A IHRSA é atualmente a Health & Fitness Association.

A sua empresa de fitness sofreu uma violação de dados. E agora?

Tomou todas as medidas correctas para proteger os dados dos membros do seu health club, mas mesmo assim houve uma violação de dados. O que é que faz para minimizar os danos?

O termo "violação de dados" é normalmente uma das últimas coisas que um proprietário ou operador de um health club quer ouvir que aconteceu no seu clube. É o suficiente para pôr o empresário mais experiente a suar. Antes de o seu ritmo cardíaco sair da zona vermelha, lembre-se de respirar. Existem algumas práticas recomendadas que pode utilizar para responder a uma violação de dados.

tinha tomado todas as medidas correctas para proteger os dados sensíveis, confidenciais ou protegidos de outra forma dos seus membros e empregados. No entanto, mesmo que faça tudo correctamente, as coisas podem correr mal. É por isso que, antes de responder a uma violação de dados, é crucial compreender o impacto que pode ter na sua empresa.

Stressed Computer Data Breach Kaitlynn Column width

Como uma violação de dados pode afectar o seu Health Club

A maioria dos estados tem leis de privacidade de dados que colocam a responsabilidade de salvaguardar certos tipos de informações de funcionários e consumidores firmemente nas empresas que detêm as informações. Na eventualidade de uma violação de dados, é o proprietário da empresa que terá de responder.

As violações de dados podem custar muito dinheiro às empresas. O Instituto Ponemon - queacompanha o custo das violações de dados - informou que o custo total médio de uma violação de dados em 2018 foi de 3,86 milhões de dólares e o custo médio por registo roubado ou perdido foi de 148 dólares.

Se o seu clube tiver 2.000 sócios e metade for vítima de uma violação de dados, isso pode custar à sua empresa até $148.000. Se adicionarmos a isto os danos à sua reputação e a perda de confiança dos seus membros, podemos começar a ver os graves danos que uma violação de dados pode causar à sua empresa.

Então, o que é que faz agora? Bem, descobriu o problema e, acredite ou não, esse é um grande primeiro passo.

Melhores práticas em resposta a uma violação de dados

Investigar e remediar

Assim que tiver conhecimento da infracção, deve iniciar uma investigação. Desloque-se ao local do incidente, entreviste os empregados e tente determinar o que aconteceu e como.

O objectivo é determinar:

  • Que informações foram comprometidas?
  • Foi um hacking (um acto intencional com prováveis motivos criminosos)?
  • Foi um erro (por exemplo, um funcionário deixou o portátil sem vigilância e este foi roubado)?
  • Tratou-se de uma falha de processo (uma lacuna nas práticas de segurança comprometeu a informação)?

Compreender a natureza da violação permitir-lhe-á tomar medidas imediatas para conter ou remediar a situação e ajudá-lo a identificar os passos seguintes adequados.

Se a sua investigação o levar a crer que foi vítima de pirataria informática, deve notificar a polícia.

Identificar e seguir as leis estaduais de violação de dados

Não existe uma lei federal que regule o que acontece no caso de uma violação de dados. A lei federal restringe-se geralmente a sectores específicos, como os cuidados de saúde e os serviços financeiros. A sua atenção deve centrar-se no conhecimento da legislação estatal.

Todos os estados têm uma lei de violação de dados que estabelece as medidas que as empresas devem tomar para responder a uma violação de dados. Cada lei estadual é diferente, incluindo o que é considerado informação protegida - comummente referida como informação de identificação pessoal (PII) - e que actividades são consideradas uma violação.

Embora as definições de informações que identificam pessoalmente as pessoas variem consoante o Estado, normalmente incluem:

  • informações médicas,
  • informação biométrica,
  • informações financeiras,
  • o nome de uma pessoa, o número da segurança social ou o número da carta de condução.

A Carolina do Norte e o Dacota do Norte são bons exemplos das diferentes reviravoltas que os estados podem dar à lei. Nestes estados, a lei considera o nome de solteira da sua mãe como PII, porque as contas bancárias e os ficheiros dos empregados utilizam-no frequentemente como pergunta de segurança.

A violação de dados dá origem a uma notificação?

Se os dados comprometidos forem considerados PII ao abrigo da lei, é necessário descobrir se o incidente desencadeia um requisito de notificação. Identifique que leis de notificação de violação de dados se aplicam à sua situação e determine se o que aconteceu é considerado uma "violação" ao abrigo da lei. Se for, terá de notificar todos os indivíduos afectados.

É aqui que as coisas podem tornar-se um pouco complicadas. As empresas devem seguir os requisitos de notificação com base na lei de violação de dados do estado em que os indivíduos afectados - incluindo funcionários e consumidores - residem, e não na localização da empresa. Se os indivíduos afectados residirem em vários estados diferentes, descobrir as notificações adequadas a enviar pode tornar-se complicado rapidamente. Poderá ser necessário considerar a possibilidade de obter aconselhamento jurídico.

"Se o seu clube tiver 2.000 sócios e metade for vítima de uma violação de dados, isso pode custar à sua empresa até 148.000 dólares."

Alguns estados exigem a notificação se uma pessoa não autorizada aceder às IIP. Um hacker ou ladrão que utilize o computador de um funcionário roubado são dois exemplos de pessoas não autorizadas que acedem a dados protegidos.

Outros estados baseiam os seus requisitos de notificação no que se designa por "análise do risco de danos". Qual é a probabilidade de danos para o indivíduo afectado devido à perda dos dados? A análise do risco de danos tem em consideração aspectos como a utilização de encriptação e outras precauções que podem tornar menos provável que um ladrão possa aceder efectivamente às IPI.

Nesse caso, pode determinar que o risco de danos para o indivíduo é baixo e que não é necessária qualquer notificação. Se decidir não notificar, normalmente tem de documentar essa decisão e mantê-la registada durante um determinado número de anos.

Além disso, certifique-se de que verifica os contratos com os seus fornecedores para ver se alguma cláusula desencadeia uma notificação no caso de uma violação de dados.

Quem recebe a notificação

Se determinar que tem de notificar os seus membros de uma violação de dados, a legislação estatal adequada dir-lhe-á quem deve receber o aviso. Estas leis também estipularão o calendário e a aplicação do aviso. Normalmente, os estados exigem que as empresas forneçam um aviso por escrito aos indivíduos afectados. Em mais de 30 estados, as empresas são obrigadas a notificar o procurador-geral do estado ou outra agência estatal - normalmente uma agência de protecção do consumidor.

Se as informações comprometidas forem informações de saúde protegidas ao abrigo da HIPAA, poderá ser necessário notificar o U.S. Department of Health and Human Services.

Conteúdo do aviso

Alguns estados exigem que forneça determinadas informações e utilize uma linguagem específica numa notificação de violação de dados. Por exemplo, o estatuto de notificação de violação da Califórnia descreve o formato e o conteúdo de um aviso. Embora os requisitos de notificação variem de estado para estado, como regra geral, as notificações devem incluir:

  • Tipo de informações pessoais identificáveis violadas
  • Data da infracção
  • Descrição geral da infracção

Calendário do aviso

Da mesma forma, o momento de enviar uma notificação varia de estado para estado, mas os estados seguem geralmente uma de duas abordagens.

A primeira exige que as pessoas afectadas sejam notificadas "o mais rapidamente possível, sem atrasos injustificados". O significado deste requisito varia consoante o caso. Normalmente, depende do momento em que a empresa teve conhecimento da violação e da oportunidade de a investigar.

A segunda exige a notificação num determinado número de dias ou semanas. Se o estado exigir que a empresa notifique o procurador-geral do estado ou outra agência estatal, essa notificação tem normalmente de ser enviada dentro de um prazo definido. O prazo de notificação pode muitas vezes ser adiado se a violação for o resultado de um acto criminoso suspeito e a polícia estiver a investigar o incidente.

Aplicação da lei

Alguns estados atribuem o poder de aplicação da lei de notificação ao procurador-geral. Isto significa que o procurador-geral é responsável por determinar se a empresa cumpriu a lei e, caso contrário, qual deve ser a coima.

Outros prevêem um direito de acção privado, que permite que as pessoas afectadas pela violação de dados processem a empresa responsável por danos, abrindo as portas a acções judiciais colectivas.

Etapas de atenuação dos riscos

Sofreu uma violação de dados. Fez a sua investigação. Apresentou os avisos necessários. E agora?

O passo final é reavaliar as suas práticas e processos de segurança de dados. Certifique-se de que está a seguir as melhores práticas e reforce quaisquer áreas de fraqueza identificadas. A melhor forma de evitar os custos e os danos para a reputação causados por uma violação de dados é fazer tudo o que estiver ao seu alcance para evitar a violação de dados.

Artigos e publicações relacionados

Avatar do autor

Jeff Perkins

Jeff Perkins foi anteriormente Vice-Presidente de Governação e Assuntos Públicos da IHRSA - um cargo que se centrava na monitorização e influência da legislação a nível estatal e federal para proteger os modelos de negócio e as operações dos clubes e ajudar a promover os benefícios do exercício para a saúde.