GLBA

La Ley Gramm-Leach-Bliley (GLBA, o más específicamente la Ley de Modernización de los Servicios Financieros) exige que las instituciones financieras protejan y proporcionen transparencia sobre la información personal no pública (NPI).

‍
Estos datos pueden incluir registros bancarios y fiscales, historial de domicilios, informes crediticios, transacciones de acciones, inversiones y mucho, muchísimo más, incluso metadatos (datos que describen otros datos y las relaciones en ellos/relacionadas con ellos). La GLBA también define qué partes están sujetas a la gobernanza, así como qué tipos de transacciones constituyen el uso y el acceso a los datos.

‍
Antes de la era de la información digital (la invención de las computadoras mainframe, a mediados de la década de 1960) y después de la Gran Depresión en Estados Unidos (a principios de la década de 1930), la Ley de Sociedades de Cartera Bancaria (BHCA) y la Ley Glass–Steagall (GSA) buscaron evitar otro colapso económico nacional al imponer límites a ciertos tipos de instituciones financieras. Sin embargo, la crisis de ahorros y préstamos en la década de 1980 pareció subrayar la necesidad de revisiones que reflejaran los cambios en los principios y las tecnologías financieras modernas. En ese momento, el Congreso comenzó a investigar un reemplazo para la BHCA y la GSA.

‍
En 1999, la GLBA se promulgó como ley, derogando la GSA y ayudando a modernizar las regulaciones para la industria financiera de Estados Unidos. La Ley de Modernización de 1999 avanzó el estado de las políticas y protecciones para la información personal.

‍
La ley de 1999 contiene tres disposiciones principales relacionadas con la privacidad y la protección de datos:

• La Regla de Privacidad Financiera: exige que las instituciones financieras revelen sus políticas y prácticas de privacidad a los clientes y permitan la opción de exclusión (opt-out).
• La Regla de Salvaguardas: las instituciones financieras deben proteger los datos de los clientes contra el acceso, uso o divulgación no autorizados.
• La Regla de Pretexting: las instituciones financieras y sus agentes no deben obtener los datos de los clientes por medios falsos o fraudulentos.

‍
2021 introduce la primera revisión importante a la GLBA con la actualización de la Regla de Salvaguardas de la FTC (en vigor desde el 9 de junio de 2023). Esta revisión ofrece una guía completa sobre lo que se debe y no se debe hacer para cumplir con la GLBA, incluida la seguridad, confidencialidad e integridad de los datos financieros según los riesgos y amenazas de tu negocio.

‍
Al igual que con otros estándares de gobierno del sector, los requisitos de la GLBA constan de varios dominios específicos de los procesos e implementación de seguridad de datos, como control de acceso, destrucción, gestión de incidentes, personal y documentación. Cumplir con estas directrices implica definir un plan de gestión de seguridad de la información para tu organización, determinar temas como la tolerancia al riesgo, realizar revisiones programadas, construir una infraestructura segura y establecer controles internos para identificar, clasificar y proteger la información de los clientes.