Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

¿Qué es la Ley Gramm-Leach-Bliley (GLBA)?

Inicio Glosario ¿Qué es la Ley Gramm-Leach-Bliley (GLBA)?

La Ley Gramm-Leach-Bliley (GLBA), que también puede ser referida como la Ley GLB, o en algunos casos, la Ley de Modernización de los Servicios Financieros de 1999, es una ley promulgada por el Congreso de los EE. UU. para regular cómo las instituciones financieras manejan la información personal sensible de sus clientes.

Para cumplir con las disposiciones de esta ley federal, las instituciones financieras deben ser transparentes en cómo manejan los datos privados de sus clientes, dar avisos cuando comparten estos datos, y permitir que los clientes sepan que tienen el derecho de optar por no participar en acuerdos de intercambio de datos. Además, las reglas de Salvaguardas y Privacidad en la Ley describen los pasos específicos que una institución financiera debe seguir para proteger los datos de los clientes.

La GLBA es aplicada principalmente por la Comisión Federal de Comercio, otras agencias regulatorias federales, y agencias de supervisión de seguros estatales. A continuación, se presenta un análisis detallado de la GLBA y cómo las organizaciones pueden asegurar el cumplimiento normativo en todo momento.

GLBA

Los Componentes Principales de la GLBA

La Ley Gramm-Leach-Bliley consta de tres secciones:

  • La Regla de Privacidad Financiera
  • La Regla de Salvaguardas
  • Disposiciones de Pretextos

La Regla de Privacidad Financiera regula la recopilación y divulgación de información financiera, mientras que la Regla de Salvaguardas obliga a las instituciones financieras a implementar protocolos de seguridad para proteger la información recopilada. Las Disposiciones de Pretextos cubren cualquier intento pretencioso de acceder a información sensible.

El propósito principal de la GLBA es complementar las estrategias y programas de administración de riesgos de ciberseguridad que las empresas ya tienen en marcha. La GLBA, en esencia, añade una capa adicional de seguridad a la información personal identificable (PII) financiera.

La GLBA coloca la obligación de proteger la PII sensible en la institución que la recopila, con la premisa de respetar los deseos del cliente de que estos datos permanezcan privados. Si una empresa desea compartir algunos de los datos PII de un cliente o retenerlos para uso futuro, la empresa debe notificar debidamente al cliente y darle la opción de optar por no compartir los datos.

¿Qué es una “Institución Financiera” según la GLBA?

La GLBA define claramente qué califica como una institución financiera, tanto en términos de lo que se incluye como de lo que se excluye. Específicamente, cualquier empresa que ofrezca productos financieros como seguros, préstamos, asesoramiento financiero o asesoramiento de inversión se considera una institución financiera.

Según la GLBA, estas empresas DEBEN divulgar sus prácticas de intercambio de datos y cómo protegen los datos sensibles de sus clientes. También deben notificar a sus clientes sobre su derecho a optar por no participar en cualquier acuerdo de intercambio de datos que pueda estar en vigor.

La Ley GLB limita el alcance en el que una institución financiera puede divulgar datos sensibles a terceros no afiliados y cómo notificar a sus clientes cuando lo hacen. Además, cualquier entidad que pueda recibir dicha información está restringida en cómo la utiliza o la divulga a otras partes.

¿Qué Entidades Deben Cumplir con la GLBA?

La Ley GLB o Ley de Modernización de los Servicios Financieros de 1999 se aplica a todas las empresas que están significativamente involucradas en la prestación de servicios y productos financieros a los consumidores.

El término significativamente involucradas está bien definido en la Ley para incluir y excluir ciertos negocios. En resumen, todas las empresas que, dentro de su curso normal de operación, entran en contacto con información personal no pública de naturaleza financiera de sus clientes deben cumplir con los requisitos de cumplimiento normativo de esta Ley.

Estos incluyen empresas que normalmente no se considerarían instituciones financieras. Ejemplos incluyen:

  • Tasadores de bienes raíces
  • Cobradores de deudas
  • Prestamistas de día de pago
  • Cooperativas de crédito
  • Preparadores de impuestos
  • Negocios de cambio de cheques
  • Firmas de contabilidad
  • Servicios de mensajería
  • Corredores de hipotecas
  • Empresas de alquiler de coches
  • Agencias de informes de crédito
  • Operadores de cajeros automáticos
  • Corredores de bolsa
  • Fondos de cobertura

Las instituciones financieras tradicionales, como bancos, aseguradoras, firmas de inversión y firmas de corretaje, que manejan grandes cantidades de datos sensibles también califican como firmas de servicios financieros reguladas por la GLBA. En consecuencia, si una organización cae en cualquiera de estas categorías o en cualquier otra que esté significativamente involucrada en servicios financieros, entonces el cumplimiento con la GLBA es OBLIGATORIO.

Datos Cubiertos por la GLBA

La GLBA cubre la información personal no pública (NPI) recopilada por instituciones financieras de sus clientes. La NPI se define legalmente como información financiera PII. La GLBA no cubre registros públicos o información ampliamente distribuida en los medios. Parte de la información que puede considerarse NPI incluye:

  • Direcciones
  • Ingresos personales
  • Información de tarjetas de crédito/débito
  • Cuentas bancarias
  • Saldos bancarios
  • Historial de crédito
  • Registros de propiedad
  • Información del Seguro Social
  • Información fiscal

Esta lista no es exhaustiva; estos son solo ejemplos del tipo de información que se considera NPI. Por ejemplo, la GLBA cubre incluso inferencias hechas a partir de estos datos.

Cómo Cumplir con la GLBA

La clave para asegurar el cumplimiento con la Ley radica en entender las tres reglas. Estas son las tres secciones que describimos anteriormente.

La Regla de Privacidad Financiera

La Regla de Privacidad Financiera describe qué organizaciones deben cumplir con la Ley y qué tipo de información debe ser protegida. Define la NPI, como nombres, direcciones, números de Seguro Social y otros datos transaccionales como cuentas bancarias, información de tarjetas de crédito e informes de crédito.

La Regla de Privacidad Financiera estipula que una organización debe dar un “aviso claro y conspicuo” de todas sus políticas de privacidad y confidencialidad de datos al inicio de una relación con el cliente. Los clientes también deben recibir avisos de privacidad anuales.

La Regla de Privacidad Financiera va más allá al definir quién es un cliente frente a un consumidor. Un cliente es alguien que tiene una relación continua con una institución financiera. Un consumidor, por otro lado, es alguien que no tiene una relación con una institución.

La Regla de Salvaguardas 

La Regla de Salvaguardas describe los medios necesarios para proteger la información identificada bajo la Regla de Privacidad Financiera. Establece que aquellas organizaciones bajo la GLBA deben tener salvaguardas técnicas, administrativas y físicas en uso al recopilar, acceder, usar, distribuir y compartir información del cliente.  

Los riesgos de ciberseguridad cubiertos bajo la Regla de Salvaguardas incluyen:

  • Phishing
  • Ciberataques
  • Suplantación de correo electrónico

La Regla de Salvaguardas emitida por la Comisión Federal de Comercio en 2002 requiere además que una institución financiera, según lo definido por la Ley, designe a una persona responsable del desarrollo y prueba de un plan integrado de administración de riesgos y amenazas de seguridad para la organización. 

Una institución financiera que comparta cualquier dato NPI debe tener un plan de administración de riesgos de terceros en marcha. Además, la institución que recopila es responsable en caso de una violación de seguridad.

Disposiciones de Pretextos

Las Disposiciones de Pretextos buscan detectar todos los vacíos legales que actores astutos o malintencionados podrían explotar para acceder y robar datos confidenciales. Las instituciones financieras reguladas por la GLBA deben tener medidas para detectar y prevenir dicho acceso no autorizado a los datos en su posesión.

Penalidades por Incumplimiento de la GLBA

Una institución financiera que cae dentro del marco regulatorio de la GLBA enfrenta severas penalidades financieras si violan las disposiciones de la ley. Además, los ejecutivos y empleados responsables de la protección de datos enfrentan multas individuales.

Para las instituciones, la multa es de hasta $100,000 por cada violación. En el caso de ejecutivos y empleados, pueden enfrentar multas de hasta $10,000 y hasta cinco años de prisión, o ambas, si se les encuentra culpables de negligencia.

Más allá de las posibles penalidades y multas, existe un mayor riesgo de pérdida de confianza y credibilidad de los clientes en las prácticas comerciales por parte de clientes, socios e inversores, lo que puede tener un impacto negativo mayor que las penalidades y multas financieras.

Una forma común en que las empresas evitan problemas de cumplimiento con la GLBA y otras leyes es invirtiendo en una plataforma de ciberseguridad robusta diseñada para satisfacer sus necesidades comerciales y las necesidades de sus clientes, así como asegurar el cumplimiento con la ley.

Otra forma de asegurar el cumplimiento con la GLBA es contratando firmas consultoras independientes para auditar tu infraestructura y prácticas de ciberseguridad para identificar vacíos que puedan llevar a problemas de cumplimiento.

Beneficios del Cumplimiento con la GLBA

Además de evitar penalidades y multas, el cumplimiento con la GLBA asegura que una institución financiera proteja su reputación de marca, lo que, a su vez, crea un sentido de confianza que fomenta más negocios. También hay beneficios adicionales que vienen con el cumplimiento de la GLBA. Por ejemplo, las capacidades de administración de riesgos de ciberseguridad que una organización requiere para el cumplimiento de la GLBA también habilitan la seguridad. Específicamente, mientras se cumple con la GLBA, las capacidades de administración de riesgos de seguridad que una empresa instituye extienden las protecciones contra amenazas a otros tipos de información confidencial—información de salud protegida (PHI), propiedad intelectual de la empresa (IP), información no clasificada controlada, y más. Estos controles de administración de riesgos de seguridad pueden incluso ayudar a proteger contra amenazas a la cadena de suministro.

Otro beneficio significativo de cumplir con la GLBA es que refuerza el cumplimiento y la protección para otras regulaciones de privacidad de datos como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA), el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la Ley de Privacidad del Consumidor de California (CCPA), y la Ley de Protección de Datos (DPA) en Francia y el Reino Unido.

Procedimientos de Notificación de Violaciones de la GLBA

En algunos casos, incluso cuando una organización cumple, puede ocurrir una violación. En tal caso, la GLBA requiere que la organización afectada investigue la violación para determinar si se accedió a PII sensible de los clientes. Los clientes afectados deben ser notificados en un plazo razonable.

El aviso debe detallar el tipo de violación, qué datos fueron accedidos, qué necesita hacer el cliente para proteger su identidad, y un número de teléfono para obtener más asistencia.  

Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible con la GLBA

Las comunicaciones de contenido sensible caen bajo la jurisdicción de la GLBA. Las firmas de servicios financieros que envían, comparten, reciben y almacenan información confidencial—tanto interna como externamente—deben cumplir con la GLBA. Con la mayoría de las organizaciones aún luchando por gestionar las comunicaciones de contenido sensible a través de múltiples canales con una mezcla de herramientas tecnológicas, esto puede ser una tarea significativa. Sin metadatos sobre todas las comunicaciones de contenido sensible, las organizaciones deben gastar tiempo y recursos valiosos reuniendo datos de cada una de esas herramientas. Y sin una gobernanza centralizada y automatizada de seguridad y cumplimiento, la administración efectiva de riesgos de seguridad puede ser difícil si no imposible.

La plataforma Kiteworks centraliza todas las comunicaciones de contenido sensible—correo electrónico seguro, uso compartido de archivos, transferencia de archivos, transferencia de archivos administrada, formularios web y interfaces de programación de aplicaciones (APIs)—para que las organizaciones puedan asegurar una ejecución consistente y conforme de la gobernanza, cumplimiento y seguridad en cada canal de comunicación. Kiteworks permite a las organizaciones crear Redes de Contenido Privado, que incluyen la opción de alojamiento autorizado por FedRAMP, que minimizan el riesgo de incumplimiento con regulaciones como la GLBA y violaciones de información privada.

Mira un video corto que ofrece una visión general de cómo Kiteworks habilita Redes de Contenido Privado. O simplemente programa una programa una demostración personalizada hoy para ver la plataforma Kiteworks en acción.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks