Ley de Notificación de Brechas de Seguridad en Maryland

Md. Code Com. Law §§ 14-3501 et seq., también conocida como Ley de Protección de la Información Personal de Maryland, es una ley de notificación de violaciones de la seguridad y de la privacidad personal que se aprobó en el estado estadounidense de Maryland en 2008. En virtud de la ley, las empresas y organizaciones que operan en el estado de Maryland deben seguir un protocolo estricto en lo que respecta a las notificaciones de violaciones de seguridad, así como la destrucción de información personal relacionada con los residentes del estado. Dicho esto, la Ley de Protección de Datos Personales de Maryland representa el principal medio por el que se protege legalmente la privacidad personal de los residentes en el estado.

¿Cuáles son los requisitos de la Ley en relación con la destrucción de datos personales?

En virtud de la Ley de Protección de Datos Personales de Maryland, las empresas del estado son responsables de adoptar medidas razonables para evitar la divulgación no autorizada cuando destruyan información personal perteneciente a residentes del estado. Más concretamente, “las empresas deben mantener procedimientos y prácticas de seguridad razonables basados en un análisis de riesgos que tenga en cuenta la empresa y la información en cuestión. Si una empresa utiliza a un tercero no afiliado como proveedor de servicios y divulga información personal de residentes de Maryland en virtud de un contrato escrito, la empresa debe exigir al tercero que aplique y mantenga procedimientos de seguridad razonables adecuados a la información personal y razonablemente diseñados para protegerla del acceso, modificación, divulgación o destrucción no autorizados.”

¿Cuáles son los requisitos de la Ley en materia de notificación de violaciones de la seguridad?

En virtud de la Ley de Protección de Datos Personales de Maryland, las empresas del estado están obligadas a notificar a todas las partes y particulares afectados si se produce una violación de datos. Estas notificaciones deben proporcionarse a los residentes de Maryland “tan pronto como sea razonablemente posible”, pero a más tardar 45 días después de la fecha del descubrimiento de la violación. Estas notificaciones deben proporcionar a las personas afectadas diversas formas de información, incluidos los tipos de información personal que se vieron comprometidos durante la violación, así como las medidas que los consumidores afectados pueden tomar para proteger su crédito e identidad, entre otra información pertinente. Además, las violaciones de datos que afecten a más de 1.000 residentes en Maryland también deben notificarse a las principales agencias de crédito del país.

¿Qué datos personales están protegidos por la Ley de Protección de Datos Personales de Maryland?

En virtud de la Ley de Protección de Datos Personales de Maryland, las siguientes categorías están legalmente protegidas en caso de que dicha información se vea comprometida como resultado de una violación de seguridad, en combinación con el nombre y apellidos, o la inicial del nombre y apellidos, de un residente de Maryland, en los casos en que estos elementos de datos no se hayan hecho ilegibles o inutilizables por medio de cifrado, o medios tecnológicos como la redacción:

• Números de la seguridad social.
• Números del permiso de conducir.
• Números de cuentas financieras, incluidos los números de tarjetas de crédito y débito, así como cualquier código de acceso o contraseña que pueda utilizarse para acceder a la cuenta financiera de una persona.
• Números de identificación de contribuyente individual y números de identificación estatal.
• Números de pasaporte.
• Información sanitaria, seguros, HIPAA y datos del historial médico.
• Identificadores biométricos como huellas dactilares, huellas vocales e imágenes de retina.
• Información de la cuenta de usuario, así como las preguntas o respuestas de seguridad aplicables.

¿Cuáles son las sanciones por infringir la Ley de Protección de Datos Personales de Maryland?

En términos de sanciones en relación con el incumplimiento de la ley, las diversas disposiciones establecidas en la Ley de Protección de Datos Personales de Maryland son ejecutables por el fiscal general de Maryland. En este sentido, el fiscal general de Maryland está facultado para imponer numerosas sanciones y penas a las empresas y organizaciones del estado que infrinjan la ley. Dichas sanciones incluyen:

• Una orden de cese y desistimiento.
• Sanciones civiles de hasta 1.000 dólares por la primera infracción.
• Sanciones civiles adicionales de hasta 5.000 dólares por nuevas infracciones.
• Derecho de acción privada para recuperar daños, lesiones o pérdidas.

Mientras el estado de Maryland sigue deliberando sobre la aprobación de una ley integral de privacidad de datos, una legislación como la Ley de Protección de Datos Personales de Maryland garantiza que los residentes del estado puedan disfrutar de un mínimo de protección de datos y privacidad personal. A través de esta ley, los residentes del estado pueden tomar una serie de medidas y acciones legales en caso de que sus datos personales se vean comprometidos como resultado de una violación de datos, o de que una empresa no destruya su información personal de una manera que impida su divulgación no autorizada. Por lo tanto, cualquier novedad que surja en relación con la legislación sobre privacidad no hará sino reforzar el nivel de protección de que gozan actualmente los residentes del Estado.