Demandas por violación de datos: ¿Cuáles son las ramificaciones legales?

Según el Centro de recursos de robo de identidad (ITRC), se informaron aproximadamente 1862 casos de violación de datos en 2021. Este número indica el aumento del 68 % en las violaciones, lo que se convirtió en una gran preocupación para los clientes y otras partes interesadas.

Desafortunadamente, la pérdida no termina aquí. El 34% de estos casos reportan la participación del personal corporativo. Y el costo estimado de la mega brecha para el año 2021 ha tocado la marca de $ 401 millones.

Teniendo en cuenta estas cifras, no sorprende que las empresas se enfrenten a demandas por violación de datos a un ritmo alarmante.

Las partes interesadas a menudo confían en la organización para proteger la información confidencial mediante la implementación de las medidas preventivas necesarias. A pesar de eso, los actores internos y las personas con malas intenciones intentan arruinar la reputación y la credibilidad de la empresa con el compromiso de los datos.

Mientras lee este artículo, es probable que su organización esté involucrada en un incidente de este tipo. Si es así, continúa leyendo para conocer las consecuencias legales del incumplimiento.

Definición legal de violación de datos

Antes de continuar con las repercusiones legales del robo de información, conozcamos cómo la ley define este acto:

“La adquisición ilegal y no autorizada de información personal que comprometa la seguridad, confidencialidad o integridad de la información personal”.

La información comúnmente dirigida en la infracción incluye:

• Informacion personal
• Registros comerciales
• Registros médicos de salud

También es digno de mención que muchas pautas legislativas comparten la idea común de que si los datos confidenciales están encriptados, no puede ocurrir una violación. Para las empresas, el cifrado se considera un "puerto seguro". Desafortunadamente, muchas corporaciones aún ignoran con frecuencia el cifrado de PII (información de identificación personal).

Sin embargo, las empresas que se convierten en el objetivo de los piratas informáticos se enfrentan a una serie de problemas importantes, como multas gubernamentales elevadas, costos de litigio, costos de descubrimiento electrónico, honorarios legales y depreciación de la marca. Esta responsabilidad se multiplica si las organizaciones tienen acceso a PII.

¿Cuáles son las reglas estatales en caso de incumplimiento?

La mayoría de las jurisdicciones tienen leyes de notificación de incumplimiento. Exige que las empresas deben notificar a todas las partes interesadas afectadas lo antes posible sobre el incidente.

Además, indica que las empresas fuera del estado que posean la información personal de sus ciudadanos también deben cumplir con las normas de notificación de incumplimiento. Es porque, durante el juicio, cada violación de registro puede resultar en sanciones.

¿Cuáles son las regulaciones federales en caso de incumplimiento?

El gobierno federal cumple con la ley general de violación de datos a nivel nacional. Incluye la Ley de notificación de infracciones y seguridad de datos, que exige que las empresas notifiquen a los clientes sobre infracciones en un plazo de 30 días. Sepa que el proyecto de ley agrega un castigo, y si alguien "intencionalmente y deliberadamente" oculta una violación de datos, podría pasar hasta cinco años en la cárcel.

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley Gramm-Leach-Bliley (GLBA) son dos de las regulaciones federales más conocidas que exigen la notificación de incumplimiento. HIPAA se enfoca en proveedores de atención médica, aseguradoras de salud, consultorios médicos y cualquier otro negocio que maneje información de pacientes, mientras que GLBA se enfoca en los aspectos financieros del fraude.

¿Qué debe hacer una corporación?

Independientemente de quién tenga la culpa de la infracción: actores internos o piratas informáticos profesionales, la empresa será responsable del incidente. Será catalogado como delito de cuello blanco. Es porque la seguridad de la información confidencial mediante la implementación de medidas de seguridad cibernética es responsabilidad de las corporaciones.

Dependiendo de la gravedad del delito, puede o no involucrar a la Oficina Federal de Investigaciones (FBI), la Comisión de Bolsa y Valores (SEC) y la Asociación Nacional de Comerciantes de Valores (NASD).

Aun así, sería mejor contratar a un abogado defensor penal con experiencia en delitos de cuello blanco. Pueden orientarlo sobre las leyes y reglamentos asociados con el caso y recopilar pruebas para defenderlo.

Sin duda, los casos de robo de identidad e información son complejos. Sin embargo, el abogado puede ayudar con la investigación, el contrainterrogatorio y las declaraciones de apertura y cierre.

Su conocimiento y experiencia en el tema ayudaría a reducir las sanciones. Pueden encontrar evidencia de que la información confidencial corporativa también es robada junto con información personal para establecer la no participación de la organización en el caso.

Pasos inmediatos que una empresa debe tomar después de una violación de datos

1. Confirmar la infracción

En primer lugar, debe asegurarse de que la violación realmente ocurra y no solo de noticias falsas. En algunas situaciones, puede recibir un correo electrónico de phishing con un enlace informativo, lo que lleva a la infracción. Por lo tanto, debe estar atento cuando se trata de este tipo de noticias. Póngase en contacto con su BOD y el equipo de gestión de alto nivel para confirmar la información antes de tomar medidas adicionales.

Si recibe un correo electrónico, no haga clic en el enlace sin confirmar la noticia.

2. Identifique qué información es robada

Si la información es verdadera, identifique qué datos confidenciales son robados. Por lo general, se recomienda encriptar toda la información corporativa y contar con autenticación de dos factores para evitar el ciberdelito. Sin embargo, las personas con malas intenciones podrían tener acceso a los datos. Entonces, haga que su equipo de TI trabaje y descubra la fuente del fraude.

3. Asegure las credenciales

Para mitigar el daño ya hecho, siga los pasos que se detallan a continuación:

1. Cambie todos los inicios de sesión inmediatamente. Agregue un sistema de autenticación de dos factores o de múltiples factores si aún no lo ha hecho.
2. Asegúrese de que la contraseña no sea fácil de descifrar o utilizada anteriormente.
3. Verifique las personas que ya tienen acceso a las credenciales. Esta información sería útil durante la investigación y los juicios.

4. Informar a las autoridades

Como se indicó anteriormente, legalmente, usted está obligado a informar a las partes interesadas sobre el incumplimiento. Además, debe presentar una denuncia ante la policía, los bancos y otras autoridades correspondientes. Esto garantizará su cumplimiento con las leyes estatales y federales, lo que le dará peso a su demanda.

5. Contrate a un abogado

Por último, pero no menos importante, debe contratar a un abogado para que se defienda. A medida que los casos de violaciones de datos aumentan drásticamente, las leyes se vuelven más estrictas. Por lo tanto, trabajar con un abogado lo colocará en una posición favorable y facilitará su caso. Ellos pueden guiarlo aún más sobre lo que debe y no debe hacer para reducir la sanción financiera tanto como sea posible.

Para resumir todo esto

Estas son algunas formas en que una empresa puede cumplir con las ramificaciones legales; mientras se protege. Sin embargo, sería mejor seguir las medidas de ciberseguridad con anticipación para evitar este tipo de incidentes.

Lea también:

• Qué es una VPN: cómo se usa
• Los mejores servicios de limpieza de datos maestros en 2022
• Las dos razones principales para hablar con un consultor de TI