O que é a NY SHIELD, a lei de segurança de dados de Nova York?
A Stop Hacks and Improve Electronic Data Security Act (NY SHIELD) é uma lei de privacidade e segurança de dados do estado de Nova York, nos Estados Unidos. Na prática, ela exige mais segurança e responsabilidade das empresas ao lidar com dados pessoais e privados de residentes do estado.
Na verdade, a NY SHIELD atualiza e expande legislações que já existem no estado. São elas a lei de notificação de violações e a lei geral de negócios. Aliás, as mudanças da NY SHIELD que envolvem a lei de notificação de violações já entraram em vigor em outubro de 2019 e aquelas que dizem respeito à lei geral de negócios vão ter efeito em março de 2020.
A NY SHIELD soma-se a diversas leis e regulamentações de dados que têm surgido nos últimos anos. Alguns exemplos são a California Consumer Privacy Act (CCPA), a europeia General Data Protection Regulation (GDPR), e a brasileira Lei Geral de Proteção de Dados (LGPD).
“A lei de notificação de violações de dados de Nova York precisa ser atualizada para acompanhar a tecnologia atual. Esse ato amplia o escopo das informações cobertas pela lei de notificação e atualiza os requisitos de notificação quando há uma violação de dados.
Também amplia a definição de violação de dados para incluir uma pessoa não autorizada que obtém acesso às informações. Também requer segurança razoável dos dados, fornece padrões personalizados para o tamanho de uma empresa e fornece proteção de responsabilidade”, diz o projeto de lei.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
Quais empresas a NY SHIELD afeta?
Basicamente, o NY SHIELD afeta qualquer pessoa ou empresa que “possua ou licencie dados computadorizados que incluam informações privadas de um residente de Nova York”. Ou seja, não importa onde você esteja, se você detém e utiliza informações de residentes de Nova York, você precisa estar atento à lei.
Contudo, a lei apresenta especificidades dependendo do tamanho ou da área de atuação da empresa. Por exemplo, negócios que já atuam sob outras leis de Nova York ou leis federais, como a HIPAA e a Gramm-Leach-Bliley, podem ser consideradas compatíveis com a seção de requisitos de segurança e proteção da NY SHIELD.
Já no caso de empresas pequenas, a lei prevê que as medidas de segurança podem ser apropriadas respeitando o tamanho, a natureza do negócio e o tipo de informação coletada e utilizada.
De acordo com o NY SHIELD, pequena empresa significa “qualquer pessoa ou empresa com (i) menos de cinquenta funcionários; (ii) menos de três milhões de dólares em receita bruta anual em cada um dos últimos três exercícios fiscais; ou (iii) menos de cinco milhões de dólares no total de ativos no final do exercício, calculados de acordo com os princípios contábeis geralmente aceitos”.
Informações pessoais e privadas de acordo com a NY SHIELD
A NY SHIELD cobre e define 2 tipos de informação. Informação pessoal significa “qualquer informação relativa a uma pessoa singular que, devido ao nome, número, marca pessoal ou outro identificador, possa ser usada para identificar essa pessoa”.
De outro lado, informação privada significa “informação pessoal que consiste em qualquer informação em combinação com qualquer um ou mais dos seguintes elementos de dados, quando o elemento de dados ou a combinação de informações pessoais mais o elemento de dados não está criptografado ou está criptografado com uma chave de criptografia que também foi acessada ou adquirida ”.
Um exemplo de informaçõe privada: um endereço de e-mail em combinação com uma senha.
Pontos-chave da NY SHIELD
A essa altura, já ficou claro que os principais pontos da NY SHIELD têm relação com a proteção de dados e informações de residentes de Nova York. A grande questão, no entanto, é que a consequência disso recai sobre as empresas.
Ao atualizar a forma como a segurança de dados deve ser tratada, a NY SHIELD requer uma mudança de mentalidade, exigindo que as empresas se adaptem para garantir mais proteção e transparência em seus processos.
A nova lei apresenta definições atualizadas de vários termos, como, por exemplo, informações pessoais, informações privadas e violação de segurança de sistema. Além disso, ela impõe novos requisitos de segurança de dados.
Em outras palavras, as empresas também precisam se atualizar, seja promovendo mudanças em suas políticas e termos de serviço ou alterando o modo como manipulam informações e dados.
Multas e sanções por não conformidade com a NY SHIELD
A lei diz que as empresas são responsáveis pela segurança dos dados e por notificar as autoridades e os proprietários dos dados em casos de violações.
No caso de uma falha na notificação, “o tribunal poderá impor uma penalidade civil de mais de cinco mil dólares ou até vinte dólares por instância de falha na notificação, desde que esse valor não exceda duzentos e cinquenta mil dólares”.
Dicas para se adequar à NY SHIELD
Para estar em compliance ou conformidade com a NY SHIELD, as empresas precisam reavaliar as suas infraestruturas e processos. Na prática, a empresa deve implementar um programa de segurança de informação que cubra diferentes aspectos.
Tendo isso em mente, algumas dicas importantes para estar em compliance com a lei seriam atualizar a política de privacidade, designar um time ou uma pessoa para gerenciar o programa de segurança, identificar os principais riscos e as vulnerabilidades da empresa, prevenir ataques e falhas, investir em treinamento e restringir o acesso a dados e informações importantes. A própria lei traz esses e outros requisitos.
Conclusão
A NY SHIELD é reflexo de uma tendência que só deve se fortalecer com o passar do tempo. Nos últimos anos, diversas leis de privacidade e segurança de dados foram criadas, ou atualizadas. Vide como exemplos a CCPA na Califórnia e a GDPR na Europa.
O surgimento de novas tecnologias e de novos tipos de dados, sem dúvidas, é um dos principais fatores que impulsiona essa tendência. E essa mudança é, de fato, necessária.
Neste sentido, apesar de interferir na rotina das empresas para que elas se adaptem, a NY SHIELD e outras regulamentações devem ser vistas como uma porta de entrada para uma relação mais segura e transparente entre empresas e pessoas. Afinal, dados e informações são hoje talvez o bem mais valioso que existe no mundo cibernético.
NY SHIELD na íntegra
Se você quiser conferir a NY SHIELD (em inglês), clique aqui.