Navegando por los cambios regulatorios recientes en ciberseguridad

A medida que llega la fresca brisa del otoño, es hora de relajarse con un café con leche con especias de calabaza y profundizar en los cambios significativos que se han desarrollado en el ámbito de las leyes de privacidad y ciberseguridad durante el verano. Ante la falta de regulaciones universalmente aplicables que regulen la seguridad y las violaciones de datos, los reguladores federales y estatales están intensificando la emisión de sus propias directrices, lo que genera una exposición adicional a la responsabilidad de las organizaciones.

Vigilancia de la SEC

El 26 de julio de 2023, la Comisión de Bolsa y Valores (SEC) realizó cambios fundamentales en los requisitos de presentación de informes de los registrantes en los formularios 8-K y 10-K. Las enmiendas ahora obligan a los registrantes a revelar rápidamente "incidentes de ciberseguridad" importantes y proporcionar información anual sobre sus procedimientos y políticas de gestión de riesgos de ciberseguridad.

Definición de incidentes de ciberseguridad

Las enmiendas de la SEC introducen una definición clara de "incidente de ciberseguridad" como cualquier suceso no autorizado que ponga en peligro la confidencialidad, integridad o disponibilidad de los sistemas de información de un registrante. Este alcance ampliado incluye incidentes que afectan a los proveedores, y la determinación de la materialidad debe realizarse "sin demoras injustificadas".

Protección mejorada por parte de la SEC

El 15 de marzo de 2023 marcó la propuesta de la SEC de cambios al Reglamento S-P. Las modificaciones propuestas tienen como objetivo obligar a las entidades gobernadas a elevar la protección de la información del cliente a través de notificaciones obligatorias de incumplimiento, programas de respuesta a incidentes, una definición refinada de "información del cliente" y la extensión de los requisitos a los "agentes de transferencia".

Regla de notificación de infracciones de salud de la FTC

En el segundo trimestre de 2023, la Comisión Federal de Comercio (FTC) propuso enmiendas a la Regla de Notificación de Infracciones de Salud (HBNR). Estos cambios fortalecen los requisitos de notificación de incumplimiento para las entidades que recopilan información de salud no cubierta por HIPAA. Las enmiendas propuestas cubren el alcance, los tipos de infracciones, la definición de entidades relacionadas con el registro de salud personal (PHR) y los métodos y contenido de notificación.

Proliferación de leyes estatales

Los estados están promulgando y modificando activamente estatutos de privacidad. En el segundo trimestre de 2023, varios estados introdujeron leyes que entrarán en vigor en los próximos 12 a 18 meses. Desde revisiones generales de las leyes de privacidad del consumidor en Montana y Oregón hasta el establecimiento de nuevos artículos relacionados con la protección de datos del consumidor en Tennessee e Indiana, estas leyes muestran un panorama diverso de cambios regulatorios.

Las estrictas enmiendas de Rhode Island

Rhode Island dio un paso audaz al modificar su estatuto de notificación de violaciones, exigiendo mayores ofertas para las personas afectadas por una violación de datos. Estas enmiendas incluyen servicios extendidos de monitoreo crediticio y resolución de fraude, tiempos de notificación más cortos y notificaciones obligatorias al fiscal general y a las principales agencias de informes crediticios si más de 500 residentes de Rhode Island se ven afectados.

En conclusión, a medida que el mosaico de leyes de privacidad y ciberseguridad continúa expandiéndose tanto a nivel estatal como federal, las entidades deben prepararse para el aumento de los costos de cumplimiento y una mayor supervisión gubernamental. Estos cambios regulatorios no sólo plantean desafíos sino que también abren puertas a posibles implicaciones legales y financieras. En una era de creciente escrutinio regulatorio, las empresas deben reconocer los crecientes riesgos asociados con el descuido de las inversiones en medidas de privacidad y ciberseguridad. Estén atentos a más actualizaciones a medida que evoluciona el panorama regulatorio.