Saltar al contenido

Cómo pueden beneficiarse los contadores públicos certificados de las reglas de privacidad de datos

En los próximos años, cientos de miles de empresas en los Estados Unidos necesitarán ayuda para navegar en el cada vez más difícil panorama de la privacidad de los datos y asegurarse de que pueden mantener seguros los sistemas empresariales críticos y la privacidad de la información de sus clientes. Esto representa una oportunidad única y sin precedentes para que las empresas de contabilidad den un paso adelante y guíen a sus clientes a través de este complejo entorno empresarial.

Las leyes de privacidad de datos supondrán una carga significativa

En la actualidad, aproximadamente 41 estados de los Estados Unidos tienen leyes que exigen la notificación de la violación de datos, lo que constituye uno de los puntos centrales de la reglamentación moderna de la privacidad de los datos. Sin embargo, varios estados han puesto en marcha nuevas y mejoradas leyes de privacidad de datos en 2018 y 2019. Estos nuevos programas de privacidad tienden a reflejar la legislación de cumplimiento de la marca europea, la Regulación General de Protección de Datos (GDPR).

Cómo pueden beneficiarse los contadores públicos certificados de las reglas de privacidad de datos
Cómo pueden beneficiarse los contadores públicos certificados de las reglas de privacidad de datos

La aplicación de la RPI ha sido notoriamente difícil para las organizaciones y la mayoría no pudo cumplir sus estrictos requisitos en la fecha de su entrada en vigor. Este incumplimiento ha dado lugar a una serie de medidas de aplicación de la ley contra las empresas que operan en Europa. Para los que estamos aquí en los EE.UU., la siguiente es una muestra de las leyes recientes que nos impactarán a todos:

CCPA:

● Otorga al consumidor el derecho a saber cómo se están utilizando sus datos, el derecho de acceso y el derecho a optar por no vender sus datos a terceros, el derecho a solicitar que se supriman sus datos personales

● Las empresas tienen que informar a los consumidores sobre las categorías de información que se recogen y el propósito para el que se recogen – en o antes del punto en que se toma la información.

● Técnicas e instrumentos formalizados de protección y eliminación de datos

● Notificación al consumidor en un plazo de 30 días a partir de la detección de la infracción.

● Sanciones económicas civiles de hasta 7.500 dólares por cada caso de incumplimiento.

● Los individuos tienen el derecho de iniciar una acción privada contra una compañía cuando su información personal es violada. Los consumidores no tienen que probar que han sufrido una pérdida financiera real por la pérdida de datos, sino sólo demostrar que la empresa ha violado la ley.

Únete a nuestra lista de correo

Introduzca su dirección de correo electrónico para suscribirse a nuestro boletín de noticias y recibir lo mejor de AccountingWEB cada semana. Introduzca su dirección de correo electrónico *Entre la dirección de correo electrónicoInscríbase

Aunque la Ley de Protección del Consumidor no entró en vigor hasta hace poco, el 1º de enero de 2020, ya se ha citado en demandas por violación de datos ( Barnes v. Hanna Andersson, LLC, N.D. Cal., Nº 20-cv-00812 ). Barnes, la demandante y residente en California, presentó su demanda colectiva ante el Tribunal de Distrito de los Estados Unidos después de que Hanna Andersson anunciara, el 15 de enero, que los piratas informáticos habían raspado los nombres de los clientes, los números de las tarjetas de pago y otros datos personales.

La denuncia alega que los datos pirateados, que fueron encontrados para su venta en la web oscura, fueron alojados por Salesforce en su plataforma de comercio electrónico. También alega que la plataforma de comercio electrónico estaba infectada con malware, que es lo que llevó a la violación de datos.

La Ley SHIELD de Nueva York (Stop Hacks and Improve Electronic Data Security Act)

● Notificaciones de violación de datos y leyes de seguridad cibernética enmendadas de Nueva York

● Añadidas nuevas protecciones de seguridad de datos a la Ley General de Empresas… son normas prescriptivas de gran alcance. La ley exige a las empresas cubiertas que apliquen ciertas salvaguardias administrativas, técnicas y físicas; por ejemplo, “realizar regularmente pruebas y supervisar la eficacia de los controles, sistemas y procedimientos clave”.

● Empuja a las organizaciones a desarrollar e implementar un Plan de Seguridad de Datos escrito que cumpla con la Ley SHIELD

● Presiona a las organizaciones para que integren su cumplimiento continuo de las leyes de Nueva York sobre la violación de datos en sus esfuerzos generales de cumplimiento

● La Ley SHIELD endurece las posibles sanciones civiles por violaciones de la ley de notificación de infracciones, aumentándolas hasta 20 dólares por cada caso de notificación fallida (con un tope de 250.000 dólares), e impone nuevas sanciones civiles (hasta 5.000 dólares por infracción, sin tope) por ciertos incumplimientos de las nuevas normas de seguridad de los datos.

El proyecto de ley del Senado de Nevada 220

● Requiere que los operadores de sitios web y servicios en línea de Internet sigan las instrucciones del consumidor de no vender sus datos personales

● Para las empresas que no cumplen con la ley, el fiscal general de Nevada puede solicitar una orden judicial o imponer una sanción civil de hasta 5.000 dólares por cada violación.

Ley de Privacidad de Datos del Estado de Washington (Presentada en el Senado en enero de 2020)

● Da a los consumidores el derecho a saber si un controlador está procesando sus datos personales y a acceder a esos datos personales

● Otorga a los consumidores los derechos de corregir sus datos personales, borrarlos, obtener sus datos personales en un formato portátil, y el derecho a optar por no ser objeto de tratamiento para la publicidad dirigida, la venta de sus datos personales, o la elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o significativos en el consumidor

● Los controladores de datos (los que determinan la forma en que se utilizarán los datos) deben establecer políticas y procesos administrativos técnicos y físicos de seguridad de los datos para proteger la confidencialidad, la integridad y la accesibilidad de los datos de los consumidores que están reuniendo o procesando.

● Los controladores y procesadores de datos deben tener contratos con disposiciones relativas al procesamiento de datos personales. Las disposiciones requeridas son similares a los requisitos de procesamiento de datos de la GDPR.

● Está prohibido el tratamiento de datos sensibles sin el consentimiento del consumidor

● Las empresas cubiertas deben realizar evaluaciones de protección de datos para todas las actividades de procesamiento que impliquen datos personales.

● Para las empresas que no cumplen con la ley, la autoridad del Fiscal General de Washington para tomar acciones legales y hacer cumplir las sanciones de hasta 7.500 dólares por violación.

Además de las legislaciones a nivel estatal, el Congreso está explorando activamente cómo sería un proyecto de ley federal de privacidad. De hecho, varios legisladores tienen proyectos de ley en proceso.

Las organizaciones deben mantener políticas y prácticas de seguridad de datos

Lo que es común entre estas leyes de privacidad de datos es que todas ellas requieren que las empresas tengan controles de seguridad razonables para proteger los datos sensibles/personales del acceso no autorizado. Estas leyes reconocen que las organizaciones no pueden mantener la información de los usuarios en privado a menos que también tengan prácticas disciplinarias de gestión de la seguridad cibernética para mantener los datos seguros.

Empujan a las organizaciones a reforzar sus medidas de seguridad y a gestionar mejor los riesgos informáticos que plantea su cadena de suministro. Estas leyes también utilizan grandes multas y penalizaciones para incentivar este cambio de comportamiento.

Si bien las encuestas han demostrado que los dirigentes de las organizaciones ya están muy preocupados por el riesgo de la ciberseguridad, creemos que el aumento de las leyes sobre la privacidad de los datos hará que las preocupaciones sobre la seguridad ocupen un lugar aún más importante en la agenda de las organizaciones. Para cumplir con éxito estas leyes de privacidad de datos, las organizaciones tendrán que hacer un mejor trabajo de protección de sus activos de datos críticos, lo que representa una nueva oportunidad de negocio para las empresas de CPA.

Las organizaciones necesitarán examinar más de cerca los riesgos de seguridad

En el primer semestre de 2019, las violaciones de datos expusieron 4.100 millones de registros, y las violaciones de terceros representaron más de la mitad de todas las violaciones de datos en los Estados Unidos. Si bien la conciencia del riesgo de terceros ha comenzado a mejorar, creemos que el nuevo panorama de la privacidad de los datos obligará a las organizaciones a crecer rápidamente en lo que respecta a sus prácticas de gestión de riesgos de terceros.

Ante la perspectiva de pagar multas y penalizaciones importantes, las organizaciones comenzarán a hacer más para examinar la postura de seguridad de su cadena de suministro y adoptar medidas para mitigar el riesgo de violaciones de datos por parte de terceros. De hecho, creemos que esta tendencia tendrá un impacto significativo en la forma en que las organizaciones establecen relaciones de confianza entre sí.

En el futuro, siempre habrá que ganarse la confianza. Antes de entablar una nueva relación, las organizaciones tomarán múltiples medidas para verificar la fiabilidad digital de sus posibles proveedores y socios. En muchos casos, las organizaciones pedirán a sus proveedores que les envíen los informes de auditoría más recientes firmados por sus empresas de contabilidad (por ejemplo, el informe SOC 2).

Además, las empresas con recursos suficientes pueden elaborar sus propios procedimientos de auditoría para evaluar las prácticas de seguridad y privacidad de los datos de sus proveedores. Es posible que usted ya esté familiarizado con los Estándares de Privacidad y Garantía de Proveedores de Microsoft que instruyen a sus proveedores sobre la privacidad y protección de datos y aseguran el cumplimiento de esos requisitos por parte de los proveedores.

En el futuro, prevemos que más organizaciones sigan los pasos de Microsoft con sus propios estándares de seguridad y privacidad de datos para los proveedores.

La oportunidad que se presenta a las empresas de CPA

En este momento, las firmas de contadores públicos tienen un campo verde de oportunidades para ayudar a los clientes -nuevos y existentes- a enfrentar el nuevo conjunto de desafíos que plantean las regulaciones de privacidad de datos.

Las encuestas muestran que la mayoría de las organizaciones están comenzando a lidiar con los desafíos que se avecinan. Por ejemplo, cuando Hyperproof llevó a cabo una encuesta para comprender el estado de preparación de la CCPA a partir de diciembre de 2019, justo un mes antes de la fecha de entrada en vigor, el 91 por ciento de los encuestados informaron que no habían completado el trabajo necesario para cumplir con la CCPA.

De hecho, la respuesta más común entre los encuestados fue que su organización acaba de empezar a evaluar cómo los requisitos de la CCPA afectarán a su negocio (34%). Existe una necesidad real de que las empresas de CPA intervengan y ayuden a los clientes a comprender sus obligaciones en virtud de estas leyes de privacidad de datos, asegurándose de que sus prácticas en materia de datos se ajusten a los reglamentos, directrices y buenas prácticas, y de que lo hagan de manera que sea fácil de aplicar, rentable y ampliable.

Las oportunidades de nuevos servicios incluyen:

● Educación y capacitación para ayudar a las organizaciones a comprender los requisitos de las nuevas leyes de privacidad de datos, por ejemplo, la CCPA

● Ayudar a los clientes a identificar los activos importantes, trazar sus riesgos y proporcionar una hoja de ruta de seguridad cibernética

● Análisis de deficiencias: Ayuda a evaluar el alcance y la calidad de los controles en una organización antes de un examen de notificación de SOC

● Convertirse en asesor del Programa de Seguridad y Privacidad de Proveedores de Microsoft (SSPA)

● Convertirse en asesor preferido para los estándares emergentes de seguridad y privacidad de los proveedores (programas similares a la SSPA de Microsoft)

● Realización de exámenes de seguridad (por ejemplo, pruebas de penetración y evaluaciones de vulnerabilidad) para ayudar a los clientes a identificar riesgos específicos para sus sistemas y datos comerciales y proporcionar estrategias de mitigación

Artículos relacionados

Por qué la seguridad es imprescindible para la contabilidad en la nube

Consejos de recuperación de datos para empresas de contabilidad