Legislación rigurosa de violaciones de seguridad en Ohio

Ohio Rev. Code §§ 1349.19 – 192 es una ley de notificación de violación de datos que se aprobó en el estado estadounidense de Ohio en 2006 y entró en vigor al año siguiente. Ohio Rev. Code §§ 1349.19 – 192 se aprobó con el fin de regular los incidentes de violación de datos que se producen en el estado de Ohio, y establece varios requisitos que las agencias, empresas y organizaciones que operan dentro del estado están obligadas a seguir en caso de que se produzca una violación de seguridad. En este sentido, la ley también faculta al Fiscal General de Ohio para imponer multas y sanciones a las entidades de Ohio que infrinjan la ley.

¿Cuál es el alcance y la aplicación de los artículos 1349.19 a 192 del Ohio Rev. Code?

En lo que respecta al alcance y la aplicabilidad de los artículos 1349.19 a 192 del Ohio Rev. Code, las disposiciones establecidas en la ley se aplican a “cualquier persona física, empresa, fideicomiso comercial, patrimonio, fideicomiso, sociedad o asociación (colectivamente, Entidad) que lleve a cabo actividades comerciales en OH y posea o tenga bajo licencia datos informatizados que incluyan IP”. En el otro extremo del espectro, “las disposiciones que rigen el mantenimiento de PI que la Entidad no posee parecen aplicables a cualquier Entidad que mantenga PI, independientemente de si la Entidad lleva a cabo negocios en OH o no, y las adquisiciones de buena fe de información personal o la adquisición de información personal para fines judiciales, tales como citaciones, órdenes de registro u otras órdenes judiciales no se consideran violaciones de datos.”

¿Cuáles son los requisitos de notificación de violación de datos en virtud de Ohio Rev. Code §§ 1349.19 – 192?

En virtud de los artículos 1349.19 a 192 del Ohio Rev. Code, una entidad que sufra una violación de datos en el Estado está obligada a notificarlo a todas las personas y partes afectadas en un plazo de 45 días a partir del descubrimiento del hecho. Además, las entidades afectadas también son responsables de notificar a las tres principales agencias de información crediticia de EE.UU. en caso de que una violación de seguridad afecte a más de 1.000 residentes en el estado de Ohio. Además, los terceros que manejen información personal en nombre de entidades comerciales y organizaciones dentro del estado también están sujetos a las mismas disposiciones establecidas en la ley en lo que respecta a la notificación de violaciones de datos.

¿Qué categorías de información personal están protegidas en virtud de los artículos 1349.19 a 192 del Ohio Rev. Code?

En virtud de los artículos 1349.19 a 192 del Ohio Rev. Code, los siguientes elementos de datos están protegidos en caso de que se vean comprometidos tras una filtración de datos, en combinación con el nombre o la inicial del nombre y los apellidos de un residente de Ohio, a menos que dichos elementos de datos se hayan redactado, cifrado o alterado mediante cualquier otro método tecnológico que haga que los datos sean ilegibles:

• Números de la seguridad social.
• Números de carné de conducir y de tarjeta de identificación estatal.
• Números de cuenta, números de tarjeta de crédito y números de tarjeta de débito, además de cualquier código de acceso, código de seguridad o contraseña necesarios que pudieran utilizarse para permitir el acceso a la cuenta financiera de una persona.

Por el contrario, la ley no cubre la información personal que se pone legalmente a disposición del público a través de uno de los siguientes medios:

• Noticias, editoriales y declaraciones publicitarias que “se publiquen en cualquier periódico, diario o revista de buena fe, o se emitan por radio o televisión, o cualquier tipo de medio de comunicación de naturaleza similar”.
• “Cualquier recopilación o suministro de información o noticias por parte de cualquier reportero, corresponsal o agencia de noticias de buena fe a cualquier periódico, diario, revista, medio informativo de radio o televisión de buena fe, o cualquier tipo de medio de comunicación de naturaleza similar”.
• “Cualquier publicación destinada y distribuida a los miembros de cualquier asociación de buena fe o corporación benéfica o fraternal sin ánimo de lucro, o cualquier tipo de medio de comunicación de naturaleza similar”.

¿Cuáles son las sanciones por infringir los §§ 1349.19 – 192 del Ohio Rev. Code?

Las disposiciones de Ohio Rev. Code §§ 1349.19 – 192 son ejecutables por el Fiscal General de Ohio. Dicho esto, el Fiscal General de Ohio está facultado para imponer las siguientes penas y sanciones a las entidades del Estado que se haya demostrado que han infringido la ley:

• Una orden de restricción temporal.
• Una orden judicial preliminar o permanente.
• Multa de hasta 1.000 dólares diarios durante los primeros 60 días de incumplimiento.
• Una multa adicional de hasta 5.000 dólares al día después de 60 días de incumplimiento.
• Una multa adicional de hasta 10.000 dólares diarios tras 90 días de incumplimiento.

Las disposiciones establecidas en Ohio Rev. Code §§ 1349.19 – 192 permiten al Fiscal General de Ohio sancionar severamente a las entidades del Estado que hayan violado los derechos de los residentes del Estado en relación con las violaciones de seguridad. En el contexto de otras leyes estatales de notificación de datos de EE.UU., las penas previstas en Ohio Rev. Code §§ 1349.19 – 192 son más comparables a las que se imponen en virtud de leyes internacionales de protección integral de datos, como el Reglamento General de Protección de Datos o GPDR. En consecuencia, los residentes en el estado de Ohio gozan de un gran nivel de protección en lo que respecta al uso y la divulgación no autorizados de información personal.