Michigan considera a lei de notificação de violação de dados aprimorada
Privacidade e segurança continuam na vanguarda das legislaturas em todo o país, apesar (ou talvez por causa) da pandemia COVID-19.
No final de maio, com alterações consecutivas, Washington DC e Vermont revisaram significativamente suas leis de notificação de violação de dados, incluindo a expansão da definição de informações pessoais e requisitos de notificação mais elevados. Agora, Michigan pode seguir o exemplo.
No início deste mês, a Câmara dos Representantes de Michigan votou a favor dos projetos de lei 4186-87 da Câmara , patrocinados pela deputada estadual Diana Farrington, de Utica, que cria a Lei de Notificação de Violação de Dados e isenta as entidades sujeitas à nova lei de disposições semelhantes de Michigan Lei anterior de proteção contra roubo de identidade . Ao contrário de outros estados que expandiram as leis de notificação de violação de dados já existentes, este projeto substituiria efetivamente a lei anterior de Michigan em sua totalidade.
Esta proposta coloca os consumidores de Michigan em primeiro lugar quando há casos de dados comprometidos ”, disse Farrington, que preside o Comitê de Serviços Financeiros da Câmara. “A proteção do consumidor é sempre importante – e agora muitas pessoas em Michigan e no condado de Macomb estão em apuros financeiros devido ao COVID-19. Eles não precisam do estresse adicional que é causado quando suas informações pessoais estão potencialmente nas mãos de outra pessoa.
Abaixo estão os destaques do novo projeto de lei de notificação de violação de dados de Michigan:
- Expansão da definição de “informações de identificação pessoal confidenciais” (PII). Seguindo muitos outros estados, o novo projeto de lei expande a definição de PII para incluir o nome ou a inicial do primeiro e último nome de um residente do estado em combinação com um ou mais dos seguintes elementos de dados relacionados ao residente:
- Um número não truncado do Seguro Social, número da carteira de motorista, número do cartão de identificação pessoal estadual, número do passaporte, número de identificação militar ou outro número de identificação exclusivo emitido em um documento governamental.
- Um número de conta financeira.
- Um histórico médico ou mental, tratamento ou diagnóstico emitido por um profissional de saúde.
- Um número de apólice de seguro saúde ou número de identificação de assinante e qualquer identificador exclusivo usado por uma seguradora de saúde.
- Um nome de usuário ou endereço de e-mail, em combinação com uma senha ou uma pergunta e resposta de segurança, que permitiria o acesso a uma conta online que provavelmente possui ou é usada para obter informações confidenciais de identificação pessoal.
- Requisitos de notificação para residentes do estado afetado. Uma entidade coberta seria obrigada a notificar os residentes estaduais cujas PII foram adquiridas na violação, o mais rapidamente possível e sem atrasos injustificados, levando em consideração o tempo necessário para conduzir uma investigação e determinar o escopo da violação, mas não mais do que 45 dias após sua determinação de que ocorreu uma violação (a menos que as autoridades locais determinem que tal notificação possa interferir em uma investigação criminal / segurança nacional). A notificação por escrito deve incluir pelo menos o seguinte :
- A data, data estimada ou intervalo de datas estimado da violação.
- Uma descrição das PII adquiridas como parte da violação.
- Uma descrição geral das ações tomadas para restaurar a segurança e a confidencialidade das PII envolvidas na violação.
- Uma descrição geral das etapas que um residente do estado pode tomar para se proteger contra o roubo de identidade, se a violação criar um risco de roubo de identidade.
- Informações de contato que o residente do estado pode usar para perguntar sobre a violação.
- Requisitos de notificação para agência estadual. Se o número de residentes do estado a serem notificados exceder 750, a entidade deverá fornecer notificação por escrito ao Departamento de Tecnologia, Gestão e Orçamento de Michigan dentro do mesmo prazo da notificação aos residentes afetados. A notificação por escrito deve incluir pelo menos uma sinopse dos eventos relacionados à violação, o número aproximado de residentes do estado notificados, quaisquer serviços relacionados que a entidade coberta esteja oferecendo aos residentes do estado e como o residente do estado pode obter informações adicionais.
- Aviso substituto. De acordo com o projeto de lei, uma entidade coberta obrigada a fornecer um aviso poderia, em vez disso, fornecer um aviso substituto, se o aviso direto não for viável devido ao custo excessivo ou à falta de informações de contato suficientes. Por exemplo, o custo da notificação direta seria considerado excessivo se ultrapassasse US $ 250.000.
- Medidas de segurança razoáveis. Michigan se juntaria a muitos outros estados que exigem que as empresas implementem e mantenham medidas de segurança razoáveis destinadas a proteger as PII contra uma violação. Ao desenvolver medidas de segurança, as entidades podem considerar o tamanho de sua entidade, o valor das PII possuídas ou licenciadas e sua atividade circundante, e o custo para manter essas medidas em relação aos recursos da entidade.
- Eliminação de dados. As entidades cobertas e os agentes terceirizados seriam obrigados a tomar medidas razoáveis para descartar ou providenciar o descarte de PII quando a retenção não for mais exigida por lei. O descarte requer fragmentação, apagamento ou modificação de PII para torná-lo ilegível ou indecifrável.
- Penalidades. A nova lei em sua forma atual não criaria um direito privado de ação. No entanto, uma pessoa que violar conscientemente um requisito de notificação pode ser condenada a pagar uma multa de até $ 2.000 para cada violação ou não mais de $ 5.000 por dia para cada dia consecutivo em que a entidade coberta deixar de tomar as medidas cabíveis para cumprir os requisitos, a $ 250.000. O procurador-geral teria autoridade de aplicação exclusiva.
O projeto agora segue para o Senado de Michigan para análise posterior. Esta alteração manteria Michigan alinhado com outros estados em todo o país, atualmente aprimorando suas leis de notificação de violação de dados à luz do aumento significativo no número e na escala de violações de dados e maior conscientização pública. As organizações nos Estados Unidos devem avaliar e aprimorar seus recursos de prevenção e resposta à violação de dados.
Fonte: https://www.natlawreview.com/article/michigan-considers-enhanced-data-breach-notification-law