Regras e regulamentos de VoIP: seu provedor é compatível com sua indústria?
Publicados: 2016-04-05Imagine que você está assistindo a um programa de ficção científica na década de 1970. Você vê médicos diagnosticando pacientes manipulando robôs de um mundo distante. Você vê consumidores conversando com agentes de atendimento ao cliente nas telas, dando-lhes recomendações pessoais de compras. Você vê um relatório arquivado em um pequeno bloco, protegido por uma impressão digital. Você vê carros voadores movidos a energia nuclear. Bem, além desse último, estamos lá com VoIP e tecnologia de nuvem moderna.
Desenhos animados e shows com monstros grandes e emborrachados mostravam essas tecnologias sendo usadas apenas para o bem.
Mas, no mundo real, existem riscos reais e regulamentação real para mitigar esses riscos. Informações valiosas passam por esses cabos e servidores a cada segundo, e alguns setores têm regras especiais, que evoluíram ao longo do tempo para se adaptar ao avanço da tecnologia. Aqui está uma lista de alguns dos padrões reguladores com os quais você deve se familiarizar quando se trata de VoIP e outras redes de dados.
Observação: estamos cobrindo apenas os regulamentos relativos à comunicação eletrônica e ao armazenamento de informações digitais ou pessoais.
1. CPNI
- O que é isso?
As Informações de Rede Proprietárias do Cliente são informações que os provedores de serviços de telecomunicações coletam sobre seus assinantes. Especificamente, ele vincula o tipo de serviço que os assinantes usam, a quantidade usada e o tipo. Por exemplo, um provedor sem fio pode rastrear com que frequência você usa seu telefone e se você o usa para redes sociais e chamadas. As informações devem ser mantidas em sigilo, mas somente se o cliente optar por não participar. Se o cliente não optar por não participar, o provedor pode repassar essas informações aos profissionais de marketing para vender outros serviços, desde que o cliente seja notificado. Se você sair do seu provedor por outro, a empresa fica proibida de usar a CPNI para tentar recuperá-lo. Se você deseja desativar o CPNI, pode pesquisar no Google “CPNI opt out (nome do seu provedor)” e seguir as instruções encontradas.
– A quem isso afeta?
Qualquer provedor de telecomunicações está sujeito à restrição da CPNI. Mas, quanta informação cada provedor tem à sua disposição e, portanto, o risco de transmitir dados (de forma legítima ou não) depende do tipo de serviço prestado. Empresas de TV a cabo, operadoras de telefonia e provedores sem fio estão se tornando cada vez mais intercambiáveis hoje em dia, porque fazemos chamadas telefônicas de nosso provedor de Internet e usamos nossos telefones para acessar a Internet. Todas essas informações podem estar disponíveis para o seu ISP. Em 2007, a FCC estendeu explicitamente a aplicação das regras CPNI da Comissão da Lei de Telecomunicações de 1996 aos provedores de serviços VoIP interligados. Curiosamente, as mesmas informações que podem ser passadas para empresas de marketing com restrições mínimas exigem um mandado de acesso às agências de aplicação da lei.
– Quais são os riscos?
Em 2015, a AT&T fez um acordo com a FCC por uma multa recorde de US$ 25 milhões depois que 280.000 nomes e SSNs completos ou parciais foram acessados sem autorização. De acordo com a FCC, os funcionários dos call centers da AT&T no México, Colômbia e Filipinas obtiveram acesso às informações enquanto desbloqueavam legitimamente telefones celulares, mas depois passavam essas informações a terceiros para desbloquear telefones celulares roubados. Este foi, de longe, o maior acordo para uma ação de segurança de dados. A segunda maior foi para a Verizon Wireless, que teve que pagar US$ 7,4 milhões em 2014 depois de não notificar dois milhões de seus clientes de que estava usando suas informações para realizar milhares de campanhas de marketing.
2. COPPA
- O que é isso?
O Children's Online Privacy Protection Act de 1998 proíbe o marketing enganoso para crianças ou a coleta de informações pessoais sem divulgação aos pais. A decisão entrou em vigor em 2000 e foi alterada em 2011 para exigir que os dados coletados fossem apagados após um período de tempo e que, se alguma informação for repassada a terceiros, deve ser fácil para o responsável da criança proteger essas informações. As informações pessoais, neste caso, podem ser o nome da criança, o endereço físico ou IP, um nome de usuário/nome de tela, número do seguro social e fotos. As empresas não estão autorizadas a solicitar que as crianças enviem essas informações.
– A quem isso afeta?
A COPPA é aplicada pela FTC. As regras da COPPA se aplicam a qualquer operador de site ou provedor de serviços online que colete informações sobre usuários conhecidos como menores de 13 anos. Organizações sem fins lucrativos estão isentas da COPPA em determinadas circunstâncias. Em 2014, a FTC emitiu diretrizes de que aplicativos e lojas de aplicativos exigem “consentimento parental verificável”. As regras sobre números de cartão de crédito foram modificadas, afirmando que fazer uma compra (ou seja, gastar dinheiro) não era necessário para validar um número de cartão de crédito, mas que os números de cartão de crédito por si só não eram prova de consentimento dos pais, e tinham que ser usados em em conjunto com outras medidas, como perguntas secretas.
– Quais são os riscos?
Xanga, uma plataforma de blogs e redes sociais online, pagou o maior acordo, US$ 1 milhão, em 2006 por violar a privacidade online de crianças sem divulgação. Xanga não deve ser confundido com Zynga, a empresa por trás do FarmVille e outros jogos de clicker de vaca. Jogos como Candy Crush e Pet Rescue caem em território incerto, porque são hospedados pelo Facebook, e o Facebook é, pelo menos em teoria, limitado a humanos com mais de 13 anos. aplicativos.
A Topps Company, controladora da Ring Pops, ganhou a ira de grupos de privacidade por sua campanha de mídia social “#RockThatRock”, dizendo que foi comercializada para crianças menores de 13 anos, e muitos também reclamaram que muitas das fotos postadas sexualmente pré- adolescentes. Até o momento da redação deste artigo, eles ainda não foram multados.
3. HIPAA
- O que é isso?
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde data de 1996, e o Título II define especificamente as regras para transações eletrônicas de assistência médica. Em outras palavras, qualquer informação sobre sua saúde armazenada digitalmente está sujeita a regras rígidas de privacidade. Assim como você tem a confidencialidade do NDA médico-paciente, suas informações também são confidenciais e só podem ser compartilhadas com sua permissão ou com ordens de um juiz.
– A quem isso afeta?
Qualquer entidade coberta está sujeita à HIPAA. De acordo com a Health and Human Services, pode ser um prestador de cuidados de saúde (médico, dentista, farmácia), um plano de saúde (seguro, HMO, Medicare, Medicaid, The VA) ou uma câmara de compensação de cuidados de saúde (uma entidade pública ou privada que leva as informações com o jargão da indústria e as torna mais legíveis por um leigo.)
– Como os pacientes devem ser protegidos?
Existem salvaguardas administrativas, físicas e técnicas para evitar violações. As proteções administrativas são coisas como dar/restringir o acesso a quem da equipe que precisa/não precisa de acesso a informações, garantir que as senhas sejam alteradas regularmente e ter políticas escritas específicas sobre a conduta dos funcionários. As proteções físicas referem-se a ter acesso pessoal a dispositivos e locais e incluem coisas como fechaduras e alarmes seguros, guardas de segurança e câmeras e saber como descartar com segurança unidades antigas. As proteções técnicas referem-se ao login e logout de uma estação de trabalho, rastreamento da atividade do usuário e criptografia segura de dados.
– Quais são os riscos?
Se as informações forem violadas, a entidade afetada deve notificar a pessoa cujas informações vazaram por e-mail ou correio de primeira classe. No caso de uma violação maior, se algum evento afetar mais de 500 indivíduos, eles são obrigados a notificar “meios de comunicação proeminentes” e o Secretário de HHS. Você pode ver uma lista de todas as violações de informações relatadas que afetam mais de 500 pessoas aqui. Você pode registrar sua própria reclamação para que o HHS analise se você ou alguém que você conhece teve sua privacidade invadida por correio, fax ou e-mail.
Violar a HIPAA pode levar a multas pesadas ou punições criminais. Em 2014, o HHS lançou o martelo no Hospital Presbiteriano de Nova York e no Centro Médico da Universidade de Columbia depois que os dados de 6.800 pacientes estavam disponíveis para mecanismos de busca públicos; os dois hospitais foram atingidos com uma multa combinada de US$ 4,8 milhões.
4. SOX
- O que é isso?
A Lei Sarbanes-Oxley de 2002 foi criada na esteira do Crash de 2002, a fim de evitar atividades financeiras nefastas. Qualquer empresa com ações negociadas em bolsa de valores está sujeita à SOX. A Seção 404 da SOX exige que as empresas publiquem informações sobre sua estrutura de controle interno e a precisão de seus registros financeiros.
Para citar o próprio projeto de lei, a SEC exige que as empresas evitem ou detectem, em tempo hábil, a “detecção de aquisição, uso ou alienação não autorizados de ativos do emissor que possam ter um efeito material nas demonstrações financeiras”.
– A quem isso afeta?
Qualquer empresa com ações negociadas em bolsa de valores está sujeita à SOX. A Seção 404 da SOX exige que as empresas publiquem informações sobre sua estrutura de controle interno e a precisão de seus registros financeiros.
A Sarbanes-Oxley não faz distinção entre ativos tangíveis e intangíveis. Isso significa que as empresas devem valorizar seus planos de negócios futuros, produtos não anunciados que ainda estão em fase de testes e qualquer coisa que possa ser considerada um segredo comercial. As empresas também precisam se proteger contra ex-funcionários que levam consigo segredos comerciais e até mesmo contra o recebimento de segredos comerciais por ex-funcionários de concorrentes.
– Quais são os riscos?
Qualquer empresa que esteja sujeita à SOX também deve ter suas informações auditadas por um terceiro de confiança. Essas são informações confidenciais que estão sendo transmitidas e armazenadas, e os auditores e as empresas devem tomar o máximo cuidado para garantir que suas informações estejam seguras. Não procure mais do que o que estava nas manchetes de ontem para ouvir sobre os documentos de uma empresa vazando e causando grande embaraço, perda de confiança dos investidores, perda de negócios e, às vezes, multas ou penalidades criminais. É uma prática recomendada exigir a assinatura de um NDA, realizar entrevistas que coletam informações sobre a pessoa com informações e determinar a probabilidade de os dados caírem em mãos erradas e manter registros rigorosos de quem tem acesso legal às informações e quem não tem.
5. Lei de Defesa do Consumidor por Telefone / Registro Nacional de Não Chamar
- O que é isso?
A Lei de Proteção ao Consumidor Telefônico de 1991 limitou o uso de chamadas automáticas, discadores automáticos e outros métodos de comunicação. A Comissão Federal de Comunicações deixou que empresas individuais estabelecessem suas próprias listas de Não Ligue e, portanto, foi um grande fracasso. Não foi até 2003 que o National Do Not Call Registry foi formalmente estabelecido pela Federal Trade Commission como parte da Lei de Implementação Do-Not-Call de 2003. Muitos contact centers VoIP usam a abreviatura TCPA quando falam sobre sua conformidade com o Registro Nacional de Não Chamar.
Quem Afeta? De acordo com a FTC, se uma empresa tem um relacionamento estabelecido com um cliente, pode continuar a ligar para ele por até 18 meses. Se um consumidor ligar para a empresa, digamos, para pedir informações sobre o produto ou serviço, a empresa tem três meses para entrar em contato com ele. Em ambos os casos que acabei de citar, se o cliente pedir para não receber ligações, a empresa deve parar de ligar, sob pena de multa.
Os seguintes tipos de ligações estão isentos, salvo reclamação específica, do Registro de Não Ligar:
- Chamadas de uma organização B sem fins lucrativos. Nem todas as organizações sem fins lucrativos estão automaticamente isentas.
- Certos tipos de mensagens informativas, mas não mensagens promocionais (por exemplo, um cancelamento de voo está isento, uma venda de passagens aéreas não).
- Chama para votar em um candidato político.
- Solicitações de doação beneficente.
- Ligações para uma empresa, até mesmo ligações frias para obter vendas.
- Ligações de cobradores de dívidas, mas cobradores de dívidas têm suas próprias leis sobre quem e quando podem ligar.
– Quais são os riscos?
A multa máxima por ligar para alguém no DNCR é de US$ 16.000. Colocar seu telefone no registro é tão fácil quanto visitar o site donotcall.gov ou ligar para 1-888-382-1222 do telefone que deseja na lista. Embora você possa ter lido algum e-mail ou postagem de mídia social em contrário, uma vez que um número está na lista, ele permanece na lista para sempre, a menos que seja removido ativamente. Todos os telefones celulares estão na lista por padrão. No momento da redação deste artigo, não existe um registro “Do Not Text” e os chamados “junk faxes” estão sujeitos a seus próprios regulamentos.
6. Lei de Privacidade e Segurança de Dados Pessoais
- O que é isso?
Em resposta à crescente preocupação com o roubo de identidade e o crescimento da capacidade tecnológica mundial de armazenar, comunicar e computar informações, a Lei de Privacidade e Segurança de Dados Pessoais de 2009 aumentou as penalidades para alguns tipos de roubo de identidade e invasão de computadores.
– A quem isso afeta?
Impõe requisitos para um programa de privacidade e segurança de dados pessoais em entidades comerciais que mantêm informações confidenciais de identificação pessoal em formato eletrônico ou digital em 10.000 ou mais pessoas dos EUA. Muitos provedores de VoIP têm mais de 100.000 clientes. Há uma boa chance de seu provedor de VoIP de negócios de escolha ter esse requisito. As regras também se aplicam a corretores de dados interestaduais com informações sobre mais de 5.000 pessoas, mas os provedores de VoIP não são considerados corretores de dados.
– Quais são os riscos?
O próprio autor do crime, que está acessando intencionalmente um computador sem autorização, pode ser acusado de extorsão. Mas, quanto à empresa vítima desse ataque, ocultar intencionalmente uma violação de segurança de “informações sensíveis de identificação pessoal” pode resultar em multa e/ou cinco anos de prisão. Isso abrange o nome da vítima, número do seguro social, endereço residencial, dados de impressão digital/biométricos, data de nascimento e números de contas bancárias.
Qualquer empresa violada deve notificar os indivíduos afetados por correio, telefone ou e-mail, e a mensagem deve incluir informações sobre a empresa e como entrar em contato com agências de relatórios de crédito (ou seja, para obter ajuda para corrigir seu crédito). Ele também deve relatar a violação às agências de relatórios do consumidor. A violação também deve ser relatada aos principais meios de comunicação se mais de 5.000 indivíduos afetados estiverem em um estado.
A empresa também deve entrar em contato com o Serviço Secreto no prazo de quatorze dias se ocorrer uma ou mais das seguintes situações: O banco de dados contém informações sobre mais de um milhão de indivíduos; a violação afeta mais de 10.000 indivíduos; o banco de dados é um banco de dados do governo federal; a violação afeta indivíduos conhecidos como funcionários do governo ou contratados envolvidos na segurança nacional ou na aplicação da lei. Essas informações serão repassadas do Serviço Secreto ao FBI, aos Correios dos Estados Unidos e aos procuradores-gerais de cada estado afetado.
Para concluir:
A cada dois dias, mais informações são geradas do que toda a história escrita até 2003. Muitas delas são informações que teriam sido impossíveis de documentar adequadamente até a última década, e até mais recentemente, impraticáveis de armazenar e inviáveis de mover . Salvaguardas como essas leis existem para que possamos restringir essas informações a pessoas éticas, que podem fazer a coisa certa para seus pacientes, clientes ou qualquer que seja o relacionamento. Sempre ouvimos falar de violações de bancos de dados, e agora você tem uma ideia melhor do que acontecerá com a empresa que se permitiu ser invadida e o que ela deveria ter feito para evitar isso. Fique tranquilo sabendo que você, consumidor, está mais seguro por causa dessas regras.