Ley de notificación de violación de datos en la isla de Puerto Rico

El Estatuto 10 L.P.R.A. St § 4051, también conocido como la Ley de Notificación de Violación de Datos de Puerto Rico, es una ley de notificación de violación de datos que fue aprobada en el territorio estadounidense de Puerto Rico en 2006. A partir de 2022, todos los estados o territorios de los EE.UU. han aprobado algún tipo de legislación de notificación de violación de datos con el fin de proteger a los consumidores estadounidenses de las consecuencias adversas de una violación de datos. Con este fin, 10 L.P.R.A. St § 4051 establece los protocolos y procedimientos que las organizaciones y empresas dentro de Puerto Rico deben seguir en caso de que se produzca una violación de datos. Además, la ley también establece las sanciones que se pueden imponer a las empresas y organizaciones que no cumplan con las disposiciones establecidas en la ley.

¿Cómo se define una violación de datos?

Según la Ley 10 L.P.R.A. St § 4051, una violación de datos se define como “cualquier situación en la que se detecte que se ha permitido el acceso a personas o entidades no autorizadas a los ficheros de datos de forma que se haya comprometido la seguridad, confidencialidad o integridad de la información contenida en el banco de datos; o cuando hayan tenido acceso personas o entidades normalmente autorizadas y se conozca o exista sospecha razonable de que han violado el secreto profesional u obtenido autorización bajo falsa representación con la intención de hacer un uso ilícito de la información. Esto incluye tanto el acceso a los bancos de datos a través del sistema como el acceso físico a los soportes de grabación que contienen los mismos y cualquier sustracción o recuperación indebida de dichas grabaciones.”

¿Qué tipo de información personal está cubierta?

En virtud del Estatuto 10 L.P.R.A. St § 4051, las siguientes categorías de información personal están cubiertas por la ley, junto con el nombre, inicial o apellido de un individuo residente en Puerto Rico:

• Números de la seguridad social.
• Números de carné de conducir, identificación de votante o cualquier otra forma de identificación oficial.
• Las credenciales de cuentas financieras y bancarias, con o sin contraseñas o códigos de acceso asignados.
• Los nombres de los usuarios, así como las contraseñas y códigos de acceso que puedan utilizarse para sistemas privados o públicos.
• Información médica que esté protegida de acuerdo con la Ley de Portabilidad y Responsabilidad del Seguro Médico o HIPAA (Health Insurance Portability and Accountability Act).
• Información fiscal.
• Información relacionada con las evaluaciones laborales.

¿Cuáles son los requisitos de las empresas y organizaciones?

En virtud de la Ley 10 L.P.R.A. St § 4051, las empresas y organizaciones que realizan operaciones en Puerto Rico están obligadas a proporcionar a los consumidores del territorio avisos de violación de datos en caso de que se revele información personal de dichos consumidores como resultado de una violación de datos o de un incidente de seguridad relacionado. Estos avisos deben presentarse a las partes afectadas de forma clara y visible y describir las categorías de información personal que se revelaron en la violación en términos generales. Además, estos avisos también deben incluir un número de teléfono gratuito, así como un sitio web en Internet que los consumidores afectados puedan utilizar para obtener más información o asistencia en relación con la violación de datos que se produjo.

En cuanto a la aplicación del Estatuto 10 L.P.R.A. St § 4051, las disposiciones establecidas en la ley son aplicadas por el Secretario de Justicia de Puerto Rico. Como tal, las empresas y organizaciones que no proporcionan a los consumidores dentro de Puerto Rico avisos de violación de datos en el caso de que se produzca una violación de datos están sujetos a una serie de sanciones en virtud de la ley. Según establece la Ley 10 L.P.R.A. St § 4051, el “Secretario podrá imponer multas de quinientos dólares ($500) hasta un máximo de cinco mil dólares ($5,000) por cada violación a las disposiciones de este capítulo o sus reglamentos. Las multas dispuestas en esta sección no afectan los derechos de los consumidores a iniciar acciones o reclamaciones por daños y perjuicios ante un tribunal competente.”

A pesar del hecho de que el país de Puerto Rico es un territorio de EE.UU. en contraposición a un estado, la legislación de notificación de violación de datos dentro del país ha estado en vigor más de una década que muchas otras leyes estatales de este tipo que se han aprobado en los últimos años. Como tal, los residentes de Puerto Rico pueden estar seguros de que tienen los medios para recibir asistencia, justicia y, en última instancia, una indemnización por los daños y perjuicios sufridos como resultado de un incidente de violación de datos que conduzca a la divulgación no autorizada de su información personal. De esta manera, los residentes de la isla pueden disfrutar de un mayor nivel de protección de la privacidad, a pesar de que los EE.UU. aún no han aprobado una ley federal integral de privacidad de datos relativa a estas cuestiones.