  182271514.
  22. ^ SB 1386 , California. Civilización. Código 1798.82 y 1798.29.
  23. ^ Proyecto de ley del Senado SB 1386 Archivado el 13 de junio de 2007 en la Wayback Machine.
  24. ^ Burdón, Mark; Carril, Bill; Von Nessen, Paul (2010). "La notificación obligatoria de violaciones de datos: cuestiones que surgen de la evolución jurídica de Australia y la UE". Revisión de seguridad y derecho informático . 26 (2): 115-129. doi :10.1016/j.clsr.2010.01.006. ISSN  0267-3649.
  25. ^ Scott Berinato (12 de febrero de 2008). "Serie de divulgación de OSC: leyes de notificación de vulneración de datos, estado por estado". OSC en línea . Consultado el 11 de mayo de 2016 .
  26. ^ "Proyecto de ley de la Asamblea AB 1298 - CAPITULO" . Consultado el 11 de mayo de 2016 .
  27. ^ https://www.bakerlaw.com/files/uploads/documents/data%20breach%20documents/state_data_breach_statute_form.pdf [ URL básica PDF ]
  28. ^ "Blogs de RSA". RSA.com . Consultado el 27 de enero de 2019 .
  29. ^ "Ley de protección y notificación de datos personales" (PDF) . Obamawhitehouse.archives.gov . Consultado el 4 de mayo de 2018 .
  30. ^ Soroka, Saranna (8 de abril de 2018). "La coalición de 32 AG estatales describe la oposición a las leyes federales de prioridad de notificación de violaciones de datos estatales". Resumen JOLT . Consultado el 26 de agosto de 2021 .
  31. ^ Sen, Ravi (2018). "Desafíos para la ciberseguridad: situación actual". Comunicaciones de la Asociación de Sistemas de Información : 22–44. doi : 10.17705/1cais.04302 . ISSN  1529-3181.
  32. ^ Blanco, Michael D.; Pescador, Christopher (2008). "Evaluación de nuestro conocimiento sobre el robo de identidad". Revisión de la política de justicia penal . 19 (1): 3–24. doi :10.1177/0887403407306297. ISSN  0887-4034. S2CID  144958696.
  33. ^ Romanosky, Sasha; Telang, Rahul; Acquisti, Alessandro (2011). "¿Las leyes de divulgación de violaciones de datos reducen el robo de identidad?". Revista de análisis y gestión de políticas . 30 (2): 256–286. doi :10.1002/pam.20567. ISSN  0276-8739.
  34. ^ Gatzlaff, Kevin M.; McCullough, Kathleen A. (2010). "El efecto de las violaciones de datos en la riqueza de los accionistas". Gestión de Riesgos y Revisión de Seguros . 13 (1): 61–83. doi :10.1111/j.1540-6296.2010.01178.x. ISSN  1098-1616. S2CID  153592982.
  35. ^ ab Cavusoglu, Huseyin; Mishra, Birendra; Raghunathan, Srinivasan (2004). "El efecto de los anuncios sobre violaciones de seguridad de Internet en el valor de mercado: reacciones del mercado de capitales para empresas infringidas y desarrolladores de seguridad de Internet". Revista Internacional de Comercio Electrónico . 9 (1): 70-104. doi :10.1080/10864415.2004.11044320. ISSN  1086-4415. S2CID  10753015.
  36. ^ Campbell, Katherine; Gordon, Lorenzo A.; Loeb, Martín P.; Zhou, Lei (2003). "El coste económico de las violaciones de seguridad de la información anunciadas públicamente: evidencia empírica del mercado de valores" (PDF) . Revista de seguridad informática . 11 (3): 431–448. doi :10.3233/JCS-2003-11308.
  37. ^ Romanosky, Sasha; Hoffman, David; Acquisti, Alessandro (17 de enero de 2014). "Análisis empírico de litigios por violación de datos". Revista de Estudios Jurídicos Empíricos . 11 (1): 74-104. doi :10.1111/jels.12035. ISSN  1740-1453. S2CID  155714280.

Otras lecturas

enlaces externos