Ley de violación de la seguridad gubernamental en Florida

La Ley de Protección de la Información de Florida de 2014 o FIPA es una ley de protección de datos y ciberseguridad que se aprobó en el estado estadounidense de Florida en 2014. Mientras que la principal ley de notificación de violación de datos de Florida, Fla. Stat. § 501.171, se aplica a todos los incidentes de este tipo que se produzcan dentro del estado, la FIPA se aplica a entidades cubiertas específicas dentro de Florida, incluidas las agencias gubernamentales y sus agentes terceros y afiliados. Dicho esto, la FIPA esboza el marco jurídico que estas entidades cubiertas son responsables de cumplir en caso de que se produzca una violación de datos. Por otra parte, la ley también establece las medidas que estas entidades cubiertas deben tomar para garantizar que no se produzcan tales acontecimientos.

Cómo se definen las entidades cubiertas según la ley?

Según la Ley de Protección de la Información de Florida de 2014, una entidad cubierta se define como “una empresa unipersonal, sociedad, corporación, fideicomiso, patrimonio, cooperativa, asociación u otra entidad comercial que adquiere, mantiene, almacena o utiliza información personal. A efectos de los requisitos de notificación de las subsecciones (3)-(6), el término incluye una entidad gubernamental”. Alternativamente, la ley define una violación de datos como el “acceso no autorizado a datos en formato electrónico que contengan información personal. El acceso de buena fe a información personal por parte de un empleado o agente de la entidad cubierta no constituye una violación de la seguridad, siempre que la información no se utilice para un fin no relacionado con la actividad empresarial o sea objeto de un uso posterior no autorizado.”

¿Cuáles son los requisitos de notificación de violación de datos en virtud de la ley?

En virtud de la Ley de Protección de la Información de Florida de 2014, las entidades cubiertas que sufran una filtración de datos deben notificarlo a todas las partes afectadas. Además, las entidades cubiertas que sufran una filtración de datos también deben notificarlo al Departamento de Asuntos Legales de Florida. Estas notificaciones deben proporcionar a las personas y partes afectadas la siguiente información:

• Una sinopsis de los hechos que causaron la violación de los datos.
• Una descripción de las categorías de información personal a las que se ha accedido, o a las que razonablemente podría creerse que se ha accedido como consecuencia de la violación.
• La fecha real, la fecha estimada o el intervalo de datos en que se produjo la violación.
• El número de personas del Estado que se han visto o podrían haberse visto afectadas por la violación.
• Cualquier servicio relacionado con la violación que se ofrezca gratuitamente a las personas o partes afectadas, así como instrucciones sobre cómo utilizar dichos servicios.
• La información de contacto de un empleado o agente que trabaje en nombre de la entidad afectada y que pueda utilizarse para obtener más información sobre la violación, incluidos el nombre, la dirección física, la dirección de correo electrónico y el número de teléfono de dicho empleado o agente.

¿Qué categorías de información personal cubre la ley?

En virtud de la Ley de Protección de la Información de Florida de 2014, las siguientes categorías de información personal están protegidas legalmente en caso de que se produzca una filtración de datos, en combinación con el nombre o la inicial del nombre y los apellidos de una persona:

• Números de la seguridad social.
• Números del permiso de conducir y de la tarjeta de identificación estatal.
• Números de cuentas financieras y números de tarjetas de crédito y débito, así como cualquier código de seguridad, código de acceso o contraseña necesarios que puedan utilizarse para acceder a la cuenta financiera de una persona.
• Información relativa al historial médico de una persona, su estado físico o mental, o su estado o diagnóstico médico.
• El número de póliza de seguro médico de una persona o el número de identificación del suscriptor, así como cualquier identificador único utilizado por una aseguradora médica para identificar a una persona.
• Nombres de usuario y direcciones de correo electrónico en línea, así como contraseñas o preguntas de seguridad que puedan utilizarse para conceder acceso a la cuenta en línea de una persona.

En cuanto a la aplicación de la ley, las entidades cubiertas que no cumplan con la Ley de Protección de la Información de Florida de 2014 están sujetas a las siguientes sanciones:

• Una multa monetaria de hasta $1,000 por los primeros 30 días después de la infracción inicial.
• Una multa de hasta 50.000 dólares por cada periodo subsiguiente de 30 días o fracción hasta un máximo de 180 días.
• Una multa monetaria de hasta 500.000 dólares en los casos en que se produzca una infracción durante más de 180 días.

¿Cómo pueden las entidades cubiertas lograr el cumplimiento de la ley?

Dado que las entidades gubernamentales deben garantizar que mantienen la confidencialidad e integridad de toda la información personal que utilizan en el curso de sus respectivas funciones laborales, uno de los principales medios por los que dichas entidades pueden lograr el cumplimiento de una legislación como la FIPA es mediante el uso de software de redacción automática. Utilizando este tipo de programas, los empleados y agentes de las entidades gubernamentales pueden redactar información personal de archivos PDF, correos electrónicos, vídeos, imágenes de audio y contenido de audio, garantizando que la privacidad personal de todos los implicados esté protegida en todo momento. Además, como estos programas funcionan automáticamente, los usuarios también pueden reducir los errores humanos que a menudo pueden dar lugar a incumplimientos.

A diferencia de muchos otros estados de Estados Unidos, las disposiciones de la Ley de Protección de la Información de Florida de 2014 y Fla. Stat. § 501.171 proporciona a los residentes del estado dos capas de protección en lo que se refiere a las consecuencias adversas de verse implicado en una violación de datos o de seguridad. Mediante la promulgación de dicha legislación, estos residentes pueden tener la tranquilidad de que su información personal está siendo protegida en todos los niveles de la sociedad. Hasta este punto, muchos otros estados de EE.UU. seguramente aprobarán legislación sobre la violación de datos que afecta a determinadas empresas e industrias, ya que la amenaza inminente de la ciberdelincuencia sigue creciendo día a día.