GLBA

A Lei Gramm-Leach-Bliley (GLBA, ou mais especificamente a Lei de Modernização dos Serviços Financeiros) obriga as instituições financeiras a proteger e fornecer transparência sobre informações pessoais não públicas (NPI).

‍
Esses dados podem incluir registros bancários e fiscais, histórico de endereços, relatórios de crédito, transações de ações, investimentos e muito, muito mais—até metadados (dados que descrevem outros dados e relações entre eles/com eles). A GLBA também define quais partes estão sujeitas à governança, bem como quais tipos de transações constituem uso e acesso a dados.

‍
Antes da era da informação digital (a invenção dos computadores de grande porte, meados da década de 1960) e após a Grande Depressão dos EUA (início da década de 1930), a Lei de Sociedades Controladoras de Bancos (BHCA) e a Lei Glass-Steagall (GSA) buscaram prevenir outro colapso econômico nacional ao estabelecer barreiras de proteção sobre certos tipos de instituições financeiras. No entanto, a crise das associações de poupança e empréstimo na década de 1980 pareceu ressaltar a necessidade de revisões que refletissem mudanças nos princípios e tecnologias financeiras modernas. Nesse ponto, o Congresso começou a investigar uma substituição para a BHCA e a GSA.

‍
Em 1999, a GLBA foi aprovada como lei, revogando a GSA e ajudando a modernizar as regulamentações para o setor financeiro dos EUA. A lei de modernização de 1999 avançou o estado das políticas e proteções para informações pessoais.

‍
Existem três disposições principais na lei de 1999 que se relacionam com privacidade e proteção de dados:

• A Regra de Privacidade Financeira: exige que as instituições financeiras divulguem suas políticas e práticas de privacidade aos clientes e permitam a opção de exclusão.
• A Regra de Salvaguardas: as instituições financeiras devem proteger os dados dos clientes contra acesso, uso ou divulgação não autorizados.
• A Regra de Pretexting: instituições financeiras e seus agentes não devem obter dados de clientes por meios falsos ou fraudulentos.

‍
2021 introduz a primeira grande revisão da GLBA com a Regra de Salvaguardas da FTC atualizada (em vigor desde 9 de junho de 2023). Esta revisão fornece um guia abrangente sobre o que fazer e o que não fazer para a conformidade com a GLBA, incluindo segurança, confidencialidade e integridade de dados financeiros com base nos riscos e ameaças do seu negócio.

‍
Assim como outros padrões de governança do setor, os requisitos da GLBA consistem em vários domínios específicos para processos e implementação de segurança de dados, como controle de acesso, destruição, gerenciamento de incidentes, pessoal e documentação. A conformidade com essas diretrizes envolve definir um plano de gerenciamento de segurança da informação para sua organização, determinar questões como tolerância a riscos, realizar revisões programadas, construir infraestrutura segura e estabelecer controles internos para identificar, classificar e proteger informações de clientes.