Ley de Notificación de Brechas de Seguridad en Oregón

Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626 es una ley de notificación de violaciones de seguridad que se aprobó originalmente en el estado de Oregón en 2007 y que se ha modificado varias veces desde entonces, la última en 2020. Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626 se modificó con el fin de proporcionar a los residentes del Estado de Oregón protecciones más actualizadas en lo que respecta a las violaciones de seguridad, en particular en lo que se refiere a los tipos de información personal que están protegidos por la ley. Como tal, Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626 se erige como el principal medio por el que los residentes de Oregón pueden protegerse de las consecuencias adversas de una violación de la seguridad.

¿Cuál es el alcance y la aplicabilidad de la ley?

En cuanto al alcance y la aplicabilidad de la ley, Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626 se aplica a “Cualquier persona física, corporación privada o pública, sociedad, cooperativa, asociación, patrimonio, sociedad de responsabilidad limitada, organización u otra entidad, esté o no organizada para operar con ánimo de lucro, o un organismo público tal como se define en Or. Rev. Stat. § 174.109 (colectivamente, Entidad) que posea, conceda licencias, mantenga, almacene, gestione, recopile, procese, adquiera o posea de otro modo IP en el curso de la actividad empresarial, vocación, ocupación o actividades de voluntariado de la Entidad y que haya sido objeto de la violación de seguridad.”

¿Cuáles son los requisitos de notificación de violaciones de seguridad en virtud de la ley?

Según Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626, las entidades comerciales que sufran una violación de la seguridad están obligadas a notificarlo a todas las personas y partes afectadas, sin demora indebida, pero a más tardar 45 días después del descubrimiento de dicha violación. Además, la ley también exige que la entidad afectada notifique al fiscal general de Oregón y a las tres principales agencias de información crediticia de EE.UU., en los casos en que una violación de seguridad afecte a más de 250 o 1.000 residentes en el Estado, respectivamente. Hasta este punto, estas notificaciones de violaciones de seguridad deben proporcionar a los individuos afectados la siguiente información:

• Una descripción de la violación de seguridad en términos generales.
• La fecha aproximada en que se produjo la violación.
• Los tipos de información personal que se vieron comprometidos durante la violación.
• La información de contacto de la entidad que informa de la violación.
• La información de contacto de las tres principales agencias de información crediticia de EE.UU.
• “Consejo al individuo para que denuncie la sospecha de robo de identidad a las fuerzas de seguridad, incluidos el Fiscal General y la Comisión Federal de Comercio”.

¿Qué tipos de datos personales están cubiertos?

Según la Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626, los siguientes tipos de información personal están legalmente protegidos en caso de que se produzca una violación de la seguridad, en combinación con el nombre o la inicial del nombre y los apellidos de un residente de Oregón, en los casos en que estos elementos de datos no hayan sido codificados, redactados o convertidos de otro modo en ilegibles o inutilizables mediante otra forma de tecnología:

• Números de la seguridad social.
• Números de carné de conducir y de tarjeta de identificación estatal emitidos por el departamento de transporte.
• Números de pasaporte y otros números de identificación emitidos en nombre del gobierno de Estados Unidos.
• Números de cuentas financieras y números de tarjetas de crédito y débito, así como cualquier código de seguridad asociado, códigos de acceso y contraseñas que pudieran utilizarse para acceder a la cuenta financiera de un residente de Oregón.
• “Cualquier otra información o combinación de información que una persona sepa o deba saber razonablemente que permitiría acceder a la cuenta financiera del consumidor”.
• “Datos biométricos procedentes de mediciones automáticas de las características físicas de un consumidor, como la imagen de una huella dactilar, la retina o el iris, que se utilizan para autenticar la identidad del consumidor en el curso de una transacción financiera o de otro tipo.”
• Números de póliza de seguro médico y números de identificación del suscriptor del seguro médico, en combinación con cualquier otro identificador único que una aseguradora médica pueda utilizar para identificar a un consumidor dentro de Oregón.
• Información relacionada con el historial médico de una persona, su estado físico o mental, o el diagnóstico o tratamiento médico de una persona por parte de un profesional sanitario.

¿Cuáles son las sanciones?

Las disposiciones establecidas en Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626 son aplicadas por el Fiscal General de Oregón. Dicho esto, el fiscal general de Oregón está facultado para imponer numerosas penas y sanciones a las empresas y organizaciones del Estado que incumplan la ley. Tales castigos incluyen una multa monetaria de hasta 1.000 dólares por infracción, con sanciones que no pueden superar los 500.000 dólares. Además, las infracciones del Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626 también se consideran prácticas comerciales desleales o ilícitas en virtud de otra legislación aplicable en el Estado.

Mediante las disposiciones modificadas de Or. Rev. Stat. §§ 646A.600, 646A.602, 646A.604, 646A.624, 646A.626, se proporcionó a los residentes del estado de Oregón un mayor nivel de protección jurídica en relación con los efectos adversos de una violación de la seguridad. Como los tipos de información personal cubiertos por la ley son numerosos y variados en comparación con muchas otras leyes sobre violaciones de seguridad del país, los residentes del estado de Oregón pueden estar seguros de que están protegidos en caso de que la información personal que les concierne se vea comprometida durante una violación de seguridad u otro suceso relacionado.