Ley de violación de datos en NJ, castigos severos

December 09, 2024 | 5 minutes read
Ley de violación de datos en NJ, castigos severos

N.J. Stat. §§ 56:8-161, 163, 165 – 166, también conocida como Data Breach Notification Statute, es una ley de notificación de violación de datos que se aprobó en el estado de Nueva Jersey en 2005. N.J. Stat. §§ 56:8-161, 163, 165 – 166 establece tanto el protocolo que las entidades y organizaciones empresariales del Estado de Nueva Jersey deben seguir en caso de que se produzca una violación de la seguridad o de los datos, como las sanciones que pueden imponerse a las personas y entidades que infrinjan la ley. A tal efecto, N.J. Stat. §§ 56:8-161, 163, 165 – 166 ofrece a los residentes de Nueva Jersey una vía de recurso en caso de que su información personal se vea comprometida a raíz de una violación de datos.

¿Cómo se define una violación de la seguridad con arreglo a N.J. Stat. §§ 56:8-161, 163, 165 – 166?

En virtud de la Ley de Notificación de la Violación de Datos de Nueva Jersey, una violación de la seguridad se define como el “acceso no autorizado a archivos electrónicos, soportes o datos que contengan información personal que comprometa la seguridad, confidencialidad o integridad de la información personal cuando el acceso a la información personal no se haya asegurado mediante encriptación o mediante cualquier otro método o tecnología que haga que la información personal sea ilegible o inutilizable”. Alternativamente, la “divulgación de una violación de seguridad a un cliente no será requerida bajo esta sección si la empresa o entidad pública establece que el mal uso de la información no es razonablemente posible. Cualquier determinación se documentará por escrito y se conservará durante cinco años”.

¿Cuáles son los requisitos de notificación de violación de datos en virtud de N.J. Stat. §§ 56:8-161, 163, 165 – 166?

Al igual que otras leyes sobre notificación de violaciones de la seguridad que se han aprobado en los Estados Unidos en la última década, N.J. Stat. §§ 56:8-161, 163, 165 – 166 exige que las entidades y organizaciones empresariales notifiquen a los residentes del Estado las violaciones de seguridad de los datos en caso de que se produzca un incidente de este tipo. Estas notificaciones deben proporcionarse a los residentes del estado de Nueva Jersey sin demora injustificada, y deben ser coherentes con las necesidades legítimas de la aplicación de la ley, así como con cualquier medida que haya tomado la entidad afectada para determinar el alcance y la gravedad de la violación. Además, las entidades afectadas también son responsables de proporcionar a los residentes información relativa a las medidas que se han adoptado para restablecer la integridad razonable del sistema de datos en el que se produjo la violación.

Por otra parte, las entidades y organizaciones empresariales que sufran una violación de datos en el Estado de Nueva Jersey también están obligadas a notificarlo “a la División de Policía Estatal del Departamento de Derecho y Seguridad Pública para su investigación o tratamiento, que puede incluir la difusión o remisión a otras entidades policiales apropiadas.” Además, si un incidente de violación de datos afecta a más de 1.000 residentes en Nueva Jersey, la entidad u organización que haya sufrido la violación también es responsable de notificarlo a las tres principales agencias de información crediticia de EE.UU. (TransUnion, Equifax y Experian), sin demora injustificada.

¿Qué categorías de información personal están cubiertas por N.J. Stat. §§ 56:8-161, 163, 165 – 166?

En virtud de los N.J. Stat. §§ 56:8-161, 163, 165 – 166, las siguientes categorías de información personal están protegidas en caso de que se produzca una violación de datos, en combinación con el nombre o la inicial del nombre y los apellidos de un residente de Nueva Jersey:

En cuanto a la aplicación de N.J. Stat. §§ 56:8-161, 163, 165 – 166, el Fiscal General de Nueva Jersey se encarga de hacer cumplir las disposiciones establecidas en la ley. Dicho esto, el Fiscal General de Nueva Jersey está facultado para imponer las siguientes sanciones y penas a los organismos, entidades empresariales y organizaciones del Estado que incumplan la ley:

Para ilustrar mejor la gravedad potencial de los castigos que pueden imponerse a las entidades y organizaciones empresariales del estado de Nueva Jersey que incumplan las disposiciones establecidas en N.J. Stat. §§ 56:8-161, 163, 165 – 166, la empresa tecnológica estadounidense Vizio fue condenada a pagar 2,2 millones de dólares a la Comisión Federal de Comercio o FTC y al Estado de Nueva Jersey en 2017, así como 915.940 dólares en concepto de sanciones civiles y 84.060 dólares en concepto de costes legales y de investigación. Estas multas se impusieron después de que se descubriera que Vizio había recopilado el historial de visualización de 11 millones de Smart Televisions sin obtener primero su consentimiento. A continuación, Vizio vendió estos datos a varias empresas de marketing y corredores de datos.

Mediante la promulgación de N.J. Stat. §§ 56:8-161, 163, 165 – 166 en 2005, se proporcionó a los residentes de Nueva Jersey protección jurídica en lo que respecta a la divulgación no autorizada de información personal relacionada con violaciones de seguridad. Aunque todos los estados y territorios importantes de los EE.UU. han aprobado algún tipo de legislación sobre notificación de violaciones de datos a partir de 2022, muchas de estas leyes aún no han dado lugar a ninguna acción de aplicación importante. Como tal, el caso de Vizio en 2017 proporciona un aviso nacional a las entidades y organizaciones empresariales de los EE.UU. en lo que respecta a los requisitos legales que deben cumplirse en virtud de las disposiciones de la Ley de Notificación de Violación de Datos de Nueva Jersey.

Related Reads

canada-facial-recognition-new-calls-for-regulation
December 13, 2024 | 5 minutes read
Canadá, reconocimiento facial, peticiones de regulación

Los defensores de la privacidad en Canadá piden al gobierno federal que establezca restricciones y leyes sobre el uso de la tecnología de reconocimiento facial.

Conozca Más »
data-warehouses-new-privacy-laws-and-business
December 13, 2024 | 5 minutes read
Almacenes de datos, nuevas leyes de privacidad y empresas

Un almacén de datos se define como un depósito de datos generados y recogidos por los distintos sistemas operativos de una empresa.

Conozca Más »
the-payment-application-data-security-standard-pa-dss
December 13, 2024 | 4 minutes read
Norma de seguridad de datos de aplicaciones de pago (PA-DSS)

La PA-DSS hace referencia a un conjunto de requisitos orientados a ayudar a los proveedores de software a mantener seguras las aplicaciones de pago.

Conozca Más »
what-is-tiny-ml-what-are-its-business-applications
December 13, 2024 | 5 minutes read
¿Qué es Tiny ML? ¿Cuáles son sus aplicaciones empresariales?

Tiny ML es un campo del aprendizaje automático que estudia modelos ejecutables en dispositivos pequeños y de baja potencia, como microcontroladores.

Conozca Más »
data-anonymization-privacy-and-business-security
December 13, 2024 | 5 minutes read
Anonimización de datos, privacidad y seguridad empresarial

La anonimización de datos protege la información personal al modificarla para que no se pueda identificar a una persona.

Conozca Más »
what-is-a-data-flow-diagram-privacy-compliance
December 13, 2024 | 5 minutes read
¿Qué es un diagrama de flujo de datos? La privacidad

Los mapas de flujo de datos son un método para trazar el flujo de datos a través de un proceso o físicamente a través de una red con fines de privacidad.

Conozca Más »