Obligaciones de retención de datos y notificación de violaciones de seguridad

Feb 29, 2024
Share

A medida que las empresas se enfrentan a mayores requisitos y restricciones regulatorias en cuanto al uso y la gestión de datos confidenciales, también corren el riesgo de perder ingresos. Peor aún, el director ejecutivo y los miembros del consejo de administración podrían ser considerados personalmente responsables si no logran cumplir con las regulaciones en constante cambio.

Por ejemplo, los recientes cambios regulatorios como los de la Comisión de Bolsa y Valores (SEC) con respecto a Informes de incidentes y divulgaciones sobre ciberseguridad Las normativas obligan a las empresas estadounidenses que cotizan en bolsa a notificar los incidentes de ciberseguridad en un plazo de cuatro días hábiles. Asimismo, exigen que detallen sus estrategias de gestión de la ciberseguridad en sus informes anuales. Estas regulaciones están impulsando a las empresas a incluir cláusulas de retención de datos y notificación de filtraciones en sus contratos con proveedores.

¿Cuáles son las obligaciones de retención de datos y notificación de violaciones de seguridad?

Las normas de retención de datos establecen cuánto tiempo un proveedor conserva los datos de sus clientes antes de eliminarlos. Una vez finalizada la relación entre el proveedor y el cliente, el proveedor debe localizar y borrar de forma segura los datos del cliente, reduciendo así la probabilidad de un incidente de ciberseguridad al limitar la exposición de los datos. Por otro lado, las notificaciones de violación de datos son requisitos contractuales que obligan a los proveedores a informar rápidamente a los clientes sobre cualquier incidente de seguridad que provoque acceso no autorizado o pérdida de datos. Esto permite a los clientes tomar las medidas adecuadas cuando se produce una violación, como notificar a las personas afectadas y prevenir daños mayores.

Para mayor contexto, las políticas de retención de datos y notificación de violaciones de seguridad permiten a los clientes proteger el uso y la gestión de sus datos por parte de los proveedores con los que trabajan. Un proveedor puede almacenar diversos tipos de datos confidenciales de los clientes, incluidos los datos de los clientes (nombres, direcciones y otros datos personales), información de los empleados y datos comerciales confidenciales (propiedad intelectual y secretos comerciales).

¿Qué leyes vigentes regulan la retención de datos y las notificaciones de violaciones de seguridad?

Las principales razones por las que las empresas necesitan una política de retención de datos y notificación de violaciones de seguridad son para protegerse contra la responsabilidad por reclamaciones de gestión de datos, cumplir con las obligaciones contractuales con los clientes y cumplir con los requisitos reglamentarios. Conferencia Nacional de Legislaturas Estatales (NCSL) Según informes, ocho estados de EE. UU. introdujeron nuevas leyes de privacidad del consumidor solo en 2023. Entre las leyes vigentes, existen diversos marcos legales y regulaciones estatales que pueden exigir que su empresa cumpla con las leyes de retención de datos y notificación de violaciones de seguridad.

Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)

Esta es una ley federal de privacidad de datos de salud y pacientes establecida para controlar información sanitaria protegida (PHI) para que no se divulgue sin el consentimiento o conocimiento del paciente.

Retención de datos: Reglas de retención de datos de HIPAA exigir a las organizaciones correspondientes que conserven los datos y registros de los pacientes durante un mínimo de seis (6) años.

Notificación de violación de seguridad: Las entidades cubiertas tienen la obligación de notificar a las personas afectadas y al Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) "sin demora injustificada" y en un plazo no superior a 60 días naturales a partir de la fecha de descubrimiento de la infracción.

Reglamento General de Protección de Datos (RGPD)

El Reglamento General de Protección de Datos El RGPD (Reglamento General de Protección de Datos) es una ley de privacidad que se aplica a las organizaciones que procesan información personal de personas en la Unión Europea.

Retención de datos: RGPD Establece que los datos personales solo deben conservarse durante el período necesario para cumplir con los fines para los que fueron recopilados originalmente (excepto para fines científicos y de investigación).

Notificación de violación de seguridad: Artículo 33 Establece la obligatoriedad de que las violaciones de ciberseguridad se notifiquen a las autoridades de supervisión en un plazo de 72 horas tras su detección.

Gramo-Ley Leach-Bliley (GLBA)

El Ley Gramm-Leach-Bliley regula información personal no pública (NPI), que obliga a las instituciones que ofrecen productos o servicios financieros a los consumidores (préstamos, asesoramiento financiero y de inversión o seguros) a revelar cómo comparten la información del consumidor y protegen sus datos.

Retención de datos: Los requisitos son de seis (6) años e incluyen la aplicación de controles de acceso seguros para proteger la información financiera almacenada.

Notificación de violación de seguridad: Bajo la Comisión Federal de Comercio (FTC) nueva enmienda A partir de noviembre de 2023, las instituciones financieras que sufran una violación de seguridad deberán informar a la FTC en un plazo de 30 días si la violación afecta a los datos de 500 o más consumidores.

Cómo Cyera ayuda a las empresas a cumplir con los requisitos de retención de datos y notificación de violaciones de seguridad.

Cyera permite a los equipos de seguridad comprender dónde y durante cuánto tiempo se han almacenado los datos, de modo que las organizaciones puedan cumplir con sus obligaciones contractuales en la relación proveedor-cliente.

Retención de datos:  Cyera crea un inventario de datos, incluyendo información de clientes, propiedad intelectual y datos comerciales que se hayan compartido como resultado de las relaciones entre proveedores y clientes. Cyera brinda a las organizaciones la visibilidad necesaria para equilibrar los requisitos de retención operativa, como la recuperación ante desastres, con los requisitos contractuales o normativos.

Minimización de datos: Una de las formas más seguras de proteger los datos confidenciales es minimizar la superficie de ataque. Cyera ayuda a los equipos de seguridad a identificar datos obsoletos o redundantes que infringen las políticas de retención y que deben eliminarse.

Identificación y mitigación de brechas de seguridad: En caso de incidentes de seguridad, Cyera permite a los equipos comprender rápidamente los datos afectados, incluyendo el número de registros y la residencia del titular de los datos. El contexto de residencia es fundamental para determinar qué jurisdicciones deben ser notificadas. Además, la plataforma de Cyera permite a los equipos visualizar quién tiene acceso a los datos e identificar las vulnerabilidades que podrían haber provocado la brecha. Esto ayuda a los equipos a analizar el alcance del incidente para determinar la magnitud del ataque, contenerlo y notificar a las partes interesadas sobre los datos perdidos.

Para obtener más información sobre la plataforma de seguridad de datos de Cyera y comprender mejor cómo proteger sus datos, visite cyera.io/demo.

Share