Legislación sobre violaciones de seguridad en Vermont

Vt. Stat. tit. 9 §§ 2430, 2435 es una ley de notificación de violación de datos que se aprobó en el estado estadounidense de Vermont en 2006 y se modificó de nuevo en 2012. Vt. Stat. tit. 9 §§ 2430, 2435, en conjunción con The Vermont Act 171 of 2018 Data Broker Regulation, así como la recientemente aprobada Senate Bill 110, representan el marco legal para la protección de la información personal y la privacidad de los ciudadanos residentes en el estado de Vermont. En lo que respecta a Vt. Stat. tit. 9 §§ 2430, 2435, las disposiciones de la ley esbozan los procedimientos que las entidades empresariales dentro del estado son responsables de cumplir en caso de que se produzca una violación de la seguridad. Además, la ley también establece los castigos que pueden imponerse a las entidades empresariales dentro de vermin que no cumplan con dichos procedimientos.

¿Cómo se define el término violación de la seguridad en Vt. Stat. tit. 9 §§ 2430, 2435?

En virtud de Vt. Stat. tit. 9 §§ 2430, 2435, una violación de seguridad se define como la “adquisición no autorizada de datos electrónicos o una creencia razonable de dicha adquisición no autorizada que comprometa la seguridad, confidencialidad o integridad de PI o credenciales de inicio de sesión mantenidas por una Entidad”. En el otro extremo del espectro, una violación de seguridad bajo Vt. Stat. tit. 9 §§ 2430, 2435, “no incluye la adquisición de buena fe pero no autorizada o el acceso de PI o credenciales de inicio de sesión por parte de un empleado o agente de la Entidad para un propósito legítimo de la Entidad, siempre que la PI o las credenciales de inicio de sesión no se utilicen para un propósito no relacionado con el negocio de la Entidad o estén sujetas a una divulgación no autorizada posterior.”

¿Cuáles son los requisitos de notificación de violaciones de seguridad en virtud de Vt. Stat. tit. 9 §§ 2430, 2435?

En virtud de Vt. Stat. tit. 9 §§ 2430, 2435, las entidades comerciales que sufran una violación de la seguridad están obligadas a notificarlo de forma visible a todas las partes afectadas en un plazo de 45 días a partir del descubrimiento de la violación, así como a facilitar a dichas partes la siguiente información:

• Una descripción de la violación de seguridad, en términos generales.
• La fecha en que se produjo la violación.
• Los tipos de información personal que se vieron comprometidos como resultado de la violación.
• Los procedimientos establecidos por la entidad afectada para prevenir las violaciones de seguridad.
• Un número de teléfono gratuito al que los afectados puedan dirigirse para obtener más información y asistencia en relación con la violación, si existe.
• Consejos para que el consumidor se mantenga alerta revisando los extractos de cuenta y controlando los informes de crédito gratuitos.

¿Qué categorías de información personal están protegidas en virtud de Vt. Stat. tit. 9 §§ 2430, 2435?

En virtud de Vt. Stat. tit. 9 §§ 2430, 2435, las siguientes categorías de información personal están legalmente protegidas en caso de que se produzca una violación de datos, en combinación con el nombre o la inicial del nombre y los apellidos de una persona, en los casos en que estos elementos de datos no se hayan redactado, cifrado o hecho inaccesibles por cualquier otro medio tecnológico:
Números de la seguridad social.

• Números de carné de conducir o de tarjeta de identificación estatal que no sea de conductor, número de identificación individual del contribuyente, número de pasaporte, número de tarjeta de identificación militar u otros números de identificación que procedan de un documento de identificación gubernamental que se utilice habitualmente para verificar la identidad en una transacción comercial.
• Números de cuentas financieras, números de tarjetas de crédito y débito, así como información asociada como códigos de acceso que puedan utilizarse para conceder acceso a la cuenta financiera de una persona.
• Información genética.
• Identificadores biométricos, que pueden incluir huellas dactilares e imágenes del iris o la retina, entre otros.
• Registros de salud o registros de un programa de bienestar o programa similar de promoción de la salud o prevención de enfermedades, el diagnóstico médico de un profesional de la salud o el tratamiento del consumidor, o un número de póliza de seguro de salud.

¿Cuáles son las sanciones por violar Vt. Stat. tit. 9 §§ 2430, 2435?

En cuanto a la aplicación del Vt. Stat. tit. 9 §§ 2430, 2435, el fiscal general de Vermont está facultado para imponer sanciones y penas a las entidades empresariales que operen en el Estado y que se considere que han infringido las disposiciones de la ley. Estas sanciones incluyen

• Medidas cautelares.
• Una citación civil.
• Sanciones pecuniarias de hasta 10.000 dólares por cada infracción.

Mediante la promulgación de Vt. Stat. tit. 9 §§ 2430, 2435, los residentes en el Estado de Vermont pueden solicitar reparación en caso de que su información personal se vea comprometida a raíz de una violación de seguridad. Según Vt. Stat. tit. 9 §§ 2430, 2435 es una de las muchas leyes sobre privacidad de datos que se han aprobado en Vermont en la última década, y es probable que otros estados del país estudien la posibilidad de adoptar un enfoque similar, ya que el gobierno federal de EE.UU. sigue deliberando sobre la conveniencia de aprobar este tipo de legislación a nivel federal. No obstante, Vt. Stat. tit. 9 §§ 2430, 2435 garantiza que los residentes de Vermont puedan proteger su información personal frente a invasiones de la intimidad.