.
Neste último caso, os dados de contacto da agência responsável pela aplicação da lei também teriam de ser fornecidos
As autoridades dos EUA podem tentar atrasar a divulgação pública de um incidente, caso em que a agência relevante terá de apresentar um pedido por escrito de prorrogação, que pode ser concedida por mais 60 dias além da janela inicial de 30 dias.
Fundamentalmente, a alteração [PDF] só se aplicará a violações de segurança que envolvam o roubo de dados não criptografados pertencentes a pelo menos 500 consumidores.
Na proposta original, cujo processo de elaboração teve início em outubro de 2021, pensava-se que a alteração se aplicaria a eventos em que 1.000 consumidores ou mais fossem afetados.
A FTC acabou por reduzir este número para 500, mas disse que provavelmente só levaria à notificação adicional de um pequeno número de incidentes por ano – cerca de 5% mais, o que, segundo as estimativas da FTC, afectaria 155 organizações adicionais.
O limite de 500 consumidores está amplamente alinhado com as leis estaduais sobre relatórios de violação de dados nos EUA. A Califórnia, por exemplo, exige que divulgações semelhantes sejam feitas no caso de 500 residentes do estado serem afetados por uma violação, enquanto o limite é estabelecido em 1.000 indivíduos no Alabama.
Outros estados, como o Colorado, têm regras diferentes para cortes diferentes. Se o número de moradores afetados estiver entre 500 e 999, as notificações deverão ser enviadas à Procuradoria-Geral da República. Para aqueles que impactam 1.000 ou mais, a organização também deve notificar todas as agências de informação ao consumidor. Violações de dados de qualquer tamanho devem sempre ser comunicadas aos indivíduos afetados, não importa quão pequeno seja o número, no prazo de 30 dias.
A alteração entrará em vigor 180 dias após sua publicação no Federal Register. A data para isso não foi definida, mas provavelmente entrará em vigor em 2024.
A notícia da FTC chega poucos meses depois que a Securities and Exchange Commission (SEC) anunciou sua própria regras obrigatórias de comunicação de violações em julho, mas com uma janela muito mais restrita de quatro dias.
As empresas públicas que sofrerem violações de dados “materiais” serão obrigadas a apresentar um relatório Item 1.05 Formulário 8-K que inclui detalhes da violação – informações semelhantes às exigidas pela última alteração da FTC – e será tornado público pelo regulador.
Especialistas conversando com Strong The One na época, expressou preocupação com a capacidade das organizações dos EUA de determinar a materialidade, dizendo que seria difícil manter a conformidade como resultado.
O Departamento de Segurança Interna (DHS) também publicou recentemente propostas [PDF] tornar a notificação de incidentes de segurança mais simplificada em nível federal, incluindo a recomendação de um portal único de denúncias. ®
.
