Na indústria da cannabis, lucratividade e segurança de dados andam de mãos dadas
- Criado em 02/07/2020 Por LinkLei
As questões que envolvem a cannabis legalizada e a segurança de dados criam uma batalha de múltiplas frentes que pode ser incrivelmente desafiadora do ponto de vista jurídico e tecnológico.
Não operando mais nas margens, a indústria da cannabis legalizada, altamente lucrativa e altamente regulamentada, habilmente, bem como agilmente, impulsionou suas vendas para os #790832a63f31" target="_blank">principais negócios . Segundo alguns pesquisadores da indústria, as vendas legais totais de cannabis nos EUA devem crescer a uma taxa anual composta de dois dígitos de 14% e prevêem que as receitas atinjam cerca de #27b97c981121" target="_blank">US $ 30 bilhões em 2025. Mas as perspectivas não podem ser todas as rosas. O negócio da cannabis legalizada tem desafios de segurança cibernética e privacidade de dadosao contrário dos que enfrentam outras indústrias. A maconha legalizada mantém lojas de dados e informações personalizadas, que por sua própria natureza exigem conformidade regulatória com as leis de segurança cibernética e privacidade de dados. Existe, no entanto, uma camada de complexidade para a indústria da cannabis devido aos requisitos de coleta de dados e retenção obrigatória.
Vamos pegar a Califórnia, por exemplo. O sistema de rastreamento e rastreamento de cannabis da Califórnia (CCTT) é usado para registrar o inventário e o movimento de cannabis e produtos de cannabis através da cadeia comercial de suprimentos de cannabis. A Califórnia exige que todos os licenciados anuais e provisórios de cannabis, incluindo aqueles com licenças para cultivo, manufatura, varejo, distribuição, laboratórios de testes e microempresas, rastreiem a cannabis através da cadeia de suprimentos usando o METRC (Marijuana Enforcement Tracking Reporting Compliance). De fato, a Califórnia exige que cada licenciado mantenha registrosrelacionados à atividade comercial de maconha por um período mínimo de sete anos. O licenciamento de maconha da Califórnia exige que os licenciados que usam o METRC rastreiem e mantenham uma enorme quantidade de dados valiosos. Que tipo de dados valiosos você pode perguntar? O tipo de hacker de dados está procurando especialmente, como combinações de dados pessoais e / ou de saúde, como nomes, números de previdência social, endereços, cópias de carteiras de motorista e cartões de identificação, e assim por diante.
Na área da maconha medicinal, as recomendações médicas estão incluídas como parte dos dados coletados. Essas recomendações médicas podem incluir um diagnóstico médico ou informações de saúde relacionadas que constituiriam informações de saúde protegidas (PHI). Dependendo da natureza do negócio, os do setor de cannabis podem ser afetados pela Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), particularmente nos casos em que é solicitado que a empresa assine Acordos de Associados Comerciais (BAAs) pelas Entidades Cobertas do HIPAA, ou seja, , um profissional de saúde deseja compartilhar dados médicos com um profissional de maconha medicinal. O profissional de saúde, como entidade coberta, pode exigir que o profissional de maconha medicinal assine um BAA.
Colocando de lado o problema da HIPAA, as PHI coletadas são um alvo altamente atraente para os hackers. É um fato bem conhecido que o setor de assistência médica sempre encabeça a lista dos setores com maior probabilidade de sofrer uma violação de dados. O Gabinete do Comissário da Informação do Reino Unido (OIC) informou que 18% de todas as violações foram relatadas nesse setor, em comparação com 16% no governo central e local, 12% na educação, 11% na justiça e jurídico e 9% nos serviços financeiros. No entanto, a PHI não é a única atração para hackers no setor de cannabis.
Além da PHI, também é necessário manter os registros dos funcionários de cannabis. Dependendo da jurisdição, esses dados de funcionários podem incluir verificações de antecedentes e informações financeiras, além de dados padrão que contêm o nome e o número de segurança social de um funcionário. Além disso, assim como em outros setores correspondentes, as empresas relacionadas à maconha estão previsivelmente capturando e usando outras fontes de dados de informações para impulsionar as vendas e o marketing. Essas fontes de dados podem especificar coisas como produtividade, operações diárias e hábitos de compra do consumidor.
Esse tipo de coleta de dados certamente não é um conceito estranho para a maioria das operações comerciais, incluindo os problemas obrigatórios relacionados à conformidade. No entanto, os dados armazenados por empresas do setor de cannabis têm uma sensibilidade adicional pelo simples fato de estarem associados a clientes individuais que exigem sigilo e anonimato. Literalmente, para a indústria da cannabis, onde há fumaça, há fogo. Ao abrigar grandes lojas de dados confidenciais, que não podem ser simplesmente minimizados, as empresas legalizadas de cannabis se tornaram cada vez mais atraentes para os hackers.
Assim, as empresas legalizadas de cannabis devem estar sempre atentas a um desafio duplo, particularmente aplicável à sua indústria, que pode impactar significativamente sua lucratividade: (1) avaliar seus riscos de segurança de dados, devido ao escrutínio regulatório que enfrentam de várias agências estaduais e locais e (2) tendo fortes medidas de segurança de dados voltadas para o exterior para manter e preservar a confiança do consumidor. Adicione a isso a teia de aranha dos regulamentos estaduais de privacidade de dados e você terá a tempestade perfeita de interesse de alto nível de hackers e órgãos reguladores.
No início deste ano, um sistema de ponto de venda de apoio de banco de dados usado em dispensários de maconha medicinal e recreativa foi comprometido. A brecha impactou potencialmente quase 30.000 indivíduos conectados à indústria da maconha medicinal e recreativa. Um bucket do Amazon S3 não protegido foi descoberto on-line sem nenhuma autenticação ou segurança e está sendo atribuído como a fonte do vazamento. E este é apenas o incidente relatado mais recente. No final de 2016, o Programa de maconha medicinal de Nevadabanco de dados foi violado. Essa violação expôs os dados confidenciais de mais de 11.000 pessoas, incluindo nomes, números de previdência social, raça e endereços. Então, em janeiro de 2017, as operações comerciais de mais de 1.000 dispensários de clientes em 23 estados em todo o país foram interrompidas quando a MJ Freeway, uma empresa de software que atende à indústria de cannabis, sofreu um hack. Apenas cinco meses após o incidente relatado, uma parte do código-fonte da empresa foi roubada e publicada publicamente no Reddit. Embora lidar com violações de dados pareça comum hoje em dia, é o custo dessas violações de dados que causa grande preocupação. Uma preocupação que afeta particularmente a indústria da cannabis.
De acordo com o Custo anual de um relatório de violação de dados realizado pelo Ponemon Institute e IBM, o custo total médio global global de uma violação de dados em 2019 foi de quase US $ 4 milhões. Embora os números difíceis possam ser surpreendentes, para a indústria legalizada de cannabis essas perdas são apenas a ponta do iceberg proverbial. Um dos problemas reais que a indústria da cannabis enfrenta é a perda de confiança do cliente, o que pode ter sérias conseqüências financeiras. No mesmo relatório anual do Ponemon Institute e IBM, o custo médio dos negócios perdidos para as organizações estudadas em 2019 relacionadas a uma violação de dados foi de US $ 1,42 milhão. Este número representa 36% do custo médio total de quase US $ 4 milhõese foi o maior contribuidor para os custos de violação de dados. Em conjunto com essas perdas financeiras, multas regulatórias e supervisão incapacitante podem durar até 20 anos, por exemplo, o Acordo de 20 Anos das Comissões Federais de Comércio com o Facebook . Com o ciclo de vida das violações de dados cada vez mais longo e mais caro, o setor legalizado de cannabis não pode se dar ao luxo de colocar a segurança dos dados em segundo plano. Além disso, de acordo com as leis da Califórnia, qualquer empresa que mantém dados eletronicamente deve implementar certas salvaguardas para garantir a segurança das informações particulares de um indivíduo. Cal. Civ. Código §§1798.29, 56.101. Em suma, o setor não pode simplesmente ser reativo ao problema, mas deve ser proativo se quiser maximizar lucros e minimizar responsabilidades e riscos.
No total, as questões relacionadas à cannabis legalizada e à segurança de dados criam uma batalha de múltiplas frentes que pode ser incrivelmente desafiadora do ponto de vista jurídico e tecnológico. O fato de a indústria da cannabis ter problemas entrelaçados de dados altamente sensíveis, supervisão regulatória e requisitos obrigatórios de coleta de dados cria um desafio muito distinto para a lucratividade dessas empresas. Mas muitos desses desafios podem ser enfrentados usando algumas das mesmas práticas e soluções. Preservar as margens de lucro e explorar a inovação são fundamentais para se manter solvente em um setor impulsionado pela entrega de resultados.
Em conclusão, os riscos associados a práticas fracas, ou mesmo subdesenvolvidas, de segurança e privacidade de dados, juntamente com a falta de aconselhamento jurídico com experiência nessas questões para elaborar contratos de fornecedores apropriados, verificar fornecedores de terceiros e examinar a cobertura do seguro não apenas impedem o crescimento e as margens de lucro, mas provavelmente o impedem. A proteção proativa de seus sistemas é um primeiro passo eficaz e necessário para obter a vantagem financeira necessária neste setor em rápida expansão e no mercado global competitivo. As empresas de cannabis legalizadas que continuam a ter um programa de segurança da informação por escrito (WISP) bem executado e abrangente que foi operacionalizado certamente lhes darão a vantagem de liderar a “corrida verde”.
Rebecca L. Rakoski é co-fundadora e parceira administrativa do XPAN Law Group ( www.xpanlawgroup.com ), um escritório de advocacia exclusivo para mulheres de propriedade exclusiva . Ela concentra sua prática exclusivamente em segurança cibernética e privacidade de dados.