La Ley Gramm-Leach-Bliley(GLBA) es una ley federal estadounidense que modernizó los requisitos de cumplimiento de los servicios financieros.
Esboza las obligaciones y prácticas de intercambio de información relativa a los datos personales de los clientes de productos financieros, como préstamos de servicios, seguros y asesores financieros.
En este artículo, explico los requisitos de la GLBA, cómo afecta a empresas y consumidores, y las sanciones por infringir esta ley.
- ¿Qué es la Ley Gramm-Leach-Bliley (GLBA)?
- Términos clave y definiciones de la GLBA
- ¿Qué cubre la Ley Gramm-Leach-Bliley?
- Requisitos de la Ley Gramm-Leach-Bliley
- ¿Cómo afecta la GLBA a los consumidores?
- ¿Cómo afecta la GLBA a las empresas?
- ¿Quién debe cumplir la GLBA?
- ¿Quién está exento de la GLBA?
- ¿Cómo pueden prepararse las empresas para la GLBA?
- ¿Cómo se aplica la GLBA?
- Multas y sanciones en virtud de la Ley Gramm-Leach-Bliley
- Otras leyes relacionadas con la privacidad en EE.UU.
- ¿Cómo ayuda Termly a cumplir la GLBA?
¿Qué es la Ley Gramm-Leach-Bliley (GLBA)?
La Ley Gramm-Leach-Bliley, o GLBA, es una ley federal estadounidense que regula el modo en que los servicios financieros recopilan, procesan y salvaguardan la información personal de sus clientes.
La GLBA se aplica a los siguientes tipos de entidades:
- Asesores financieros
- Compañías de seguros
- Empresas de asesoramiento en materia de inversión
- Préstamos de servicios
- Otros productos financieros
A través del Título V, Subtítulo A de la Ley, las organizaciones deben notificar a los clientes sus prácticas de tratamiento de datos mediante una política de privacidad.
También deben proporcionar un mecanismo para que los consumidores puedan optar por no compartir o revelar su información personal a terceros en determinadas situaciones.
¿Cuándo entró en vigor la GLBA?
La Ley Gramm-Leach-Bliley está en vigor desde 1999.
Pero en diciembre de 2011, la Oficina de Protección Financiera del Consumidor(CFPB) emitió el Reglamento P(12 CFR Parte 1016), que vuelve a codificar algunos reglamentos anteriores emitidos por otros organismos.
El Reglamento P esboza los requisitos relacionados con la protección de la intimidad de los consumidores con arreglo a la GLBA, y su ámbito de aplicación incluye a la mayoría de las empresas dedicadas a actividades financieras, denominadas instituciones financieras.
También se aplica a las empresas no dedicadas a actividades financieras pero que reciben información personal de instituciones financieras.
Términos clave y definiciones de la GLBA
Para ayudarle a cumplir la GLBA, he incluido algunos de los términos clave y sus definiciones tal y como aparecen en la ley:
¿Qué cubre la Ley Gramm-Leach-Bliley?
La GLBA se aplica a las empresas que se dedican de forma significativa a actividades financieras, tal como se definen en el artículo 4(k) de la Bank Holding Company Act de 1956, a las que la ley denomina instituciones financieras.
Entre las actividades de carácter financiero se incluyen, por lo general, las siguientes, aunque sin limitarse a ellas:
- Prestar, cambiar, transferir, invertir para otros o salvaguardar dinero o valores. Estas actividades abarcan los servicios ofrecidos por prestamistas, cambiadores de cheques, servicios de transferencias bancarias y vendedores de giros postales.
- Prestación de servicios de asesoramiento financiero, de inversión o económico. Estas actividades abarcan los servicios ofrecidos por asesores de crédito, planificadores financieros, preparadores de impuestos, contables y asesores de inversión.
- Intermediación en préstamos
- Suscripción, negociación o comercialización de valores
- Servicio de préstamos
- Cobro de deudas
- Prestación de servicios de liquidación de bienes inmuebles
- Asesoramiento profesional (de personas que buscan empleo en el sector de los servicios financieros)
Cabe señalar que el Reglamento P, la normativa emitida por la CFPB, también incluye en el ámbito de aplicación de esta definición:
Terceros que no son instituciones financieras pero que reciben información personal no pública de instituciones financieras con las que no están afiliados.
Si su empresa se dedica a este tipo de actividades, debe contar con una política de privacidad que cumpla los requisitos que se describen a continuación.
Requisitos de la Ley Gramm-Leach-Bliley
La GLBA establece varios requisitos que deben cumplir los servicios financieros, que trataré en detalle en la siguiente sección.
Normas de confidencialidad
La GLBA establece una norma de notificación de privacidad que deben cumplir todas las instituciones financieras cubiertas.
Debe informar a los consumidores sobre:
- Qué datos se recogen de ellos
- Cómo se comparte
- Cómo se protege
Además, los clientes tienen derecho a optar por que no se compartan algunos de sus datos con determinados terceros no afiliados y se les debe volver a presentar el aviso en cuanto cambie.
Más adelante en esta guía incluyo detalles más específicos sobre estos requisitos y lo que entra explícitamente en ellos.
Protección de datos
Los servicios financieros sujetos a la GLBA deben disponer de un plan de seguridad escrito con el objetivo de proteger la información personal de los clientes.
El plan debe ser adecuado y tener en cuenta lo siguiente:
- El tamaño de la empresa
- Alcance y naturaleza de sus actividades
- La sensibilidad de la información recogida
Las entidades deben realizar pruebas periódicas y evaluaciones de riesgos para supervisar la integridad de los controles de seguridad y garantizar la seguridad permanente de los datos de los clientes.
Protección de los pretextos
Además de disponer de un plan de seguridad, la GLBA también exigía a las entidades que tomaran medidas de protección contra el acceso o la divulgación no autorizados de datos, lo que se denomina "pretexting".
La naturaleza y el nivel de protección requeridos varían en función del tamaño y la complejidad del servicio financiero.
Modelos de formularios de confidencialidad
En 2006, la Ley de Alivio Regulatorio de los Servicios Financieros (Financial Services Regulatory Relief Act) modificó la GLBA para permitir a las empresas basarse en los Formularios Modelo de Privacidad para satisfacer los requisitos de notificación y exclusión voluntaria de la GLBA.
Aunque el uso de formularios de privacidad modelo no es un requisito, la exhibición de los formularios en el sitio web de una empresa constituye el cumplimiento de las disposiciones de notificación y exclusión voluntaria de la Ley.
Hay dos tipos de formularios disponibles, y voy a explicar brevemente ambos:
- Notificación con método de exclusión voluntaria
- Notificación sin método de exclusión voluntaria
Notificación con método de exclusión voluntaria
En virtud de la GLBA, un aviso con un formulario de exclusión voluntaria proporciona al cliente información sobre la forma en que la entidad financiera procesa su información no pública.
El formulario cumple los requisitos de notificación de confidencialidad del artículo 1016.6 del Reglamento P y los requisitos de notificación de exclusión voluntaria del artículo 1016.7.
Vea un ejemplo de este formulario en la siguiente captura de pantalla de la CFPB - Apéndices del Reglamento P.
Los formularios de exclusión permiten al cliente optar por no divulgar sus datos por teléfono o en línea.
Una entidad que permita a los consumidores optar por la exclusión voluntaria en línea debe proporcionar una página específica de exclusión voluntaria en su sitio web, y las opciones de exclusión voluntaria deben coincidir con las respuestas "Sí" en la columna "¿Puede limitar esta divulgación?" de la tabla de divulgación.
Tenga en cuenta que existe otra versión de este formulario, conocida como Mail-In Opt-Out.
Notificación sin método de exclusión voluntaria
De forma similar a los formularios de exclusión voluntaria, también puede utilizar un aviso sin método de exclusión voluntaria para satisfacer los requisitos de aviso de privacidad del Reglamento P §1016.6.
Vea a continuación una captura de pantalla de este formulario de la CFPB - Apéndices del Reglamento P.
Las excepciones a los requisitos de exclusión voluntaria se describen en §1016.13 a §1016.15 del Reglamento P, donde una organización no estaría obligada a proporcionar notificación y método de exclusión voluntaria.
Lo explico con detalle más adelante en esta guía, pero estas excepciones son:
- Cuando se revele el NPI a un tercero no afiliado para que preste servicios a la entidad financiera o en su nombre, incluida la comercialización conjunta.
- Al procesar y dar servicio a las transacciones, es decir, procesar transacciones a petición del consumidor y cuando sea necesario para efectuar, administrar o hacer cumplir una transacción.
- Al divulgar el NPI para divulgaciones específicas que las instituciones financieras realizan normalmente, como la prevención de fraudes reales o potenciales o el cumplimiento de obligaciones reglamentarias.
¿Cómo afecta la GLBA a los consumidores?
La Ley Gramm-Leach-Bliley afecta a los consumidores al proporcionarles más seguridad, control y confidencialidad sobre sus datos financieros personales.
Los consumidores tienen derecho a saber qué datos se recogen sobre ellos, cuándo se comparten sus datos con otras entidades y a optar por que no se compartan en determinadas situaciones.
Además, como obliga a los servicios financieros a salvaguardar la información, los consumidores pueden confiar en que las entidades financieras asegurarán y protegerán adecuadamente sus datos.
¿A quién se aplica la GLBA?
La GLBA se aplica a todas las instituciones financieras, entidades relacionadas y personas que trabajan en el sector en Estados Unidos.
Protege la información personal de los clientes de esas entidades.
Las empresas situadas fuera de EE.UU. que ofrecen servicios financieros a consumidores dentro del país también están obligadas a cumplir la ley.
¿Cómo afecta la GLBA a las empresas?
Además de los requisitos de seguridad y protección de datos, la GLBA afecta en gran medida a las políticas de privacidad de las empresas.
¿Cómo afecta la GLBA a mi política de privacidad?
Las instituciones financieras deben cumplir los requisitos específicos de notificación establecidos por la Sección 502 de la Ley, que afecta a partes de su política de privacidad.
Según lo dispuesto en el Reglamento P, un aviso de privacidad debe incluir los siguientes detalles:
¿Quién debe cumplir la GLBA?
Cualquier institución financiera de Estados Unidos debe cumplir la Ley Gramm-Leach-Bliley, entre otras cosas:
- Asesoramiento financiero o de inversión
- Seguros
- Productos financieros
- Préstamos de servicios
- Operadores de cajeros automáticos
- Cobradores de deudas
- Empresas de alquiler de coches
Las organizaciones de fuera de EE.UU. que ofrecen servicios financieros a particulares en el país también están sujetas a la ley.
¿Quién está exento de la GLBA?
Las transacciones entre empresas realizadas por entidades que no se consideran servicios financieros suelen quedar fuera del ámbito de aplicación de la GLBA.
Además, existen algunas excepciones a los requisitos de notificación de privacidad mencionados anteriormente en este artículo, que trataré en detalle en las siguientes secciones.
Excepción al requisito de notificación inicial de confidencialidad
La GLBA establece algunas excepciones a la obligación de notificación inicial de confidencialidad.
Está exento si no revela ninguna información personal no pública sobre el consumidor a ningún tercero no afiliado.
Alternativamente, como autorizan los §1016.14 y §1016.15, está exento si divulga los datos pero bajo las excepciones de que es para procesar transacciones:
- A petición del consumidor
- Necesaria para efectuar, administrar o hacer cumplir una transacción
- Para recibir un servicio de un tercero no afiliado, incluida la comercialización conjunta
También está exento si no tiene una relación de cliente con el consumidor.
Excepciones para permitir el retraso en la entrega de la notificación
Algunas excepciones a la GLBA le permiten retrasar la entrega del aviso de privacidad a sus clientes.
Por ejemplo, puede proporcionar el aviso inicial de privacidad en un plazo razonable después de establecer una relación con el cliente si el establecimiento de la relación con el cliente no es a elección del cliente.
O bien, puede proporcionar un aviso cuando establezca una relación con el cliente que retrasaría sustancialmente la transacción del cliente, y el cliente acepta recibir el aviso en un momento posterior.
Excepción al requisito de notificación anual de confidencialidad
Por último, en virtud de la GLBA, no está obligado a entregar un aviso anual de privacidad por dos razones principales.
En primer lugar, usted proporciona información personal no pública a terceros no afiliados siguiendo lo dispuesto en §1016.13, §1016.14 o §1016.15.
Como recordatorio, estas disposiciones se refieren a las transiciones de tramitación:
- A petición del consumidor
- Necesaria para efectuar, administrar o hacer cumplir una transacción
- Para recibir un servicio de un tercero no afiliado, incluida la comercialización conjunta
En segundo lugar, no es necesario que envíe un aviso anual si no ha modificado sus políticas y prácticas sobre divulgación de información personal no pública con respecto a las divulgadas anteriormente al cliente en virtud del aviso de privacidad más reciente.
¿Cómo pueden prepararse las empresas para la GLBA?
Para preparar a su empresa para el cumplimiento de la GLBA, tome las siguientes medidas:
- Primer paso: Revise la ley para comprender cómo afecta su ámbito de aplicación a su servicio financiero.
- Segundo paso: Compruebe qué organismo regulador aplica las disposiciones de la GLBA a su empresa.
- Tercer paso: Actualice su política de privacidad para cumplir todos los requisitos de notificación.
- Cuarto paso: Proporcionar un método para que los clientes puedan optar por no participar en determinados tratamientos de datos.
- Quinto paso: Aplique métodos de seguridad para proteger la información personal que recopile.
¿Cómo se aplica la GLBA?
La Sección 504 del Título V otorgaba autoridad normativa a varias agencias federales de regulación financiera para hacer cumplir la GLBA.
Cada organismo regulador emite su propia normativa para hacer cumplir las disposiciones de la GLBA, entre las que se incluyen las:
- Junta de Gobernadores del Sistema de la Reserva Federal (FRS)
- Administración Nacional de Cooperativas de Crédito (NCUA)
- Oficina del Interventor de la Moneda (OCC)
- Oficina de Supervisión Bancaria (OTS)
- Corporación Federal de Seguros de Depósitos (FDIC)
- Comisión Federal de Comercio (FTC)
Pero en 2011, la Ley Dodd-Frank transfirió a la CFPB la potestad normativa sobre las disposiciones relativas a la privacidad (Título V de la GLBA) para armonizar este complejo sistema.
Quedan algunas excepciones, como la FTC, que mantiene su autoridad sobre determinados concesionarios de vehículos de motor.
Dado que varios organismos reguladores emiten normas sobre distintos grupos de instituciones financieras, es fundamental confirmar con qué regulador debe cumplir antes de consultar las normas pertinentes.
A continuación figura una lista completa del ámbito de aplicación de cada regulador y de las normas emitidas para aplicar los requisitos de notificación y exclusión voluntaria de la GLBA.
| Regulador | Cita del código | Ámbito de aplicación |
| Reserva Federal | 12 C.F.R. §216.1 | Bancos estatales miembros, holdings bancarios y algunas de sus filiales o subsidiarias no bancarias, sucursales y agencias estatales no aseguradas de bancos extranjeros, compañías de préstamos comerciales propiedad de bancos extranjeros o controladas por ellos, y corporaciones Edge y Agreement. |
| Corporación Federal de Seguros de Depósitos (FDIC) | 12 C.F.R. §332 | Bancos asegurados por la FDIC (que no sean miembros del Sistema de la Reserva Federal), sucursales estatales aseguradas de bancos extranjeros y determinadas filiales de dichas entidades. |
| Oficina de Supervisión Bancaria (OTS) | 12 C.F.R. §573 | Asociaciones de ahorro cuyos depósitos están asegurados por la Federal Deposit Insurance Corporation y cualquier filial de dichas asociaciones de ahorro, pero no las filiales que sean corredores, agentes, personas que proporcionan seguros, empresas de inversión o asesores de inversión. |
| Oficina del Interventor de la Moneda (OCC) | 12 C.F.R. §40 | Bancos nacionales, sucursales federales y agencias federales de bancos extranjeros, y cualquier filial de dichas entidades, excepto un corredor o agente de bolsa que esté registrado en virtud de la Ley del Mercado de Valores de 1934 (Securities Exchange Act of 1934), un asesor de inversiones registrado, una sociedad de inversiones registrada en virtud de la Ley de Sociedades de Inversiones de 1940 (Investment Company Act of 1940), una compañía de seguros que esté sujeta a la supervisión de un regulador de seguros estatal y una entidad sujeta a la regulación de la Comisión de Negociación de Futuros de Materias Primas (Commodity Futures Trading Commission). |
| Comisión Federal de Comercio (FTC) | 16 C.F.R. §313 | Cualquier persona descrita en 12 U.S.C. 5519 que se dedique predominantemente a la venta y mantenimiento de vehículos de motor, al arrendamiento y mantenimiento de vehículos de motor, o a ambos. |
| Comisión del Mercado de Valores (SEC) | 17 C.F.R. §248 | Corredores, agentes de bolsa y sociedades de inversión, así como asesores de inversión registrados en la Comisión. También se aplica a los corredores, agentes, sociedades de inversión y asesores de inversión extranjeros registrados en la Comisión. |
| Comisión de Comercio de Futuros de Materias Primas (CFTC) | 17 C.F.R. §160 | Todos los comisionistas de futuros, operadores minoristas de divisas, asesores de negociación de materias primas, operadores de pools de materias primas, corredores de introducción, principales participantes en swaps y operadores de swaps sujetos a la jurisdicción de la Comisión, independientemente de si están obligados a registrarse en la Comisión. |
| Oficina de Protección Financiera del Consumidor (CFPB) |
12 C.F.R. §1016
(Reglamento P) |
Cualquier institución financiera y otra persona cubierta o proveedor de servicios sujeto al Subtítulo A del Título V de la GLBA, incluidos terceros que no sean instituciones financieras pero que reciban información personal no pública de instituciones financieras con las que no estén afiliados. Esta parte no se aplica a determinados concesionarios de vehículos de motor descritos en 12 U.S.C. 5519 ni a las entidades para las que la Securities and Exchange Commission o la Commodity Futures Trading Commission tiene autoridad normativa de conformidad con las secciones 504(a)(1)(A)-(B) de la Ley GLB (15 U.S.C. 6804(a)(1)(A)-(B[/small]. |
Multas y sanciones en virtud de la Ley Gramm-Leach-Bliley
Las multas en virtud de la GLBA son significativas y pueden afectar a individuos u organizaciones enteras.
Las organizaciones que infrinjan la ley pueden ser multadas con hasta 100.000 dólares por infracción, mientras que los funcionarios o directores pueden recibir multas de hasta 10.000 dólares por infracción.
Otras leyes relacionadas con la privacidad en EE.UU.
Aunque Estados Unidos no cuenta actualmente con una ley federal de privacidad, existen las siguientes legislaciones a nivel estatal y están en vigor:
- Ley de Privacidad del Consumidor de California(CCPA)
- Ley de Privacidad de Colorado(CPA)
- Ley de Privacidad de Datos de Connecticut(CTDPA)
- Ley de Delaware sobre Protección de Datos Personales(DPDPA)
- Carta Digital de Derechos de Florida(FDBR)
- Ley de Protección de Datos de los Consumidores de Iowa(Iowa CDPA)
- Ley de Protección de Datos de los Consumidores de Montana(MCDPA)
- Ley de Privacidad del Consumidor de Oregón(OCPA)
- Ley de Protección de la Información de Tennessee(TIPA)
- Ley de Privacidad y Seguridad de Datos de Texas(TDPSA)
- Ley de Privacidad del Consumidor de Utah(UCPA)
- Ley de Protección de Datos de los Consumidores de Virginia(VCDPA)
Para más información sobre leyes y proyectos de ley de privacidad en Estados Unidos, consulte nuestro rastreador de leyes de privacidad estatales.
La GLBA y las leyes de protección de datos de los Estados Unidos
Como ley federal, la GLBA puede entrar en conflicto con otras leyes estatales de Estados Unidos que pretendan regular las mismas organizaciones o la misma información personal.
La sección 507 de la GLBA aborda específicamente este caso y establece que la GLBA se opondría a estas leyes estatales si estas leyes son incompatibles con los requisitos de la GLBA.
Una ley estatal no se considera incoherente si proporciona a una persona una protección "mayor que la protección proporcionada" por la Ley.
Por ejemplo, la GLBA no prevalece sobre la CCPA, ya que impone a las empresas requisitos adicionales en materia de privacidad superiores a la protección que ofrece la Ley.
Del mismo modo, la GLBA permite a los Estados eximir a las entidades reguladas por la GLBA del cumplimiento de la legislación estatal en materia de privacidad.
Por ejemplo, las leyes de protección de la intimidad aprobadas en Virginia, Colorado, Utah y Connecticut eximen expresamente a las entidades reguladas por la GLBA de su cumplimiento.
¿Cómo ayuda Termly a cumplir la GLBA?
Las actualizaciones llevan su tiempo, pero Termly está trabajando para actualizar nuestro sitio Generador de Política de Privacidad y permitir a los usuarios cumplir los requisitos de notificación de privacidad establecidos por la GLBA.
Una vez en marcha, le hará preguntas sencillas sobre su empresa y sus actividades de tratamiento de datos, y luego elaborará una política única basada en sus respuestas.
A continuación, podrá vincularlo directamente a su sitio web o aplicación móvil y actualizarlo según sea necesario en su panel de control de Termly .
Vuelve pronto para saber cuándo estará disponible esta actualización de Generador de política de privacidad .
Si su empresa entra en el ámbito de aplicación de la Ley Gramm-Leach-Bliley, es esencial que presente a sus clientes una política de privacidad conforme y controles apropiados sobre la opción de no compartir sus datos personales.
También debe desarrollar y aplicar un plan por escrito para mantener los datos que recopila a salvo de accesos no autorizados o violaciones de datos.
