Tipos de regulación de privacidad de datos
Las reglamentaciones de colección de datos brindan orientación sobre de qué manera y en qué momento las empresas pueden compendiar datos sobre los consumidores y, en algunos casos, si las personas deben ser notificadas de que sus datos se recopilan.
Las regulaciones de violación de datos le dicen a las empresas qué deben hacer en el caso de una violación de datos, como avisar a las agencias y los clientes, rastrear información sobre la violación y tomar medidas para asegurar que no ocurra Empresa RGPD una violación afín en el futuro.
Las regulaciones de acceso a datos dan pautas para 1) cómo se debe manejar el acceso interno a la información, y 2) los niveles de acceso a los que tienen derecho los consumidores.
Las regulaciones de almacenamiento de datos rigen cómo deben almacenarse los datos para sostenerlos seguros. Ciertas regulaciones son más concretas que otras, y por norma general cubren cosas como cuánto tiempo deben almacenarse los datos y la seguridad de su infraestructura de almacenamiento.
Las reglamentaciones de capacitación sobre privacidad de datos brindan orientación sobre a quién debe capacitar su empresa sobre privacidad de datos. En general, esto es algo en lo que cada empleado precisa formación para cumplir con las regulaciones.
Las regulaciones de privacidad de datos más frecuentes
La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) establece el estándar de de qué manera la información del paciente ha de ser manejada por los consultorios médicos, hospitales, aseguradoras y otras empresas que manejan información de salud personal. HIPAA requiere que las empresas que procesan datos de pacientes y distribuidores (por servirnos de un ejemplo, hospitales) protejan la información del paciente y solo dejan que se divulgue en determinadas situaciones.
HIPAA da 4 reglas generales que las empresas deben cumplir, que son:
Asegurar la confidencialidad, integridad y disponibilidad de toda la e-PHI que crean, reciben, sostienen o transmiten;
Identificar y proteger contra amenazas razonablemente adelantadas a la seguridad o integridad de la información;
Resguardar contra usos o bien divulgaciones razonablemente anticipados e inadmisibles; y
Garantizar el cumplimiento por la parte de su fuerza laboral.
Para obtener más información sobre quién debe cumplir con HIPAA y lo que se necesita para cumplir con HIPAA, consulte esta guía.
El Reglamento General de Protección de datos (GDPR) se promulgó en dos mil dieciocho para resguardar los derechos de los ciudadanos en la Unión Europea en lo que respecta a la recopilación de datos y la privacidad. El RGPD se aplica a las empresas que cumplen con los próximos criterios:
Una presencia en un país de la Unión Europea.
No tiene presencia en la Unión Europea, pero procesa datos personales de residentes europeos.
Más de doscientos cincuenta empleados.
Menos de 250 empleados, pero su procesamiento de datos afecta los derechos y libertades de los interesados, no es eventual o bien incluye algunos tipos de datos personales confidenciales.
Esto significa que se aplica efectivamente a prácticamente todas las empresas. Otorga a los clientes del servicio el derecho de saber qué datos se compendian y establece los requisitos sobre de qué manera y en qué momento las empresas deben informar las infracciones.
El RGPD es una de las reglas de privacidad de datos más estrictas de cumplir. Sí permite un enfoque escalonado de las multas y sanciones en función de la relativa gravedad del delito, pero las empresas no deben contar con la clemencia; en 2019, British Airways fue multado con dólares americanos 228 millones y Marriott International fue multado con más de dólares americanos 124 millones por exponer millones de registros de datos personales.
Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) son algo únicas, en tanto que no se trata de una regulación gubernativo y son impuestas y aplicadas por un organismo regulador independiente, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago. Cualquier empresa que admita, almacene o bien transmita datos de titulares de tarjetas está sosten a PCI-DSS. Esta regulación requiere que las empresas tengan políticas y procesos establecidos para proteger la información de sus clientes del servicio y asegurar que estén manejando y guardando apropiadamente los datos de la tarjeta de crédito. Esto incluso se aplica a las empresas que emplean distribuidores externos para gestionar los pagos con tarjeta de crédito. Todas las empresas involucradas en el comercio online deben conocer bien estos requisitos y estar preparadas para asegurarse de que sus distribuidores también lo estén.
La Ley Sarbanes-Oxley de 2002 (SOX) se decretó en respuesta al escándalo de Enron, y se requiere que las empresas que cotizan en bolsa cumplan con los requisitos. Está diseñado para prevenir los modelos de fraude que ocurrieron al establecer requisitos para retener y guardar registros comerciales y sanciones por destruir, trastocar o bien falsificar registros.
Esto implica no solo la contabilidad para asegurar que los registros sean precisos, sino más bien asimismo la función de TI para guardar registros correctamente. SOX también requiere un sistema para rastrear los cambios en los registros y almacenar los registros correctos durante el período temporal correcto.