Ley de Notificación de Brechas de Seguridad en Colorado

Colo. Rev. Stat. § 6-1-716 es una ley de notificación de violación de datos que se aprobó inicialmente en el estado estadounidense de Colorado en 2006. Hasta este punto, la ley fue modificada recientemente en 2018 para proporcionar a los residentes de Colorado un mayor nivel de protección en lo que respecta a las consecuencias de estar involucrado en una violación de datos o seguridad. Dicho esto, Colo. Rev. Stat. § 6-1-716, junto con la recientemente aprobada Colorado Privacy Act, representan las dos directrices legales más importantes para la protección de datos y de la intimidad en Colorado. Además, Colo. Rev. Stat. § 6-1-716 también faculta al fiscal general de Colorado para imponer sanciones a las empresas y organizaciones del Estado que incumplan la ley.

¿Cómo se define una violación de la seguridad en Colo. Rev. Stat. § 6-1-716?

Según la Colo. Rev. Stat. § 6-1-716, una violación de la seguridad se define como “una adquisición no autorizada de datos informatizados no codificados que compromete la seguridad, confidencialidad o integridad de la IP mantenida por una Entidad”. Alternativamente, la “adquisición de buena fe de IP por un empleado o agente de una Entidad para los fines de la Entidad no es una violación de la seguridad del sistema si la IP no se utiliza para un fin no relacionado con el funcionamiento legal de la empresa o no está sujeta a una divulgación posterior no autorizada.” Además, en cuanto al alcance y aplicabilidad de la ley, Colo. Rev. Stat. § 6-1-716 es aplicable a “cualquier individuo o entidad comercial (colectivamente, Entidad) que lleve a cabo negocios en CO y que posea, licencie o mantenga datos informatizados que incluyan PI”.

¿Cuáles son los requisitos de notificación de violaciones de seguridad según Colo. Rev. Stat. § 6-1-716?

Según la Colo. Rev. Stat. § 6-1-716, una entidad comercial del estado de Colorado está obligada a notificar por escrito, por teléfono o por vía electrónica a todas las personas afectadas, así como al fiscal general de Colorado y a las tres principales agencias de información crediticia de EE.UU., aunque en determinadas circunstancias. Posteriormente, estas notificaciones de violaciones de seguridad deben contener la siguiente información

• La fecha real, la fecha estimada o el intervalo estimado de fechas en que se produjo la violación de la seguridad.
• Los tipos de información personal que fueron objeto de divulgación no autorizada.
• La información de contacto que las personas afectadas pueden utilizar para obtener más información sobre la violación de seguridad.
• Las direcciones, sitios web y números de teléfono gratuitos de las tres principales agencias de información crediticia de Estados Unidos, así como de la Comisión Federal de Comercio.
• Una declaración en la que se detallen los medios por los que las personas afectadas pueden obtener más información de las tres principales agencias de información crediticia de Estados Unidos y de la Comisión Federal de Comercio en relación con las alertas de fraude y las congelaciones de seguridad.
• “En el caso de una violación de las credenciales de una cuenta en línea, además de la información anterior, el aviso debe indicar al consumidor que cambie rápidamente su contraseña o pregunta y respuesta, o que tome otras medidas adecuadas para proteger la cuenta en línea con la Entidad cubierta y todas las demás cuentas en línea para las que la persona cuya IP ha sido violada utiliza el mismo nombre de usuario o dirección de correo electrónico y contraseña o pregunta o respuesta de seguridad.”

¿Qué tipos de información personal están protegidos por Colo. Rev. Stat. § 6-1-716?

De conformidad con las disposiciones establecidas por Colo. Rev. Stat. § 6-1-716, los siguientes elementos de datos están cubiertos legalmente en caso de que se produzca una violación de la seguridad, en combinación con el nombre o la inicial del nombre o los apellidos de un residente de Colorado, en los casos en que la información no haya sido redactada, o convertida de otro modo en ilegible o inutilizable a través de otro medio, como el cifrado:

• Números de la seguridad social.
• Números de identificación de estudiantes, militares y pasaportes.
• Números de carné de conducir y otras formas de tarjeta de identificación.
• Datos biométricos.
• Números de identificación del seguro médico.
• Información médica.
• Nombres de usuario y direcciones de correo electrónico, junto con contraseñas o preguntas de seguridad que puedan utilizarse para permitir el acceso a la cuenta en línea de un residente de Colorado.
• Números de cuentas financieras y números de tarjetas de crédito y débito, en combinación con cualquier contraseña, código de seguridad o código de acceso que pudiera utilizarse para permitir el acceso a la cuenta financiera de un residente de Colorado.

En cuanto a la aplicación de la ley, las disposiciones establecidas en Colo. Rev. Stat. § 6-1-716 son ejecutables por el fiscal general de Colorado. Como tal, el fiscal general de Colorado tiene autoridad para imponer numerosas sanciones y acciones legales contra entidades y particulares que infrinjan la ley. Más concretamente, “las violaciones pueden dar lugar a sanciones civiles, según lo determinado por el Fiscal General, que tiene la autoridad para iniciar acciones legales o de equidad en respuesta a las violaciones, o para cualquier otra reparación adecuada que pueda ayudar a garantizar el cumplimiento o recuperar los daños económicos sufridos como consecuencia directa de la violación.”

¿Cómo pueden protegerse las empresas de las consecuencias adversas de las violaciones de datos?

Aunque las violaciones de datos se han convertido en una realidad inevitable en plena era actual de Internet, existen pasos y medidas que las empresas pueden adoptar para evitar poner en peligro la información personal de los consumidores estadounidenses. Uno de estos métodos es la redacción, ya que las empresas pueden utilizar programas de software de redacción automática para asegurarse de que protegen los datos personales que obran en su poder en todo momento. Además, como estos programas permiten a los usuarios redactar automáticamente información de una amplia gama de categorías, incluidos números de la seguridad social, información médica y direcciones de correo electrónico y nombres de usuario, entre otros, las empresas también pueden ahorrar tiempo y recursos que pueden dedicar a otras actividades. Pero lo que es más importante, las empresas pueden cumplir toda la legislación aplicable garantizando la protección de los datos personales frente a accesos no autorizados.

En comparación con muchos otros estados de EE.UU., el panorama de la privacidad y la protección de datos en Colorado es particularmente sólido, ya que existen varios requisitos legales que las empresas del estado son responsables de cumplir cuando recopilan información personal de residentes en el estado. Mediante la promulgación de Colo. Rev. Stat. § 6-1-716 y la Ley de Privacidad de Colorado, los residentes del estado tienen numerosos derechos y libertades en lo que respecta a la recogida, tratamiento, uso y divulgación de sus datos personales. Con este fin, en lo que respecta a las violaciones de seguridad, Colo. Rev. Stat. § 6-1-716 garantiza que los residentes de Colorado puedan mitigar las posibles consecuencias de verse implicados en un incidente de este tipo, ya sea en forma de robo de identidad o de pérdida de fondos.