Ley SHIELD de NY, legislación sobre filtración de datos

La ley neoyorquina Stop Hacks and Improve Electronic Data Security o SHIELD Act es una ley de notificación de violación de datos que modifica leyes anteriores de naturaleza similar en el estado de Nueva York e impone más restricciones y requisitos de seguridad de datos a las empresas que recopilan información de residentes de Nueva York. La Ley SHIELD se presentó y finalmente se aprobó en marzo de 2020 en respuesta a un informe realizado por la oficina del fiscal general del estado de Nueva York, Eric. T. Schneiderman que mostraba que el estado de Nueva York experimentó un aumento del 60 % en las violaciones de datos en 2016. Al imponer requisitos adicionales a las empresas que procesan la información personal de los consumidores del estado de Nueva York, la Ley SHIELD pretende ampliar el alcance de la privacidad de los consumidores y proporcionar una mejor protección a los consumidores de Nueva York frente a las violaciones de datos de su información personal.

Según la Ley Escudo, información personal puede significar cualquiera de las siguientes cosas:

• Un nombre de usuario o dirección de correo electrónico que se utiliza en combinación con una contraseña o pregunta y respuesta de seguridad que permitiría el acceso a una cuenta en línea, o
• Información personal que consista en cualquier información en combinación con cualquiera de los siguientes elementos de datos, cuando el elemento de datos o la combinación de la información personal y el elemento de datos no estén cifrados, o estén cifrados con una clave de cifrado que también haya sido adquirida o a la que se haya accedido. Número de la seguridad social, número del permiso de conducir o de la tarjeta de identificación de no conductor, número de cuenta, número de tarjeta de débito o de crédito, en combinación con cualquier código de acceso, contraseña, código de seguridad o cualquier otra información que permita acceder a la cuenta financiera de una persona. Número de cuenta, número de tarjeta de crédito o débito, si existen circunstancias en las que esta información podría utilizarse para acceder a la cuenta financiera de un individuo sin ninguna otra información de identificación, código de acceso, código de acceso o código de seguridad, e información biométrica.

¿Cuáles son los requisitos de la Ley SHIELD?

La Ley SHIELD introduce cambios significativos en la actual Ley General de Empresas 899aa, entre los que se incluyen:

• La ley amplía la definición de “información personal” – La Ley SHIELD amplía la definición de información personal para incluir información biométrica, números de cuenta, códigos de acceso, números de tarjetas de débito y crédito, direcciones de correo electrónico, nombres de usuario, contraseñas y preguntas y respuestas de seguridad.
• La ley amplía la definición de “violación”: con arreglo a la Ley General de Empresas 899aa, una violación se definía como “la adquisición no autorizada de datos informatizados”. En cambio, la ley SHIELD define una violación como “el acceso no autorizado a datos informatizados que comprometa la seguridad, confidencialidad o integridad de información privada”.
• La ley también proporciona ejemplos específicos de acceso no autorizado y actualiza los procedimientos que deben seguir las empresas en caso de violación.
• La ley amplía el ámbito territorial: la Ley General de Empresas 899aa se limitaba a las “partes que realizaban negocios en Nueva York”. Con la Ley SHIELD, este ámbito se amplía para incluir a cualquier persona o empresa que posea o autorice la información privada de un residente en Nueva York. Con esta definición ampliada, muchas empresas que antes no estaban sujetas a la Ley General de Empresas 899aa ahora deben adherirse a la Ley SHIELD.
• La ley impone nuevos requisitos de seguridad de los datos: la Ley SHIELD obliga a las empresas y negocios a adoptar salvaguardias razonables para proteger la seguridad, confidencialidad e integridad de la información personal. Se aconseja a las empresas y negocios que apliquen un programa de seguridad de datos que incluya medidas específicas, evaluaciones de riesgos, formación de los empleados, contratos con proveedores y eliminación oportuna de los datos. Además, también exige a las entidades empresariales que designen a un empleado para supervisar las operaciones de ciberseguridad.

¿Cómo garantizan las empresas el cumplimiento de la Ley SHIELD?

Se considera que las entidades comerciales cumplen la Ley SHIELD si aplican salvaguardias razonables para impedir la filtración de datos o información personales de un consumidor. Esto incluye salvaguardias administrativas, físicas y técnicas, y la ley ofrece los siguientes medios para promulgar estas salvaguardias y, a su vez, garantizar el cumplimiento:

• Salvaguardias administrativas: se aconseja a las empresas que seleccionen cuidadosamente a los proveedores y establezcan salvaguardias por contrato, formen a los empleados en las prácticas y procedimientos del programa de seguridad, designen a un empleado como responsable del programa de seguridad, realicen evaluaciones de riesgos y ajusten los programas de seguridad a lo largo del tiempo a medida que cambie la empresa.
• Salvaguardias físicas: se aconseja a las empresas que creen sistemas para prevenir, detectar y responder a las intrusiones físicas, evaluar los riesgos de almacenamiento y eliminación de la información, eliminar la información personal en un plazo razonable y protegerse contra el acceso no autorizado a la información privada en cualquier momento durante la recogida, el transporte o la eliminación de dicha información.
• Salvaguardias técnicas: se aconseja a las empresas que identifiquen los riesgos en el diseño de redes y programas informáticos, identifiquen los riesgos en el almacenamiento, tratamiento y transmisión de la información, prevengan, detecten y respondan a los fallos y ataques del sistema, y supervisen y comprueben la eficacia de los controles y procedimientos del sistema.

¿Cuáles son las sanciones por infringir la Ley SHIELD?

Las entidades comerciales que no cumplan la Ley SHIELD están sujetas a sanciones civiles por un total de 5.000 dólares por infracción. Es más, las empresas y sociedades también están sujetas a una multa de 250.000 dólares por no notificar debidamente a las autoridades competentes los casos en que se produzcan violaciones de datos. La Ley SHIELD hace excepciones para las pequeñas empresas que emplean a menos de 50 personas y generan menos de 3 millones en ingresos anuales, pero estas empresas siguen estando obligadas a aplicar medidas de seguridad acordes con el tamaño y el alcance de sus operaciones. Todas las infracciones de la ley SHIELD se consideran prácticas comerciales engañosas y son aplicadas por el Fiscal General de Nueva York.

La ley SHIELD del estado de Nueva York es una de las muchas leyes sobre privacidad de datos en línea que se han aprobado en Estados Unidos en los últimos años. Dado que la información personal de los consumidores se recopila a través de Internet más que nunca, legislaciones estatales como la Ley SHIELD son cada vez más necesarias en todo el país. Aunque Estados Unidos aún no ha aprobado una ley general de protección de datos de los consumidores a nivel federal, no cabe duda de que esa legislación está en el horizonte. Con la Ley SHIELD, los consumidores del estado de Nueva York están un paso más cerca de que su información y datos personales estén protegidos en todo momento cuando utilizan Internet.