Legislación sobre violación de datos en el Estado de Delaware
Del. Code tit. 6, § 12B-101 es una ley de notificación de violación de datos que se aprobó en el estado estadounidense de Delaware en 2017. Dado que el estado de Delaware no cuenta con una ley estatal de privacidad exhaustiva a nivel estatal, Del. Code tit. 6, § 12B-101 establece los requisitos que deben cumplir las empresas y organizaciones del Estado en caso de que dichas entidades sufran una violación de datos que dé lugar a la divulgación no autorizada de información personal relativa a ciudadanos de Delaware. Además, la ley también establece las penas y sanciones a las que se enfrentan las empresas y organizaciones de Delaware en caso de que no se adhieran a las diversas disposiciones que se promulgaron en la ley.
¿Cómo se define una violación de datos?
Según el Del. Code tit. 6, § 12B-101, una violación de datos se define como “la adquisición no autorizada de datos informatizados que compromete la seguridad, confidencialidad o integridad de la IP. La adquisición no autorizada de dichos datos no constituye una violación de la seguridad en la medida en que la IP contenida en ellos esté encriptada, a menos que dicha adquisición no autorizada incluya, o se crea razonablemente que incluye, la clave de encriptación y la persona propietaria o licenciataria de la información encriptada crea razonablemente que la clave de encriptación podría hacer que la IP fuera legible o utilizable”. Por otra parte, la “adquisición de buena fe de información personal por un empleado o agente de una entidad para los fines de la entidad” no constituye una violación de datos en virtud de las disposiciones del Del. Code tit. 6, § 12B-101.”
¿Cuáles son los requisitos?
Según el Del. Code tit. 6, § 12B-101, las empresas, agencias y organizaciones que realizan operaciones dentro del estado de Delaware son responsables de proporcionar a los ciudadanos del estado notificaciones de violación de datos en caso de que su información personal se divulgue indebidamente como resultado de una violación de datos. Estas notificaciones deben proporcionarse a los residentes de Delaware sin demora injustificada, pero a más tardar 60 días después de que una entidad u organización empresarial haya descubierto que ha sufrido una violación de datos. Además, en los casos en que una violación de datos afecte a más de 500 residentes en el estado, las empresas y organizaciones también deben proporcionar avisos de violación al Fiscal General de Delaware.
En cuanto al contenido de estos avisos, las organizaciones y empresas deben proporcionar a los consumidores detalles sobre las categorías de información personal que se divulgaron, así como las medidas que se tomaron para evitar dichas divulgaciones, entre otros detalles pertinentes. Además, el Del. Code tit. 6, § 12B-101 exige que las notificaciones de violación de datos se realicen utilizando uno de los siguientes métodos:
- Notificación por escrito.
- “Notificación telefónica”.
- “Notificación electrónica, si la notificación proporcionada es coherente con las disposiciones relativas a los registros y firmas electrónicas establecidas en 15 U.S.C. § 7001 (Ley E-SIGN) o si el principal medio de comunicación de la persona con el residente es por medios electrónicos.”
¿Qué categorías de información personal están cubiertas?
En virtud del Del. Code tit. 6, § 12B-101, las siguientes categorías de información personal a cubiertos por la ley, junto con A Delaware “nombre o inicial del nombre y apellidos del residente”:
- Números de la seguridad social.
- Números de carné de conducir y de tarjeta de identificación estatal o federal.
- Números de pasaporte.
- Números de cuenta, números de tarjeta de débito, o números de tarjeta de débito, en combinación con cualquier código de seguridad requerido, códigos de acceso o contraseñas que pudieran utilizarse para permitir el acceso a la cuenta financiera de un individuo.
- Nombres de usuario o direcciones de correo electrónico, en combinación con contraseñas o preguntas de seguridad que podrían utilizarse para permitir el acceso a la cuenta en línea de un individuo.
- “Historial médico, tratamiento médico por un profesional sanitario, diagnóstico de afección mental o física por un profesional sanitario o perfil de ácido desoxirribonucleico”.
- Números de póliza de seguro médico, números de identificación de abonado o cualquier otra forma de identificador único que pueda ser utilizado por una aseguradora de asistencia sanitaria para identificar a una persona concreta.
- “Datos biométricos únicos generados a partir de mediciones o análisis de características del cuerpo humano con fines de autenticación”.
- Números de identificación individual del contribuyente.
¿Cuáles son las sanciones por infringir el Del. Code tit. 6, § 12B-101?
En cuanto a la aplicación del Del. Code tit. 6, § 12B-101, el Fiscal General de Delaware se encarga de hacer cumplir las disposiciones de la ley. Como tal, el Fiscal General de Delaware está facultado para imponer “daños y perjuicios y sanciones adecuadas” a las organizaciones y empresas de Delaware que infrinjan la ley. Además, el Del. Code tit. 6, § 12B-101 también permite a los ciudadanos del estado de Delaware interponer una demanda privada contra las empresas y organizaciones del estado que violen los derechos que les confiere la ley. Dichas demandas tienen un “límite máximo del triple de los daños más las costas y los honorarios de los abogados”. Además, si la información personal que ha sido violada incluye números de la seguridad social, la empresa u organización que ha sufrido la violación también debe proporcionar servicios gratuitos de control de crédito a todos los residentes afectados durante al menos 1 año.
Mediante la promulgación del Del. Code tit. 6, § 12B-101, se proporcionó a los ciudadanos del estado de Delaware protecciones legales en caso de que su información personal se divulgue indebidamente como resultado de una violación de datos u otro incidente de seguridad relacionado. En lugar de una ley federal integral de protección de datos que proporcione protección de la privacidad a todos los residentes de los EE.UU. independientemente de donde vivan, como el Reglamento General de Protección de Datos de la UE o GDPR, las leyes estatales como Del. Code tit. 6, § 12B-101 son los principales medios por los que se protege la información personal del ciudadano medio estadounidense. Por ello, muchos estados de EE.UU. tendrán que seguir aprobando leyes que aborden las cuestiones de la protección de datos y la privacidad personal, con el objetivo de garantizar que todos los ciudadanos estadounidenses puedan proteger sus datos personales de daños y usos indebidos.