Ley de Notificación de Brechas de Seguridad en el Estado de Idaho
Idaho Stat. §§ 28-51-104 a -107 es una ley de notificación de violación de datos que se aprobó en el estado de Idaho en 2010. Idaho Stat. §§ 28-51-104 a -107 establece las directrices que las empresas, agencias y organizaciones deben seguir en caso de que experimenten una violación de datos que conduzca a la divulgación no autorizada de información personal perteneciente a ciudadanos residentes en el estado de Iowa. A través de Idaho Stat. §§ 28-51-104 a -107, los residentes de Iowa disponen de medios para reclamar tanto justicia como indemnización en caso de que su información personal se vea comprometida debido a una violación de datos, ya que la ley establece diversas penas a las que se exponen las empresas y organizaciones en caso de que incumplan las disposiciones establecidas.
¿Cómo se define una violación de la seguridad?
Según Idaho Stat. §§ 28-51-104 a -107, una violación de la seguridad se define como “una adquisición ilegal de datos informatizados no codificados que compromete materialmente la seguridad, confidencialidad o integridad de PI de una o más personas mantenidas por la Entidad”. Alternativamente, la “adquisición de buena fe de IP por un empleado o agente de una Entidad para los fines de la Entidad no constituye una violación de la seguridad del sistema, siempre que la IP no se utilice o sea objeto de una divulgación posterior no autorizada.” Además, en lo que respecta al alcance y la aplicación de Idaho Stat. §§ 28-51-104 a -107, la ley se aplica a “cualquier agencia, individuo o entidad comercial (colectivamente, Entidad) que realice negocios en Idaho y que posea o licencie datos informatizados que incluyan IP sobre un residente de Idaho”.
¿Cuáles son los requisitos de las empresas y organizaciones?
En virtud de Idaho Stat. §§ 28-51-104 a -107, las empresas y organizaciones de Idaho están obligadas a proporcionar a los ciudadanos del estado notificaciones de violación de datos en caso de que dichas entidades sufran una violación de seguridad. Estas notificaciones deben realizarse de forma expeditiva y sin demora injustificada, y también deben proporcionar a los consumidores información sobre el alcance y la gravedad de la violación, el número de personas que se han visto afectadas y los medios que la empresa u organización que ha sufrido la violación ha adoptado para “restaurar la integridad razonable del sistema de datos informáticos”. Es más, los organismos estatales de Idaho también están obligados a informar al Fiscal General de Idaho en un plazo de 24 horas tras sufrir una violación de la seguridad.
A la inversa, la ley también establece las circunstancias en las que una empresa u organización del estado puede proporcionar a los consumidores notificaciones sustitutorias de la violación de datos. Según Idaho Stat. §§ 28-51-104 a -107, las empresas y organizaciones de Idaho que sufran una violación de la seguridad pueden proporcionar a los consumidores afectados notificaciones sustitutorias en los casos en que el coste de proporcionar notificaciones de datos estándar supere los 25.000 dólares, el número de residentes de Idaho afectados por la violación supere los 50.000, o la entidad que haya sufrido la violación no disponga de suficiente información de contacto. Además, estas notificaciones sustitutorias deben consistir en lo siguiente
- Notificación por correo electrónico, si la entidad dispone de una dirección de correo electrónico para los residentes que se hayan visto afectados por la violación.
- La publicación visible del aviso sustitutivo en el sitio web de la empresa u organización, si la empresa u organización mantiene un sitio web.
- Notificación a los principales medios de comunicación del estado de Idaho.
¿Qué tipos de información personal están cubiertos?
Según Idaho Stat. §§ 28-51-104 a -107, las siguientes categorías de información personal están cubiertas por el deber, junto con un Idaho “nombre o inicial del nombre y apellido en combinación con uno o más de los siguientes elementos de datos que se refieren al residente, cuando el nombre o los elementos de datos no están codificados”:
- Números de la seguridad social.
- Números de carné de conducir y de tarjeta de identificación estatal.
- Números de cuenta y números de tarjeta de crédito, en combinación con cualquier código de seguridad, código de acceso o contraseña requeridos que permitan el acceso a la cuenta financiera de una persona.
En cuanto a la aplicación de la ley, las disposiciones establecidas en Idaho Stat. §§ 28-51-104 a -107 son aplicadas por el Fiscal General de Idaho. Por ello, las empresas y organizaciones del Estado que no cumplan los requisitos de notificación de violación de datos establecidos por la ley están sujetas a una sanción pecuniaria de hasta 25.000 dólares por violación. El Idaho Stat. §§ 28-51-104 también contiene sanciones adicionales para las divulgaciones gubernamentales, ya que la ley establece que “cualquier empleado gubernamental que divulgue intencionadamente información personal no sujeta a divulgación de otro modo permitida por la ley estará sujeto a una multa no superior a 2.000 dólares, a penas de prisión en la cárcel del condado por un período no superior a 1 año, o a ambas”.
La promulgación de Idaho Stat. §§ 28-51-104 a -107 proporcionó a los ciudadanos de Idaho protecciones legales en caso de que su información personal se viera implicada en una violación de la seguridad o de los datos. A pesar de que la ley se aprobó hace más de 10 años, las protecciones concedidas a los residentes de Idaho en virtud de Idaho Stat. §§ 28-51-104 a -107 están a la altura de leyes similares aprobadas más recientemente. Por lo tanto, los residentes del estado de Idaho pueden estar seguros de que estarán protegidos de las consecuencias adversas en caso de que su información personal se divulgue indebidamente como resultado de una violación de datos.