Ley de Notificación de Brechas de Seguridad en Rhode Island

R.I. Gen. Laws § 11-49.2-1 es una ley de notificación de violación de datos que se promulgó en el estado norteamericano de Rhode Island en 2005 y entró en vigor al año siguiente, en 2006. En los casos en que se produce una violación de los datos o de la seguridad, R.I. Gen. Laws § 11-49.2-1 establece el protocolo legal que debe seguirse en lo que respecta a la protección de la información personal de los ciudadanos de Rhode Island. En este punto, la ley también establece las sanciones que pueden imponerse a las empresas y organizaciones dentro del estado que no cumplan con las disposiciones de la ley cuando se produce una violación de datos o de seguridad.

¿Cuál es el alcance y la aplicación de R.I. Gen. Laws § 11-49.2-1?

En lo que respecta al alcance y la aplicación del artículo 11-49.2-1 de las Leyes Generales de Rhode Island, las disposiciones establecidas en la ley son aplicables a cualquier “organismo municipal, organismo estatal, particular, empresa unipersonal, sociedad, asociación, corporación o empresa conjunta, empresa o entidad jurídica, fideicomiso, patrimonio, cooperativa u otra entidad comercial (colectivamente, Entidad) que almacene, posea, recopile, procese, mantenga, adquiera, utilice o conceda licencias de datos que incluyan IP”. Por el contrario, las entidades de Rhode Island que mantengan “procedimientos propios de violación de la seguridad como parte de una política de seguridad de la información para el tratamiento de PI y que, por lo demás, cumplan los requisitos de plazos de la ley, se considerarán conformes.”

¿Cuáles son los requisitos de notificación de violación de datos en virtud de R.I. Gen. Laws § 11-49.2-1?

R.I. Gen. Laws § 11-49.2-1 obliga a cualquier entidad del Estado de Rhode Island a notificar las violaciones de datos a todas las personas y partes afectadas, por escrito o en formato electrónico, en caso de que se produzca una violación de datos. Además, estas notificaciones de violación de datos deben proporcionar a los residentes en el estado la siguiente información:

• Una breve descripción de los hechos que rodearon la violación de datos, incluido el número de residentes de Rhode Island que se vieron afectados por la violación, así como las circunstancias que condujeron a la violación, en términos generales.
• Los tipos de información personal que fueron objeto de la violación.
• La fecha aproximada, la fecha estimada o el intervalo de fechas en que se produjo la violación.
• La fecha en que se descubrió la violación.
• Una descripción clara y concisa de los servicios de reparación que la entidad afectada ofrece a las personas afectadas en Rhode Island, incluida la información de contacto necesaria para ponerse en contacto con las tres principales agencias de información crediticia de EE.UU., los proveedores de servicios de reparación aplicables y el fiscal general de Rhode Island.
• Una descripción clara y concisa de los derechos de los consumidores a presentar una denuncia policial, los pasos del procedimiento y la información necesaria para solicitar la congelación de un informe crediticio, y las tasas asociadas a dicha solicitud.

¿Qué tipos de información personal cubre el artículo 11-49.2-1 de las Leyes Generales de Rhode Island?

De conformidad con lo dispuesto en R.I. Gen. Laws § 11-49.2-1, los siguientes tipos de información personal están legalmente protegidos contra su divulgación en caso de que se produzca una violación de datos, en combinación con el nombre o la inicial del nombre y los apellidos de un residente de Rhode Island, en los casos en que estos elementos de datos estén en formato impreso o no hayan sido codificados:

• Números de la seguridad social.
• Números de carné de conducir, números de tarjeta de identificación de Rhode Island y números de tarjeta de identificación tribal.
• Números de cuentas financieras, números de tarjetas de débito y crédito, así como cualesquiera otras contraseñas, códigos de seguridad, claves o códigos de acceso aplicables que pudieran utilizarse para permitir el acceso a la cuenta financiera de un residente de Rhode Island.
• Direcciones de correo electrónico, así como cualesquiera contraseñas, códigos de acceso o códigos de seguridad exigidos que pudieran utilizarse para permitir el acceso a la cuenta personal, de seguros, médica o financiera de un residente de Rhode Island.
• Información médica y del seguro de enfermedad.

En cuanto a la aplicación de la ley, las disposiciones del artículo 11-49.2-1 de las Leyes Generales de Rhode Island son aplicables por el Fiscal General de Rhode Island. Por consiguiente, el fiscal general de Rhode Island está facultado para imponer sanciones pecuniarias a las personas, empresas y organizaciones del Estado que infrinjan la ley. Dichas sanciones incluyen una multa de hasta 100 a 200 dólares por cada registro personal que se vea comprometido en el transcurso de una violación de datos, dependiendo de si las infracciones se cometieron de forma deliberada o no. Además, R.I. Gen. Laws § 11-49.2-1 también otorga al fiscal general de Rhode Island la autoridad para “iniciar una acción en nombre del Estado contra la empresa o persona infractora”.

¿Cómo pueden protegerse las empresas de Rhode Island contra las violaciones de datos?

Aunque cualquier empresa que recopile y procese constantemente información personal se enfrentará en algún momento a una situación en la que se produzca una violación de datos, existen medidas que pueden adoptarse para garantizar que la información personal permanezca segura durante tales ataques. Por ejemplo, las empresas pueden utilizar programas de software de redacción automática para proteger la información personal que utilizan en sus respectivas operaciones. Dado que estos programas de software hacen que la información personal sea ilegible o inutilizable, una empresa que ha redactado ciertas formas de información personal seguirá estando protegida en caso de que esta información se vea comprometida durante una violación de datos. Como tal, estas empresas también pueden evitar las fuertes multas y sanciones que pueden imponerse a las entidades que no cumplan con la legislación sobre violación de datos, como R.I. Gen. Laws § 11-49.2-1.

Dado que una gran parte de la población estadounidense hace uso de Internet en el curso de su rutina diaria, ya sea en forma de uso de los medios sociales o de clases en línea durante la pandemia mundial de COVID-19, la legislación que protege a los consumidores estadounidenses de los efectos adversos de las violaciones de datos son de suma importancia. Dicho esto, aunque algunos aspectos de R.I. Gen. Laws § 11-49.2-1 son algo arcaicos en comparación con otras leyes de este tipo en todo el país que se han actualizado en los últimos años, las disposiciones que se crearon en 2006 siguen proporcionando a los residentes del estado un fuerte nivel de protección en lo que respecta a las violaciones de datos y de seguridad. Con este fin, la ley proporciona a los residentes de Rhode Island los medios legales para buscar tanto justicia como compensación por cualquier daño que experimenten como resultado de la divulgación indebida o puesta en peligro de su información personal en el curso de una violación de datos.