Como a Lei SHIELD de Nova York afeta a privacidade de nossos dados privados?
De maneira compreensível, a atual pandemia de coronavírus significa que muitas pessoas não estão pensando em segurança de dados no momento. No entanto, o vírus será derrotado (espero) em breve, e precisaremos voltar à nossa vida normal. É por isso que, apesar do bloqueio, em 21 de março, a Lei SHIELD de Nova York entrou em vigor oficialmente. Vamos ver como isso pode impactar o mundo da segurança cibernética.
Índice
O que é a Lei SHIELD?
SHIELD significa Stop Hacks e Melhore a segurança dos dados eletrônicos, e foi assinado em julho de 2019. Foi aceito pelo Estado de Nova York, mas é importante observar que afeta todas as organizações que processam as informações pessoais dos nova-iorquinos. Apelidada como uma extensão da lei de notificação de violação de dados existente, algumas de suas disposições estão em vigor nos últimos meses, mas foi somente no final de março que as últimas foram oficializadas.
O objetivo é garantir que as empresas façam mais para proteger os dados pessoais dos consumidores, e é preciso dizer que esse não é o primeiro ato desse tipo. O GDPR da União Europeia (ou Regulamento Geral de Proteção de Dados) foi implementado em maio de 2018 e, um mês depois, a Califórnia assinou seu próprio California Consumer Privacy Act (CCPA). Especialistas jurídicos dizem que as mudanças introduzidas pela SHIELD são semelhantes às da UE e do Estado de Ouro.
Como a SHIELD agirá mudará a maneira como as empresas lidam com nossos dados?
De acordo com o blog de leis e privacidade AdLawAccess.com, você pode separar as disposições da SHIELD em três categorias.
As empresas devem pensar primeiro na implementação de iniciativas administrativas que incluem a designação de um ou mais funcionários encarregados do programa de segurança da empresa, a organização de sessões de treinamento para que a equipe esteja melhor preparada para processar dados com segurança, acompanhando as tendências atuais de segurança cibernética e avaliar os riscos que eles representam.
Do ponto de vista técnico, as empresas precisam avaliar e tentar mitigar os riscos associados à sua infraestrutura de rede e aos produtos de software que usam. Eles também são aconselhados a pensar no design de seus mecanismos de processamento de dados, bem como no plano de resposta a incidentes, caso o pior aconteça.
Por último, mas não menos importante, as organizações precisam implementar algumas salvaguardas físicas, que incluem mecanismos que detectam e impedem o acesso não autorizado e garantem o descarte seguro de dados privados.
O novo ato também faz algumas alterações nos requisitos para empresas que sofreram incidentes de segurança cibernética e expande algumas das definições cimentadas pelas leis atuais. A lei determina que a extensão das mudanças que as organizações precisam adotar depende do tamanho de seus negócios.
A SHIELD realmente funcionará?
É provável que as empresas tomem conhecimento da nova lei. Nova York é uma área econômica importante e haverá poucas organizações que gostariam de parar de fazer negócios nela. Alguns inevitavelmente acharão impossível cumprir as novas regras e provavelmente decidirão sair do estado, mas a maioria tentará melhorar suas defesas e implementar melhores práticas de segurança, não apenas para seus usuários de Nova York, mas para todos. Certamente, isso deve ser uma boa notícia. Será que vai resolver todos os nossos problemas?
Há pessoas que questionam a validade de leis como GDPR, CCPA e SHIELD, e elas não estão completamente certas. Os novos atos proporcionaram aos usuários acesso mais fácil às informações sobre como seus dados são tratados e também forçaram as empresas a reforçar seus mecanismos de proteção. Aqueles que falharam enfrentaram multas bastante pesadas.
Infelizmente, nada disso interrompeu o fluxo interminável de violações e vazamentos de dados. De fato, as empresas continuam cometendo erros tolos, e os resultados às vezes são bastante devastadores. Então, não, a SHIELD não é uma panacéia. Espera-se que as empresas construam estratégias de segurança mais robustas, mas não as imunes a incidentes de segurança cibernética. As empresas também devem perceber isso e ver quais medidas adicionais podem ser tomadas para manter seus usuários seguros. Quanto mais cedo eles fizerem isso, melhor.
