Leyes de notificación de violaciones de datos

Las leyes de notificación de violaciones de seguridad o leyes de notificación de violaciones de datos son leyes que requieren que las personas o entidades afectadas por una violación de datos , acceso no autorizado a los datos , ^[1] notifiquen a sus clientes y otras partes sobre la violación, así como que tomen medidas específicas para remediar la situación según la legislatura estatal. Las leyes de notificación de violaciones de datos tienen dos objetivos principales. El primer objetivo es permitir que las personas tengan la oportunidad de mitigar los riesgos contra las violaciones de datos. El segundo objetivo es promover el incentivo de la empresa para fortalecer la seguridad de los datos. ^[2] En conjunto, estos objetivos funcionan para minimizar el daño al consumidor por las violaciones de datos, incluida la suplantación de identidad, el fraude y el robo de identidad. ^[3]

Desde 2002, se han promulgado leyes de este tipo de forma irregular en los 50 estados de EE. UU. En la actualidad, los 50 estados han promulgado leyes de notificación de violaciones de datos. ^[4] No existe una ley federal de notificación de violaciones de datos, a pesar de los intentos legislativos anteriores. ^[5] Estas leyes se promulgaron en respuesta a un número creciente de violaciones de bases de datos de consumidores que contienen información de identificación personal . ^[6] De manera similar, muchos otros países, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Enmienda de Privacidad (Violaciones de Datos Notificables) de Australia de 2017 (Cth), han agregado leyes de notificación de violaciones de datos para combatir la creciente incidencia de violaciones de datos. ^[7]

El aumento de las violaciones de datos llevadas a cabo tanto por países como por individuos es evidente y alarmante, ya que el número de violaciones de datos denunciadas ha aumentado de 421 en 2011 a 1.091 en 2016 y 1.579 en 2017 según el Centro de Recursos para el Robo de Identidad (ITRC). ^{[8] [9]} También ha afectado a millones de personas y ha ganado una creciente conciencia pública debido a grandes violaciones de datos como la violación de Equifax de octubre de 2017 que expuso la información personal de casi 146 millones de personas. ^[10]

Australia

En 2018, entró en vigor la Ley de modificación de la privacidad de Australia (violaciones de datos notificables) de 2017. ^[11] Esta modificó la Ley de privacidad de 1988 (Cth), que había establecido un sistema de notificación para las violaciones de datos que involucraban información personal que provocaran daños. Ahora, las entidades con obligaciones de seguridad de la información personal existentes según la Ley de privacidad australiana deben notificar a la Oficina del Comisionado de Información de Australia (OAIC) ​​y a las personas afectadas sobre todas las "violaciones de datos elegibles". ^[12] La enmienda surge a raíz de grandes experiencias de violaciones de datos en Australia, como el hackeo de Yahoo en 2013 que afectó a miles de funcionarios gubernamentales y la violación de datos de la ONG Cruz Roja Australiana que divulgó información personal de 550.000 donantes de sangre.

Entre las críticas a la notificación de las violaciones de datos figuran la exención injustificada de ciertas entidades, como las pequeñas empresas, y el hecho de que el Comisionado de Privacidad no esté obligado a publicar las violaciones de datos en un lugar permanente para que se utilicen como datos para futuras investigaciones. Además, las obligaciones de notificación no son uniformes a nivel estatal. ^[13]

Porcelana

A mediados de 2017, China adoptó una nueva Ley de Seguridad Cibernética, que incluía requisitos de notificación de violaciones de datos. ^[13]

unión Europea

En 1995, la UE aprobó la Directiva de Protección de Datos (DPD), que recientemente ha sido reemplazada por el Reglamento General de Protección de Datos (RGPD) de 2016, una ley federal integral de notificación de violaciones de datos. El RGPD ofrece leyes de protección de datos más estrictas, leyes de notificación de violaciones de datos más amplias y nuevos factores como el derecho a la portabilidad de datos. Sin embargo, ciertas áreas de las leyes de notificación de violaciones de datos se complementan con otras leyes de seguridad de datos. ^[13]

Algunos ejemplos de esto incluyen la implementación por parte de la Unión Europea de una ley de notificación de violaciones en la Directiva sobre Privacidad y Comunicaciones Electrónicas (Directiva E-Privacy) en 2009, específica para datos personales en poder de proveedores de servicios de Internet y telecomunicaciones. ^{[14] [15]} Esta ley contiene algunas de las obligaciones de notificación de violaciones de datos. ^[13]

Los datos de tráfico de los abonados que utilizan voz y datos a través de una empresa de red se guardan en la empresa únicamente por razones operativas. Sin embargo, los datos de tráfico deben eliminarse cuando ya no sean necesarios, con el fin de evitar infracciones. Sin embargo, los datos de tráfico son necesarios para la creación y el tratamiento de la facturación de los abonados. El uso de estos datos está disponible solo hasta el final del período en el que se puede pagar la factura según la legislación de la Unión Europea (artículo 6, párrafos 1 a 6 ^[16] ). En cuanto al uso comercial de los datos de tráfico para la venta de servicios adicionales de pago, la empresa solo puede utilizarlos si el abonado da su consentimiento (pero el consentimiento puede revocarse en cualquier momento). Además, el proveedor de servicios debe informar al abonado o usuario sobre los tipos de datos de tráfico que se procesan y la duración de este procesamiento en función de los supuestos anteriores. El tratamiento de datos de tráfico, de conformidad con los detalles anteriores, debe restringirse a las personas que actúen bajo la autoridad de los proveedores de redes públicas de comunicaciones y servicios de comunicaciones electrónicas disponibles al público que gestionen la facturación o el tráfico, las consultas de clientes, la detección de fraudes, la comercialización de servicios de comunicaciones electrónicas o la prestación de un servicio de valor añadido, y debe restringirse a lo que sea necesario para los fines de dichas actividades.

La nueva Directiva sobre seguridad de las redes y sistemas de información (Directiva NIS) incluye obligaciones de notificación de violaciones de datos. Esta establece requisitos de notificación para los proveedores de servicios esenciales y digitales. Entre estos requisitos se incluye la notificación inmediata a las autoridades o a los equipos de respuesta a incidentes de seguridad informática (CSIRTS) si experimentan una violación significativa de datos.

De manera similar a las preocupaciones de los EE. UU. por un enfoque estado por estado que crea mayores costos y dificultades para cumplir con todas las leyes estatales, los diversos requisitos de notificación de infracciones de la UE en diferentes leyes generan preocupación. ^[13]

Japón

En 2015, Japón modificó la Ley de Protección de la Información Personal (APPI) para combatir las fugas masivas de datos. En concreto, la fuga masiva de datos de Benesse Corporation en 2014, en la que se filtraron y vendieron casi 29 millones de datos privados de clientes. Esto incluye nuevas sanciones penales por transacciones ilegales, pero no hay ninguna disposición específica que se ocupe de la notificación de las violaciones de datos en la APPI. En cambio, las Políticas relativas a la protección de la información personal, de conformidad con la APPI, crean una política que alienta a los operadores comerciales a revelar las violaciones de datos de forma voluntaria. ^[17]

Kaori Ishii y Taro Komukai han teorizado que la cultura japonesa ofrece una posible explicación de por qué no existe una ley específica de notificación de violaciones de datos que aliente a las empresas a fortalecer la seguridad de los datos. El público en general y los medios de comunicación japoneses, en particular, condenan las filtraciones. En consecuencia, las filtraciones de datos rápidamente resultan en la pérdida de la confianza de los clientes, el valor de la marca y, en última instancia, las ganancias. Un ejemplo de esto incluye, después de una filtración de datos en 2004, Softbank perdió rápidamente 107 mil millones de yenes y Benesse Corporation perdió 940.000 clientes después de la filtración de datos. Esto ha dado como resultado el cumplimiento de la divulgación de filtraciones de datos de acuerdo con la política. ^[17]

Si bien es difícil demostrar objetivamente que la cultura japonesa hace necesarias leyes específicas de notificación de violaciones de datos, lo que se ha demostrado es que las empresas que sufren violaciones de datos sufren daños financieros y de reputación. ^{[18] [19]}

Nueva Zelanda

La Ley de Privacidad de Nueva Zelanda de 2020 entró en vigor el 1 de diciembre de 2020 y reemplazó a la ley de 1993. La ley hace obligatoria la notificación de violaciones de la privacidad. ^[20] Las organizaciones que reciben y recopilan datos ahora tendrán que informar sobre cualquier violación de la privacidad que consideren que ha causado, o es probable que cause, un daño grave.

Estados Unidos

Se han promulgado leyes de notificación de violaciones de datos en los 50 estados, el Distrito de Columbia , Guam , Puerto Rico y las Islas Vírgenes . ^[6] Hasta agosto de 2021, los intentos de aprobar una ley federal de notificación de violaciones de datos no han tenido éxito. ^[21]

Los 50 estados

La primera de esas leyes, la ley de notificación de violaciones de seguridad de datos de California , ^[22] se promulgó en 2002 y entró en vigencia el 1 de julio de 2003. ^[23] El proyecto de ley se promulgó como reacción al temor al robo de identidad y al fraude . ^{[8] [24]} Como se relata en la declaración del proyecto de ley, la ley requiere que "una agencia estatal, o una persona o empresa que realice negocios en California, que posea o licencie datos computarizados que incluyan información personal, según se define, divulgue de maneras específicas, cualquier violación de la seguridad de los datos, según se define, a cualquier residente de California cuya información personal no cifrada haya sido, o se crea razonablemente que ha sido, adquirida por una persona no autorizada". Además, la ley permite la notificación retrasada "si una agencia de aplicación de la ley determina que impediría una investigación criminal". La ley también requiere que cualquier entidad que licencie dicha información notifique al propietario o licenciatario de la información sobre cualquier violación de la seguridad de los datos.

En general, la mayoría de las leyes estatales siguen los principios básicos de la ley original de California: las empresas deben informar inmediatamente a los clientes sobre una violación de datos , normalmente por escrito. ^[25] Desde entonces, California ha ampliado su ley para incluir la información médica y de seguros de salud comprometida. ^[26] Donde más difieren los proyectos de ley es en qué nivel se debe informar la violación al Fiscal General del estado (normalmente cuando afecta a 500 o 1000 personas o más). Algunos estados como California publican estas notificaciones de violación de datos en sus sitios web oag.gov. Las violaciones deben informarse si "se ha adquirido información personal confidencial o se cree razonablemente que ha sido adquirida por una persona no autorizada, y es razonablemente probable que cause un daño sustancial a las personas a las que se refiere la información". ^[27] Esto deja lugar a cierta interpretación (¿causará un daño sustancial?); pero las violaciones de datos cifrados no necesitan informarse. Tampoco debe informarse si los datos han sido obtenidos o vistos por personas no autorizadas, siempre que no haya motivos para creer que utilizarán los datos de forma perjudicial.

La Conferencia Nacional de Legislaturas Estatales mantiene una lista de leyes de notificación de violaciones de seguridad promulgadas y propuestas. ^[6] Alabama y Dakota del Sur promulgaron sus leyes de notificación de violaciones de datos en 2018, lo que los convirtió en los últimos estados en hacerlo.

Algunas de las diferencias entre los estados en las leyes de notificación de violaciones de datos incluyen los umbrales de daño sufrido por las violaciones de datos, la necesidad de notificar a ciertas agencias de cumplimiento de la ley o de crédito al consumidor, definiciones más amplias de información personal y diferencias en las sanciones por incumplimiento. ^[13]

Historial de la Ley Federal de Notificación de Violaciones de Datos

En agosto de 2021, no existe una ley federal de notificación de violaciones de datos. La primera propuesta de ley federal de notificación de violaciones de datos se presentó al Congreso en 2003, pero nunca salió del Comité Judicial. ^{[5] De manera similar, se han presentado en el} Congreso de los EE. UU. una serie de proyectos de ley que establecerían un estándar nacional para la notificación de violaciones de seguridad de datos , pero ninguno fue aprobado en el 109.º Congreso . ^[28] De hecho, en 2007, se propusieron tres leyes federales de notificación de violaciones de datos, pero ninguna fue aprobada por el Congreso. ^[5] En su discurso sobre el Estado de la Unión de 2015, el presidente Obama propuso una nueva legislación para crear un estándar nacional de violación de datos que establecería un requisito de notificación de 30 días a partir del descubrimiento de una violación. ^[29] Esto condujo a la propuesta de Ley de Notificación y Protección de Datos Personales (PDNPA) de 2015 del presidente Obama. Esto habría creado pautas y estándares federales de notificación, pero nunca salió del comité. ^[5]

Chlotia Garrison y Clovia Hamilton plantearon la teoría de que una posible razón para la incapacidad de aprobar una ley federal sobre notificaciones de violaciones de datos son los derechos de los estados. Hasta el momento, los 50 estados tienen diferentes leyes de notificación de violaciones de datos. Algunas son restrictivas, mientras que otras son amplias. ^[5] Si bien no existe una ley federal integral sobre notificaciones de violaciones de datos, algunas leyes federales exigen notificaciones de violaciones de datos en determinadas circunstancias. Algunos ejemplos notables incluyen: la Ley de la Comisión Federal de Comercio (FTC Act), la Ley de Modernización de Servicios Financieros (Gramm-Leach-Bliley Act) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA). ^[13]

Debate sobre leyes federales o estatales de notificación de violaciones de datos

La mayoría de los académicos, como Angela Daly, que abogan por leyes federales de notificación de violaciones de datos, destacan el problema de tener diferentes formas de leyes de notificación de violaciones de datos. Es decir, las empresas se ven obligadas a cumplir con leyes de notificación de violaciones de datos de múltiples estados. Esto crea una mayor dificultad para cumplir con las leyes y los costos. Además, los académicos han argumentado que un enfoque estado por estado ha creado el problema de las víctimas no compensadas y los incentivos inadecuados para persuadir a las empresas y los gobiernos de que inviertan en seguridad de datos. ^[13]

Los defensores de un enfoque de cada estado para las leyes de notificación de violaciones de datos destacan una mayor eficiencia, mayores incentivos para que los gobiernos locales aumenten la seguridad de los datos, fondos federales limitados disponibles debido a múltiples proyectos y, por último, los estados pueden adaptarse rápidamente y aprobar leyes para tecnologías de violación de datos en constante evolución. ^[10] En 2018, una mayoría de fiscales generales estatales se opusieron a una propuesta de ley federal de notificación de violaciones de datos que prevalecería sobre las leyes estatales. ^[30]

Impacto

Las violaciones de datos ocurren debido a problemas técnicos, como códigos defectuosos, o problemas económicos que hacen que las empresas competidoras no cooperen entre sí para abordar la seguridad de los datos. ^[31] En respuesta, las leyes de notificación de violaciones de datos intentan evitar daños a las empresas y al público.

Impacto criminal

Un daño grave de las violaciones de datos es el robo de identidad . El robo de identidad puede perjudicar a las personas cuando sus datos personales son robados y utilizados por otra parte para crear daños financieros, como retirar su dinero, o no financieros, como reclamar fraudulentamente sus beneficios de salud y hacerse pasar por ellos y cometer delitos. ^[32] Según los datos recopilados entre 2002 y 2009 por la Comisión Federal de Comercio de los EE. UU. , el uso de la notificación de violaciones de datos ha ayudado a reducir el robo de identidad en un 6,1 por ciento. ^[33]

Impacto económico

En general, las notificaciones de violaciones de datos conducen a una disminución del valor de mercado, lo que se evidencia en las empresas que cotizan en bolsa que experimentan una disminución de la valoración de mercado. ^{[34] [35]} Otros costos incluyen la pérdida de la confianza del consumidor y la fe en la empresa, la pérdida de negocios, la disminución de la productividad y la exposición a la responsabilidad de terceros. ^[35] Cabe destacar que el tipo de datos que se filtran a partir de la filtración tiene un impacto económico variable. Una filtración de datos que filtra datos confidenciales experimenta repercusiones económicas más duras. ^[36]

Respuesta de las víctimas

La mayoría de las demandas federales por violación de datos comparten ciertas características, entre ellas, que el demandante busca reparación por la pérdida de identidad, angustia emocional, pérdidas futuras y un mayor riesgo de sufrir daños en el futuro; la mayoría de los litigios son demandas colectivas privadas; los demandados suelen ser grandes empresas o bufetes; una combinación de causas de acción de derecho consuetudinario y estatutarias; y, por último, la mayoría de los casos se resuelven o se desestiman. ^[37]

Referencias

1. Sen, Ravi; Borle, Sharad (3 de abril de 2015). "Estimación del riesgo contextual de violación de datos: un enfoque empírico". Revista de sistemas de información gerencial . 32 (2): 314–341. doi :10.1080/07421222.2015.1063315. ISSN  0742-1222. S2CID  2311182.
2. Bisogni, Fabio (2016). "Demostración de los límites de las leyes estatales de notificación de violaciones de datos: ¿es una ley federal la solución más adecuada?". Journal of Information Policy . 6 : 154–205. doi : 10.5325/jinfopoli.6.2016.0154 . ISSN  2158-3897. JSTOR  10.5325/jinfopoli.6.2016.0154.
3. Acquisti, Alessandro; Friedman, Allan; Telang, Rahul (2006). "¿Las violaciones de la privacidad tienen un costo? Un estudio de eventos". Actas de ICIS 2006 .
4. Murciano-Goroff, Raviv (2019). "¿Las leyes de divulgación de datos aumentan la inversión de las empresas en la seguridad de su infraestructura digital?". Taller sobre la economía de la seguridad de la información : 1–39.
5. Garrison, Chlotia; Hamilton, Clovia (2 de enero de 2019). "Un análisis comparativo del RGPD de la UE con las notificaciones de infracciones de los EE. UU." (PDF) . Derecho de las Tecnologías de la Información y las Comunicaciones . 28 (1): 99–114. doi :10.1080/13600834.2019.1571473. hdl : 10535/10737 . ISSN  1360-0834. S2CID  86668452.
6. "Leyes de notificación de violaciones de seguridad". Conferencia Nacional de Legislaturas Estatales . Consultado el 27 de enero de 2019 .
7. "¿Qué es el RGPD, la nueva ley de protección de datos de la UE?". GDPR.eu . 2018-11-07 . Consultado el 2021-10-25 .
8. Bisogni, Fabio; Asghari, Hadi (2020). "Más que un sospechoso: una investigación sobre la conexión entre las violaciones de datos, el robo de identidad y las leyes de notificación de violaciones de datos". Revista de Política de la Información . 10 : 45–82. doi : 10.5325/jinfopoli.10.2020.0045 . ISSN  2381-5892. JSTOR  10.5325/jinfopoli.10.2020.0045. S2CID  226623656.
9. Romanosky, Sasha; Boudreaux, Benjamin (26 de agosto de 2020). "Atribución de incidentes cibernéticos al sector privado: beneficios y riesgos para el gobierno de Estados Unidos". Revista internacional de inteligencia y contrainteligencia . 34 (3): 463–493. doi :10.1080/08850607.2020.1783877. ISSN  0885-0607. S2CID  235636491.
10. Ronaldson, Nicholas (1 de mayo de 2019). "HACKING: THE NAKED AGE CIBERCRIME, CLAPPER & STANDING, Y EL DEBATE ENTRE LAS LEYES ESTATALES Y FEDERALES DE NOTIFICACIÓN DE FILTRACIÓN DE DATOS". Northwestern Journal of Technology and Intellectual Property . 16 (4): 305. ISSN  1549-8271.
11. AG. "Ley de modificación de la privacidad (violaciones de datos notificables) de 2017". www.legislation.gov.au . Consultado el 29 de octubre de 2023 .
12. Green, Paul. "Leyes de notificación obligatoria de violaciones de datos de Australia: ¿está preparado?". Aspecto empresarial . Consultado el 30 de noviembre de 2020 .
13. Daly, Angela (2018). "La introducción de la legislación sobre notificación de violaciones de datos en Australia: una visión comparativa". Computer Law & Security Review . 34 (3): 477–495. doi :10.1016/j.clsr.2018.01.005. ISSN  0267-3649. S2CID  67358435.
14. Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) n.º 2006/2004 sobre la cooperación entre las autoridades nacionales encargadas de la aplicación de la legislación de protección de los consumidores. El artículo 2, apartado 4, letra c), de la Directiva 2009/136/CE modifica el artículo 4, apartados 3 a 5, de la Directiva 2002/58/CE. Este artículo trata de la seguridad del tratamiento de datos, las notificaciones de infracciones y la obligación de los proveedores de servicios de garantizar la protección de los datos personales.
15. "Nuevas normas específicas para los consumidores en caso de pérdida o robo de datos personales de telecomunicaciones en la UE". Mercado Único Digital . 5 de noviembre de 2016 . Consultado el 11 de mayo de 2016 .
16. Texto consolidado: Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas)
17. Ishii, Kaori; Komukai, Taro (7 de septiembre de 2016). "Un estudio jurídico comparativo sobre las violaciones de datos en Japón, Estados Unidos y el Reino Unido". Tecnología e intimidad: ¿elección o coerción ? IFIP Avances en tecnología de la información y la comunicación. Vol. AICT-474. págs. 86–105. doi :10.1007/978-3-319-44805-3_8. ISBN 978-3-319-44804-6.S2CID 41459415  .
18. Honeywill, Sean (1 de marzo de 2006). "Seguridad de datos y notificación de violaciones de datos para instituciones financieras". Instituto Bancario de Carolina del Norte . 10 (1): 269.
19. Lending, Claire; Minnick, Kristina; Schorno, Patrick J. (2 de abril de 2018). "Gobierno corporativo, responsabilidad social y violaciones de datos". Financial Review . 53 (2): 413–455. doi : 10.1111/fire.12160 . ISSN  0732-8516.
20. "Transición de la Ley de Privacidad de 1993 a la Ley de Privacidad de 2020" . Consultado el 29 de noviembre de 2020 .
21. Voss, W. Gregory; Houser, Kimberly A. (20 de mayo de 2019). "Datos personales y el RGPD: una ventaja competitiva para las empresas estadounidenses". Revista estadounidense de derecho empresarial . 56 (2): 287–344. doi :10.1111/ablj.12139. ISSN  0002-7766. S2CID  182271514.
22. SB 1386 , Código Civil de California 1798.82 y 1798.29.
23. Proyecto de ley del Senado SB 1386 Archivado el 13 de junio de 2007 en Wayback Machine
24. Burdon, Mark; Lane, Bill; von Nessen, Paul (2010). "La notificación obligatoria de violaciones de datos: cuestiones que surgen en el marco de los avances legales en Australia y la UE". Computer Law & Security Review . 26 (2): 115–129. doi :10.1016/j.clsr.2010.01.006. ISSN  0267-3649.
25. Scott Berinato (12 de febrero de 2008). "CSO Disclosure Series - Data Breach Notification Laws, State By State" (Serie de divulgación de las OSC: leyes de notificación de violaciones de datos, estado por estado). CSO Online . Consultado el 11 de mayo de 2016 .
26. "Proyecto de ley AB 1298 de la Asamblea - CAPÍTULO 1" . Consultado el 11 de mayo de 2016 .
27. https://www.bakerlaw.com/files/uploads/documents/data%20breach%20documents/state_data_breach_statute_form.pdf ^{[ URL simple PDF ]}
28. "Blogs de RSA". RSA.com . Consultado el 27 de enero de 2019 .
29. "Ley de protección y notificación de datos personales" (PDF) . Obamawhitehouse.archives.gov . Consultado el 4 de mayo de 2018 .
30. Soroka, Saranna (8 de abril de 2018). "Coalición de 32 fiscales generales estatales expresa su oposición a la preeminencia federal de las leyes estatales de notificación de violaciones de datos". JOLT Digest . Consultado el 26 de agosto de 2021 .
31. Sen, Ravi (2018). "Desafíos para la ciberseguridad: estado actual de la situación". Comunicaciones de la Asociación de Sistemas de Información : 22–44. doi : 10.17705/1cais.04302 . ISSN  1529-3181.
32. White, Michael D.; Fisher, Christopher (2008). "Evaluación de nuestro conocimiento sobre el robo de identidad". Revista de Políticas de Justicia Penal . 19 (1): 3–24. doi :10.1177/0887403407306297. ISSN  0887-4034. S2CID  144958696.
33. Romanosky, Sasha; Telang, Rahul; Acquisti, Alessandro (2011). "¿Reducen las leyes de divulgación de violaciones de datos el robo de identidad?". Journal of Policy Analysis and Management . 30 (2): 256–286. doi :10.1002/pam.20567. ISSN  0276-8739.
34. Gatzlaff, Kevin M.; McCullough, Kathleen A. (2010). "El efecto de las filtraciones de datos en la riqueza de los accionistas". Risk Management and Insurance Review . 13 (1): 61–83. doi :10.1111/j.1540-6296.2010.01178.x. ISSN  1098-1616. S2CID  153592982.
35. Cavusoglu, Huseyin; Mishra, Birendra; Raghunathan, Srinivasan (2004). "El efecto de los anuncios de violaciones de seguridad en Internet sobre el valor de mercado: reacciones del mercado de capitales para las empresas que han sufrido violaciones y los desarrolladores de seguridad en Internet". Revista internacional de comercio electrónico . 9 (1): 70–104. doi :10.1080/10864415.2004.11044320. ISSN  1086-4415. S2CID  10753015.
36. Campbell, Katherine; Gordon, Lawrence A.; Loeb, Martin P.; Zhou, Lei (2003). "El coste económico de las violaciones de seguridad de la información anunciadas públicamente: evidencia empírica del mercado de valores" (PDF) . Journal of Computer Security . 11 (3): 431–448. doi :10.3233/JCS-2003-11308.
37. Romanosky, Sasha; Hoffman, David; Acquisti, Alessandro (17 de enero de 2014). "Análisis empírico de litigios por violación de datos". Revista de estudios jurídicos empíricos . 11 (1): 74–104. doi :10.1111/jels.12035. ISSN  1740-1453. S2CID  155714280.

Lectura adicional

• Solove, Daniel J.; Hartzog, Woodrow (2022). ¡Violación!: Por qué falla la ley de seguridad de datos y cómo mejorarla . Oxford University Press. ISBN 978-0-19-094057-7.

Enlaces externos

• Tabla de leyes de notificación de violaciones de seguridad de la Conferencia Nacional de Legislaturas Estatales
• Mapa interactivo que compara las leyes de notificación de violaciones de seguridad de EE. UU. (requiere suscripción)
• Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas)