Safetica > Resources > GLBA: alcance, finalidad y cómo cumplirla

GLBA: alcance, finalidad y cómo cumplirla

sep 11, 2023

Te damos la bienvenida a una exploración exhaustiva de la Gramm-Leach-Bliley Act (GLBA): un guardián de la privacidad del consumidor y de la seguridad de los datos en el sector financiero de Estados Unidos. Al comprender sus entresijos e implementar sus requisitos, las entidades financieras pueden construir confianza con sus clientes y garantizar la confidencialidad de su información personal no pública.


Vamos a sumergirnos en lo esencial de la GLBA, explorando sus tres componentes fundamentales: su finalidad, su alcance y cómo pueden las organizaciones asegurar el cumplimiento mientras refuerzan sus defensas de datos.

 

¿Qué es la GLBA?

La GLBA, promulgada en 1999, es una ley federal que busca reforzar la privacidad del consumidor y la seguridad de los datos en las entidades financieras. Su foco principal está en proteger la información personal no pública (NPI) en poder de las entidades financieras.

GLBA1

La GLBA se compone de tres secciones principales. Estas son sus descripciones breves (con ejemplos):

  1. Financial Privacy Rule: esta regla gira en torno a la transparencia y a dotar a las personas de control sobre su información financiera. Las entidades financieras a las que se aplica la GLBA deben proporcionar a sus clientes avisos de privacidad claros, explicando qué datos se recopilan, cómo se utilizan y con quién se comparten. Los clientes también tienen derecho a oponerse a que su información se comparta con terceros no afiliados. Aquí tienes un ejemplo para verlo más claro:
Un cliente abre una cuenta en un banco. Como parte del proceso, el banco le entrega un aviso claro que explica qué información recopilará de él, como su nombre, dirección y datos de las transacciones. Le indica también cómo la utilizará (por ejemplo, para procesar transacciones y prevenir el fraude). Y, sobre todo, el banco le explica cómo puede oponerse a que su información se comparta con terceros.
  1. Safeguards Rule: esta regla actúa como un guardia de seguridad de los datos personales recopilados por las entidades financieras. Obliga a las organizaciones que entran en el ámbito de la GLBA a implantar procesos integrales de seguridad de los datos que protejan la NPI frente a accesos no autorizados. La regla subraya la importancia de los planes de continuidad de negocio y de recuperación ante desastres para hacer frente a las brechas de datos. Veamos un ejemplo:
Imagina que eres una cooperativa de crédito que maneja muchísimos datos de clientes. La Safeguards Rule te obliga a crear un plan de seguridad. Esto puede implicar usar cifrado para asegurar que solo el personal autorizado pueda acceder a los datos, establecer contraseñas y controles de acceso robustos y formar a los empleados para detectar y prevenir brechas de datos. Necesitarás también un plan de recuperación claro que pueda activarse de inmediato cuando sea necesario.
  1. Pretexting Provisions: el pretexting, una forma de ingeniería social, consiste en engañar a las personas para que revelen información valiosa mediante historias inventadas. La GLBA prohíbe a las entidades financieras emplear o consentir el pretexting para obtener datos de clientes. Además, deben adoptar medidas activas para prevenirlo, como la formación de empleados y la verificación rigurosa de cualquier persona que solicite información. Veamos un ejemplo de pretexting:
Imagina que un ciberdelincuente apunta a una pequeña cooperativa de crédito. El delincuente investiga un poco y descubre que la cooperativa ha actualizado recientemente sus sistemas. Con esta información, llama al servicio de atención al cliente haciéndose pasar por un técnico de soporte del equipo encargado de la actualización y explica que necesita verificar algunos datos de las cuentas para asegurarse de que la actualización ha ido bien. El delincuente solicita varios datos de los clientes, como nombres completos, números de cuenta e incluso números de la seguridad social. Con los datos recopilados, accede a las cuentas de los clientes y empieza a realizar transacciones no autorizadas.

Las Pretexting Provisions de la GLBA prohíben de forma expresa el uso del pretexting para acceder a información de clientes en poder de entidades financieras, como ocurre en el ejemplo. Los empleados de la cooperativa de crédito deben seguir procedimientos estrictos al manejar los datos de clientes, incluida la verificación de la identidad de quien solicita información sensible.

 

Consumers vs. customers: ¿cuál es la diferencia?

La GLBA distingue entre consumers (consumidores) y customers (clientes). Los customers, a diferencia de los consumers, mantienen una relación continuada con la entidad financiera.

Imaginemos que Jane solicita una tarjeta de crédito al Bank A. Como busca un servicio financiero del banco pero no tiene una relación continuada con él más allá de esa solicitud, se la considera consumer.

Una vez que Jane obtiene la aprobación de la tarjeta de crédito del Bank A, empieza a usarla para sus transacciones. A través de esta cuenta de tarjeta de crédito ha establecido una relación continuada con el banco. En este caso, Jane se convierte en customer porque mantiene una relación continuada con la entidad.

Dicho de otra forma: aunque todos los customers son consumers, no todos los consumers se convierten en customers a menos que establezcan una relación más duradera y estrecha con una entidad financiera. Como cabía esperar, a los customers se les aplican requisitos de privacidad de datos más estrictos. Por ejemplo, solo los customers tienen automáticamente derecho a oponerse (opt-out), mientras que los consumers solo lo tienen en circunstancias específicas.

 

El alcance de la GLBA: ¿a quién se aplica?

La GLBA tiende una red amplia sobre diversas entidades financieras y entidades que operan en EE. UU. o que tienen clientes en EE. UU. Abarca una amplia gama de entidades financieras, como:

  • bancos y cooperativas de crédito
  • brokers hipotecarios
  • compañías de seguros
  • empresas de valores
  • asesores de inversiones
  • prestamistas y brokers hipotecarios
  • asesores fiscales
  • agencias de información crediticia
 

La finalidad de la GLBA: privacidad, seguridad y confianza

En esta era digital, en la que las transacciones financieras se realizan online y la información personal es un activo enormemente valioso, la GLBA destaca como protectora de los datos y la privacidad en Estados Unidos. Cada uno de los componentes clave de la GLBA cumple un papel crucial para garantizar que las entidades financieras manejen los datos personales con cuidado.

La misión de la GLBA es clara: proteger y empoderar a las personas, fortalecer las prácticas de seguridad de los datos en las entidades financieras y asegurar la integridad del sector financiero.

Reforzar la privacidad del consumidor

En esencia, la GLBA otorga a las personas el poder de decidir cómo se recopila y utiliza su información personal por parte de las entidades financieras. La Financial Privacy Rule establece que estas compañías deben ofrecer información clara sobre privacidad a las personas, explicarles cómo se utilizan sus datos y permitirles decir «no, gracias» a compartirlos con terceros.

Esto empodera a las personas para mantener cierto control sobre sus datos personales y fomenta la confianza en las entidades que custodian su información.

Reforzar la seguridad de los datos

Más allá de la privacidad, la GLBA pone especial énfasis en proteger la seguridad e integridad de la información personal no pública. La Safeguards Rule asegura que las entidades financieras creen planes de seguridad sólidos para la NPI. Esto implica utilizar medidas robustas como cifrado, controles de acceso y formación para frenar las ciberamenazas y las brechas de datos que podrían comprometer la confidencialidad de los datos personales.

Fomentar la confianza del consumidor

Al establecer pautas claras para la protección de datos y la privacidad, la GLBA pretende fomentar la confianza del consumidor en el sector financiero. Cuando las personas confían su información personal y financiera a las entidades, lo hacen con la expectativa de que sus datos se manejarán de forma responsable y segura. Las regulaciones y salvaguardas de la GLBA proporcionan el marco necesario para inspirar esa confianza, permitiendo a los consumidores realizar transacciones financieras con tranquilidad.

 

Cómo cumplir con la normativa GLBA

Cumplir con la GLBA requiere un enfoque estratégico. Aquí tienes un esquema paso a paso para ayudar a tu organización en el camino del cumplimiento:

Paso 1: identifica y protege la NPI

  • Identifica toda la NPI dentro de tu organización.
  • Implementa controles de acceso para limitar el acceso de los empleados a la NPI en función de sus responsabilidades laborales. Considera el enfoque Zero Trust, que es exactamente lo que parece: nadie tiene confianza de partida hasta que se demuestre que el acceso es necesario.
  • Cifra la NPI durante su transmisión y almacenamiento para evitar accesos no autorizados.

Paso 2: desarrolla una política de seguridad integral

  • Crea un plan de seguridad por escrito que detalle cómo tu institución salvaguarda la NPI. Seguir el estándar internacional ISO 27001 es una manera infalible de construir un sistema de gestión de la seguridad de la información eficaz.
  • Designa a una persona o equipo responsable de supervisar el programa de seguridad.
  • Realiza evaluaciones periódicas de riesgos para identificar vulnerabilidades y mitigar posibles amenazas.

Paso 3: facilita avisos de privacidad y opciones de oposición

  • Desarrolla avisos de privacidad claros y concisos que informen a los clientes sobre las prácticas de tu institución en materia de intercambio de información.
  • Permite a los clientes oponerse a que su NPI se comparta con terceros no afiliados.
  • Implementa un proceso para atender en plazo las solicitudes de oposición de los clientes.

Paso 4: forma a los empleados

  • Proporciona formación integral a los empleados sobre los requisitos de la GLBA, las prácticas de seguridad de los datos y la importancia de la privacidad de los clientes.
  • Mantén informados con regularidad a los empleados sobre las amenazas emergentes y las buenas prácticas de protección de datos.

Paso 5: monitoriza y actualiza los procesos con regularidad

  • Realiza una monitorización continua de la eficacia de tu programa de seguridad y ajústalo cuando sea necesario.
  • Mantente al día de los cambios en los requisitos regulatorios y en los estándares del sector que puedan afectar a tu organización.
 

Aplicación y sanciones de la GLBA

Cuando se trata de la GLBA, el cumplimiento no es una mera sugerencia: es obligatorio. Las entidades financieras que no se tomen estas regulaciones en serio pueden meterse en serios problemas.

La GLBA no se anda con bromas en cuanto a multas. Si una entidad financiera incumple sus regulaciones, las sanciones pueden ser elevadas. Por cada infracción, una compañía puede ser multada con hasta 100 000 USD. Y eso no es todo: las personas responsables del incumplimiento, como directivos o consejeros, pueden ser multadas con hasta 10 000 USD por cada infracción. ¡Imagina recibir una factura por esa cantidad porque tu organización no siguió las reglas!

Y no solo está el dinero: el incumplimiento también puede acarrear problemas legales. Las personas multadas pueden enfrentarse asimismo a hasta 5 años de prisión por su parte en el incumplimiento de la GLBA.

Para las entidades financieras, una adhesión estricta a la GLBA demuestra que se toman en serio la seguridad de los datos y que están comprometidas con mantener la información personal a salvo. Así que, si eres una entidad financiera, recuerda que cumplir con la GLBA no va solo de evitar multas: se trata de salvaguardar tu reputación y la tranquilidad de tus clientes.

 

El papel de Safetica en el cumplimiento de la GLBA

El software de Data Loss Prevention (DLP) de Safetica, como Safetica, ofrece una solución sólida y fácil de usar para las entidades financieras que aspiran a cumplir con la GLBA. Así puede convertirse Safetica en tu aliado de confianza en la protección de datos:

  • Protección de datos sensibles: Safetica identifica y monitoriza la NPI en toda tu organización, evitando accesos no autorizados, intercambios indebidos o fugas.
  • User Behavior Analytics: Safetica no solo se centra en los datos en reposo; también vigila cómo se utilizan. Al analizar los patrones de comportamiento de los usuarios, puede identificar actividades inusuales o de riesgo que puedan poner en peligro la NPI.
  • Cifrado y controles de acceso: Safetica garantiza que la NPI se cifra durante su transmisión y almacenamiento, mientras que los controles de acceso limitan la exposición de los datos al personal autorizado.
  • Respuesta ante incidentes: Safetica te alerta en tiempo real de cualquier movimiento de datos sospechoso o acceso no autorizado, lo que permite una respuesta rápida y prevenir posibles brechas.
Con las soluciones DLP de Safetica, las entidades financieras pueden reforzar la seguridad de sus datos, mitigar los riesgos para la privacidad, mantener el cumplimiento de la GLBA y proteger la privacidad de la información personal. ¡Una situación en la que todos ganan!

Similar posts