La loi comporte trois sections principales, composées de deux règles et d’un ensemble de dispositions.
Pour être en conformité avec la loi GLBA, les institutions financières doivent:
- communiquer aux clients la manière dont elles partagent les données sensibles
- informer les clients de leur droit de refus s’ils préfèrent que leurs données personnelles ne soient pas partagées avec des tiers
- fournir aux auditeurs la preuve qu’elles ont pris des mesures pour protéger les données privées des clients conformément à leur politique écrite de sécurité de l’information.
Les principales implications de la loi GLBA en matière de protection des données sont décrites dans la règle de sauvegarde (Safeguards Rule), avec des exigences supplémentaires en matière de confidentialité et de sécurité publiées par la règle de confidentialité financière de la FTC.
La Safeguards Rule exige que les entreprises mettent en place des contrôles pour protéger, stocker et éliminer les informations relatives aux clients. Elle exige des entreprises qu’elles identifient les risques liés aux informations privées des consommateurs dans chaque domaine d’activité pertinent de l’entreprise, qu’elles évaluent l’efficacité des mesures de protection actuelles pour contrôler ces risques et qu’elles fournissent aux auditeurs la preuve que les mesures suivantes ont été prises.