Obligaciones de conservación de datos y notificación de brechas

Por ejemplo, cambios regulatorios recientes, como los de la Comisión de Bolsa y Valores (SEC) con respecto a la notificación de incidentes y las divulgaciones de ciberseguridad, exigen que las empresas que cotizan públicamente en EE. UU. informen los incidentes de ciberseguridad dentro de cuatro días hábiles. También requieren que las empresas públicas detallen sus estrategias de gestión de ciberseguridad en los informes anuales. Estas regulaciones están llevando a las empresas a incorporar compromisos de retención de datos y notificación de brechas en sus contratos con proveedores.

¿Cuáles son las obligaciones de retención de datos y notificación de brechas?

Las reglas de retención de datos establecen cuánto tiempo un proveedor conserva los datos de un cliente antes de eliminarlos. Una vez que termina la relación entre el proveedor y el cliente, el proveedor debe localizar y borrar de forma segura los datos del cliente, reduciendo la probabilidad de un incidente de ciberseguridad al limitar la exposición de datos. Por otro lado, las notificaciones de violación de datos son requisitos contractuales para que los proveedores informen rápidamente a los clientes sobre cualquier incidente de seguridad que provoque acceso no autorizado o pérdida de datos. Esto les da a los clientes la posibilidad de tomar medidas adecuadas cuando ocurre una violación, como notificar a las personas afectadas y prevenir mayores daños.

Para mayor contexto, las políticas de retención de datos y notificación de brechas son un medio para que los clientes protejan el uso y la gestión de sus datos por parte de los proveedores con los que trabajan. Un proveedor puede conservar varios tipos de datos sensibles de los clientes, incluyendo datos de clientes (nombres, direcciones y otros datos personales), información de empleados y datos confidenciales del negocio (propiedad intelectual y secretos comerciales).

¿Qué leyes existentes hacen cumplir la retención de datos y las notificaciones de brechas?

Las principales razones por las que las empresas necesitan una política de retención de datos y notificación de brechas son protegerse contra la responsabilidad por reclamaciones relacionadas con la gestión de datos, cumplir con obligaciones contractuales con los clientes y acatar los requisitos normativos. La Conferencia Nacional de Legislaturas Estatales (NCSL, por sus siglas en inglés) informa que solo en 2023 ocho estados de EE. UU. introdujeron nuevas leyes de privacidad del consumidor. Entre las leyes existentes, hay varios marcos legales y regulaciones a nivel estatal que pueden exigir que su empresa cumpla con las leyes de retención de datos y notificación de brechas. ‍

Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA)‍

Esta es una ley federal de privacidad de datos de salud y de pacientes establecida para controlar la información de salud protegida (PHI) y evitar que se divulgue sin el consentimiento o conocimiento del paciente. ‍

Retención de datos: reglas de retención de datos de HIPAA exigen que las organizaciones aplicables conserven los datos y registros de los pacientes por un mínimo de seis (6) años. ‍

Notificación de incumplimiento: las entidades cubiertas tienen la obligación de notificar a las personas afectadas y al Departamento de Salud y Servicios Humanos de los EE. UU. (HHS) “sin demora injustificada” y en no más de 60 días calendario a partir de la fecha en que se descubra el incumplimiento.‍

Reglamento General de Protección de Datos (RGPD)

‍El Reglamento General de Protección de Datos (RGPD) es una ley de privacidad que aplica a las organizaciones que procesan la información personal de individuos en la Unión Europea. ‍

Retención de datos: RGPD establece que los datos personales solo deben conservarse durante el período necesario para cumplir con los fines para los que fueron recopilados originalmente (excepto con fines científicos y de investigación). ‍

Notificación de brecha: Artículo 33 establece que las brechas de ciberseguridad deben notificarse a las autoridades de supervisión dentro de las 72 horas posteriores a su descubrimiento.‍

Gramm-Leach-Bliley Act (GLBA)

La Ley Gramm-Leach-Bliley regula la información personal no pública (NPI), y obliga a las instituciones que ofrecen productos o servicios financieros a los consumidores (préstamos, asesoría financiera y de inversiones, o seguros) a divulgar cómo comparten la información de los consumidores y cómo protegen sus datos.

‍Conservación de datos: los requisitos son de seis (6) años e incluyen la aplicación de controles de acceso seguros para proteger la información financiera almacenada.

‍Notificación de violación: Según la nueva enmienda de la Comisión Federal de Comercio (FTC) de noviembre de 2023. Las instituciones financieras que sufran una violación deben informar a la FTC dentro de los 30 días si la violación afecta los datos de 500 o más consumidores.

Cómo ayuda Cyera a las empresas a cumplir con los requisitos de retención de datos y notificación de brechas

Cyera permite que los equipos de seguridad comprendan dónde y por cuánto tiempo se han almacenado los datos, para que las organizaciones puedan cumplir sus obligaciones contractuales en una relación proveedor-cliente.

‍Conservación de datos: Cyera crea un inventario de datos, incluidos los datos de clientes, de propiedad intelectual y de negocio que podrían haberse compartido como resultado de relaciones entre proveedores y clientes. Cyera brinda a las organizaciones la visibilidad necesaria para equilibrar los requisitos operativos de conservación, como la recuperación ante desastres, con los requisitos contractuales o regulatorios.

Minimización de datos: Una de las formas más seguras de mantener a salvo los datos sensibles es minimizar la superficie de ataque. Cyera ayuda a los equipos de seguridad a identificar datos obsoletos o redundantes que infringen las políticas de retención y deben eliminarse.

‍Identificación y mitigación de brechas: Para incidentes de brecha, Cyera permite que los equipos de seguridad comprendan rápidamente los datos afectados, incluido el número de registros y la residencia del titular de los datos. El contexto de residencia es importante para entender qué jurisdicciones deben ser notificadas de una brecha. Además, la plataforma de Cyera permite a los equipos ver quién tiene acceso a los datos junto con las brechas de exposición que pueden conducir a la brecha. Esto ayuda a los equipos a analizar el radio de impacto del incidente para que puedan determinar la escala del ataque, contenerlo y notificar a las partes interesadas relevantes qué datos se perdieron.

Para obtener más información sobre la Plataforma de Seguridad de Datos de Cyera y comprender mejor cómo proteger tus datos, visita cyera.io/demo.