Directrices para gestionar las violaciones de datos en AZ

December 07, 2024 | 5 minutes read
Directrices para gestionar las violaciones de datos en AZ

AZ Rev Stat § 18-545 es una ley de violación de datos que se aprobó en el estado estadounidense de Arizona en 2016. En lugar de una ley integral de privacidad de datos a nivel estatal o federal, AZ Rev Stat § 18-545 representa el principal medio legal por el cual los residentes de Arizona pueden protegerse en caso de que su información personal sea divulgada durante una violación de datos. Como tal, la ley establece los requisitos que las organizaciones y entidades comerciales que operan dentro del estado deben seguir en caso de que la información personal que han obtenido de los residentes de Arizona sea objeto de una violación de datos. Además, la ley también establece las sanciones a las que se exponen estas partes en caso de incumplimiento de las distintas disposiciones establecidas en la ley.

¿Cómo se define una violación de datos?

Con arreglo al artículo 18-545 de la Ley Rev. de Arizona, una violación de datos se define como “la adquisición y el acceso no autorizados a datos informáticos no cifrados o no censurados que comprometen materialmente la seguridad o confidencialidad de la información personal mantenida por una persona como parte de una base de datos de información personal relativa a múltiples individuos y que causa o es razonablemente probable que cause una pérdida económica sustancial a un individuo”. La adquisición de buena fe de información personal por parte de un empleado o agente de la persona para los fines de ésta no constituye una violación del sistema de seguridad si la información personal no se utiliza para un fin no relacionado con la persona ni es objeto de una divulgación posterior voluntaria no autorizada”.

Por otra parte, la información personal que ha sido redactada, cifrada o protegida por otros medios y que posteriormente ha sido revelada en una violación de datos o incidente relacionado no está cubierta por las disposiciones del AZ Rev Stat § 18-545. Por el contrario, las violaciones de la atención médica, aunque originalmente no estaban cubiertas por AZ Rev Stat § 18-545, ahora están cubiertas por la ley a partir de 2018, “con un plazo de notificación de 45 días para notificar a las personas.” Además, la información cubierta bajo AZ Rev Stat § 18-545 se limita a la información electrónica, ya que la información que está en forma escrita no está protegida bajo las disposiciones de la ley. Con este fin, la ley cubre las siguientes categorías de información personal:

¿Cuáles son los requisitos de las empresas y organizaciones?

En caso de que una empresa u organización de Arizona se vea implicada en una violación de datos o en un incidente de seguridad relacionado, dichas entidades son responsables de proporcionar a todos los consumidores afectados del estado una notificación por escrito en la que se describan los diversos detalles relativos a la violación o al incidente. Estas notificaciones deben proporcionar a los consumidores información que detalle las categorías de información personal que se divulgaron, así como las medidas que se aplicaron para evitar dicho incidente y las posibles soluciones, entre otros detalles pertinentes. Por el contrario, “si la entidad demuestra que el coste de la notificación mediante estos métodos superaría los 50.000 dólares o se debe notificar a más de 100.000 personas, se podrá recurrir a una notificación sustitutiva que incluya la publicación visible del aviso en el sitio web de la entidad o la notificación a los principales medios de comunicación de ámbito estatal.”

¿Cuáles son las sanciones?

En lo que respecta a la aplicación de la ley AZ Rev Stat § 18-545, es el Fiscal General de Arizona quien se encarga de hacerla cumplir. En este sentido, las empresas y organizaciones que incumplan las disposiciones establecidas por la ley están sujetas a una serie de penas y sanciones. Dichos castigos incluyen “sanciones civiles de hasta 10.000 dólares por infracción (o una serie de infracciones de naturaleza similar descubiertas en una única investigación)”. Es más, tanto los organismos gubernamentales como los no gubernamentales están sujetos a sanciones civiles en caso de que dichas entidades infrinjan las disposiciones de la ley. Para ilustrar el alcance potencial y la gravedad de tales castigos, el proveedor de servicios sanitarios Banner Health, con sede en Phoenix, fue condenado a pagar “8,9 millones en diciembre de 2019 para cubrir los gastos incurridos por una violación de 2016 que afectó a 3,7 millones de víctimas, así como para financiar mejoras en su postura de seguridad, según muestran los documentos judiciales.”

A través de las disposiciones de AZ Rev Stat § 18-545, los ciudadanos del estado de Arizona tienen los medios para solicitar una indemnización en caso de que ciertas categorías de información personal que les conciernen sean reveladas o se acceda indebidamente a ellas durante una violación de datos. Como demuestra el caso de Banner Health, las sanciones por infringir la ley pueden ser muy elevadas. Aunque la H.B. 2154, una propuesta de ley que habría impuesto requisitos más estrictos a las empresas y organizaciones de Arizona en relación con las notificaciones de violación de datos, finalmente no fue aprobada por la Legislatura del Estado de Arizona a finales de 2021, AZ Rev Stat § 18-545 proporciona a los ciudadanos del estado de Arizona un cierto nivel de protección en lo que respecta a los incidentes de violación de datos.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »