O estado de privacidade e conformidade cibernética para negócios



<div _ngcontent-c14 = "" innerhtml = "

Qualquer empresa conectada à internet deve lidar com uma colcha de retalhos de regulamentações de privacidade. Crédito: Getty

Getty

Muitos esperam que o Congresso otimize os requisitos de conformidade e notificação de privacidade de dados, aprovando uma lei federal de privacidade de dados este ano. Mas, independentemente de quando e se essa ação ocorrer, toda empresa que mantiver dados pessoais precisará aceitar o fato de que a regulamentação da privacidade é e continuará sendo uma questão legal criticamente importante e complexa.

À medida que nos aproximamos do primeiro aniversário do amplo Regulamento de Proteção de Dados Gerais da Europa, conhecido como GDPR, as empresas do mundo inteiro ainda estão tentando descobrir se tomaram as medidas necessárias para cumprir os reguladores da UE.

Neste país, todos os estados aprovaram algum tipo de requisito de notificação de violação, definindo 50 obrigações de relatório potenciais diferentes para empresas que enfrentam uma violação de dados de clientes protegidos.

A Califórnia deu um passo adiante com a Lei de Privacidade do Consumidor da Califórnia, que entra em vigor em janeiro. Além de sua ampla aplicação para organizações que vendem dados de consumidores e os requisitos de identificação e exclusão de dados que impõe, também cria um direito privado de ação em certos casos de violação de dados que alguns esperam que possam desencadear uma onda de ações coletivas. Agora, outras legislaturas estaduais começaram a seguir o exemplo. Hoje, pelo menos uma dúzia de estados estão considerando revisões mais restritivas de suas próprias leis de privacidade de dados, algumas das quais espelham a lei da Califórnia.

Enquanto isso, o Congresso vem realizando audiências sobre a necessidade de uma lei federal de privacidade de dados, mas surgiu uma divisão sobre se deve substituir, ou antecipar, as leis de privacidade do Estado ou coexistir com elas. & nbsp;

No fundo, a Federal Trade Commission, principal reguladora federal da política de privacidade e fiscalização, está pressionando por mais autoridade para emitir multas que os infratores sentirão em suas linhas de fundo. No mês passado, uma importante empresa de mídia social revelou que reservava US $ 3 a US $ 5 bilhões para possíveis multas relacionadas a questões de privacidade.

Muitos esforços estaduais e federais são bem intencionados: incidentes de cibersegurança e violações estão em ascensão, mais e mais informações pessoais estão sendo coletadas pelas empresas, e as organizações encarregadas dessas informações devem implementar as devidas salvaguardas. Quando isso não acontece, os estados procurarão responsabilizá-los e fornecer às pessoas alguma forma de reparação.

Não importa se você é uma pequena empresa que faz negócios em apenas alguns estados ou uma empresa multinacional, responder a uma violação de dados geralmente exige uma análise complexa e abrangente de algumas dezenas de leis internacionais e dos EUA. isso não é provável que mude.

Então, o que empresas e executivos devem fazer? Primeiro, reconheça que mesmo que a legislação federal seja aprovada, não será uma panacéia para o problema da complexidade. O Brasil, o Canadá, a Argentina, o Japão e outros países estão implementando suas próprias versões do GDPR, enquanto outros países já têm suas próprias leis. Os negócios que operam em uma economia global devem continuar preparados para cumprir um colcha de retalhos de leis não apenas nos EUA, mas em todo o mundo. Como as violações inevitavelmente continuam e crescem em tamanho e escopo, a privacidade e a segurança cibernética continuarão a manter a atenção. A questão está aqui para ficar.

Em segundo lugar, as empresas devem garantir que estão dedicando recursos suficientes à privacidade e à segurança cibernética.Uma pesquisa de 2017& nbsp; de 254 empresas colocam o custo médio de um único ataque de malware em US $ 2,4 milhões, e isso não conta o valor de danos à reputação e perda de clientes. Os criminosos cibernéticos estão ficando mais inteligentes e sofisticados, por isso investimentos inteligentes em tecnologia de segurança cibernética devem ser recompensados.& nbsp; & nbsp;

Em terceiro lugar, os executivos da empresa e os conselhos de administração precisam estar familiarizados com a segurança cibernética e a privacidade. Os reguladores esperam cada vez mais isso, especialmente quando se trata de funções de supervisão da diretoria. Por exemplo, no ano passado, a SEC emitiu orientação atualizada& nbsp; enfatizando a importância do papel de supervisão da administração dos diretores sobre questões de segurança cibernética em particular.

Finalmente, tenha um plano e pratique-o. Seja um hack sofisticado de dados de empresas, um e-mail mal direcionado, um pacote de entrega perdida durante a noite ou um insider que rouba informações confidenciais, as empresas precisam planejar e esteja pronto para responder a vazamentos de informações confidenciais. Simplesmente saber quem chamar em caso de violação pode ser crítico para minimizar os danos e reduzir o tempo de recuperação.

A privacidade de dados e a conformidade com a segurança cibernética tornaram-se parte da realização de negócios no mundo moderno. Enquanto o Congresso realiza audiências e discute a preempção, a economia global está correndo à frente. Reguladores nos EUA e em todo o mundo estão respondendo. A menos que você planeje desconectar sua empresa da Internet, é hora de abordar a privacidade e a segurança cibernética.

">

Qualquer empresa conectada à internet deve lidar com uma colcha de retalhos de regulamentações de privacidade. Crédito: Getty

Getty

Muitos esperam que o Congresso otimize os requisitos de conformidade e notificação de privacidade de dados, aprovando uma lei federal de privacidade de dados este ano. Mas, independentemente de quando e se essa ação ocorrer, toda empresa que mantiver dados pessoais precisará aceitar o fato de que a regulamentação da privacidade é e continuará sendo uma questão legal criticamente importante e complexa.

À medida que nos aproximamos do primeiro aniversário do amplo Regulamento de Proteção de Dados Gerais da Europa, conhecido como GDPR, as empresas do mundo inteiro ainda estão tentando descobrir se tomaram as medidas necessárias para cumprir os reguladores da UE.

Neste país, todos os estados aprovaram algum tipo de requisito de notificação de violação, definindo 50 obrigações de relatório potenciais diferentes para empresas que enfrentam uma violação de dados de clientes protegidos.

A Califórnia deu um passo adiante com a Lei de Privacidade do Consumidor da Califórnia, que entra em vigor em janeiro. Além de sua ampla aplicação para organizações que vendem dados de consumidores e os requisitos de identificação e exclusão de dados que impõe, também cria um direito privado de ação em certos casos de violação de dados que alguns esperam que possam desencadear uma onda de ações coletivas. Agora, outras legislaturas estaduais começaram a seguir o exemplo. Hoje, pelo menos uma dúzia de estados estão considerando revisões mais restritivas de suas próprias leis de privacidade de dados, algumas das quais espelham a lei da Califórnia.

Enquanto isso, o Congresso vem realizando audiências sobre a necessidade de uma lei federal de privacidade de dados, mas surgiu uma divisão sobre se deve substituir, ou antecipar, as leis de privacidade do Estado ou coexistir com elas.

No fundo, a Federal Trade Commission, principal reguladora federal da política de privacidade e fiscalização, está pressionando por mais autoridade para emitir multas que os infratores sentirão em suas linhas de fundo. No mês passado, uma importante empresa de mídia social revelou que reservava US $ 3 a US $ 5 bilhões para possíveis multas relacionadas a questões de privacidade.

Muitos esforços estaduais e federais são bem intencionados: incidentes de cibersegurança e violações estão em ascensão, mais e mais informações pessoais estão sendo coletadas pelas empresas, e as organizações encarregadas dessas informações devem implementar as devidas salvaguardas. Quando isso não acontece, os estados procurarão responsabilizá-los e fornecer às pessoas alguma forma de reparação.

Não importa se você é uma pequena empresa que faz negócios em apenas alguns estados ou em uma empresa multinacional, responder a uma violação de dados geralmente exige uma análise complexa e abrangente de algumas dezenas de leis internacionais e dos EUA. Mesmo que o Congresso aja, isso provavelmente não mudará.

Então, o que empresas e executivos devem fazer? Primeiro, reconheça que mesmo que a legislação federal seja aprovada, não será uma panacéia para o problema da complexidade. Brasil, Canadá, Argentina, Japão e outros países estão implementando suas próprias versões do GDPR, enquanto outros países já têm suas próprias leis nos livros. As empresas que operam em uma economia global devem continuar a estar preparadas para cumprir uma série de leis, não apenas nos EUA, mas em todo o mundo. Como as violações inevitavelmente continuam e crescem em tamanho e escopo, a privacidade e a segurança cibernética continuarão a manter a atenção. A questão está aqui para ficar.

Em segundo lugar, as empresas devem garantir que estão dedicando recursos suficientes à privacidade e à segurança cibernética. Uma pesquisa de 2017 com 254 empresas calculou o custo médio de um único ataque de malware em US $ 2,4 milhões, e isso não conta o valor de danos à reputação e perda de clientes. Os criminosos cibernéticos estão ficando mais inteligentes e sofisticados, por isso investimentos inteligentes em tecnologia de segurança cibernética devem ser recompensados.

Terceiro, os executivos da empresa e os conselhos de administração precisam estar familiarizados com segurança cibernética e privacidade. Os reguladores esperam cada vez mais, particularmente quando se trata de funções de supervisão da diretoria. Por exemplo, no ano passado, a SEC emitiu orientações atualizadas, enfatizando a importância do papel de supervisão da administração dos diretores sobre questões de segurança cibernética em particular.

Finalmente, tenha um plano e pratique-o. Seja um hack sofisticado de dados de empresas, um e-mail mal direcionado, um pacote de entrega perdida ou um insider que rouba informações confidenciais, as empresas precisam planejar e estar prontas para responder a vazamentos de informações confidenciais. Simplesmente saber quem chamar em caso de violação pode ser crítico para minimizar os danos e reduzir o tempo de recuperação.

A privacidade de dados e a conformidade com a segurança cibernética tornaram-se parte da realização de negócios no mundo moderno. Enquanto o Congresso realiza audiências e discute a preempção, a economia global está correndo à frente. Reguladores nos EUA e em todo o mundo estão respondendo. A menos que você planeje desconectar sua empresa da Internet, é hora de abordar a privacidade e a segurança cibernética.