Lucha contra los incidentes de violación de la seguridad en Luisana
September 22, 2024 | 5 minutes read
La. Rev. Stat. §§ 51:3071, también conocida como Ley de notificación de violaciones de seguridad de bases de datos, es una ley de notificación de violaciones de seguridad aprobada en el estado de Luisiana en 2006. La Ley de notificación de violaciones de seguridad de bases de datos establece las directrices legales que deben seguir las entidades y organizaciones empresariales de Luisiana en caso de que se produzca una violación de seguridad. Además, la ley también establece las sanciones que pueden imponerse a los individuos, empresas y organizaciones que no cumplan la ley. Como tal, la Ley de notificación de violaciones de seguridad de bases de datos es la ley principal que rige las violaciones de datos en el estado de Luisiana.
¿Cómo se define una violación de la seguridad?
Según la Ley de notificación de violaciones de la seguridad de las bases de datos, una violación de la seguridad se define como “el compromiso de la seguridad, confidencialidad o integridad de los datos informatizados que da lugar, o existe una base razonable para concluir que ha dado lugar, a la adquisición no autorizada y al acceso a la IP mantenida por una Entidad”. Por el contrario, la “adquisición de buena fe de IP por un empleado de la Entidad para los fines de la Entidad no constituye una violación de la seguridad del sistema, siempre que la IP no se utilice para, o no sea objeto de, divulgación no autorizada.” Además, en lo que respecta al alcance y la aplicación de la ley, La. Rev. Stat. §§ 51:3071 se aplica a “cualquier persona física, sociedad, asociación, empresa unipersonal, sociedad anónima, empresa conjunta o cualquier otra entidad jurídica que desarrolle su actividad en LA”.
¿Cuáles son los requisitos de las empresas y organizaciones?
La. Rev. Stat. §§ 51:3071 obliga a las empresas y organizaciones del Estado de Luisiana a notificar a los residentes del Estado las violaciones de seguridad que se produzcan. Estos avisos deben facilitarse a los residentes de Luisiana en un plazo de 60 días a partir del descubrimiento de la violación, y deben proporcionarles información sobre las categorías de información personal que se vieron comprometidas como resultado de la violación, así como el alcance y la gravedad de la violación en cuestión, entre otros detalles pertinentes. Estas notificaciones pueden facilitarse a los consumidores por escrito o en formato electrónico, siempre que las comunicaciones electrónicas facilitadas sean “coherentes con las disposiciones relativas a los registros y firmas electrónicas establecidas en 15 U.S.C. § 7001 (Ley E-SIGN)”.
Por el contrario, las agencias, empresas y organizaciones de Louisana también están autorizadas a proporcionar a los consumidores notificaciones sustitutorias de violaciones de seguridad en determinadas circunstancias. Dichas circunstancias incluyen los casos en los que una entidad demuestre que proporcionar notificaciones estándar de violación de seguridad a los consumidores superaría los 100.000 dólares, el número de consumidores afectados por la violación supere los 100.000 o la entidad que sufrió la violación no disponga de suficiente información de contacto para proporcionar notificaciones estándar de violación de seguridad. Estas notificaciones sustitutorias deben incluir lo siguiente
- Notificación por correo electrónico a las personas afectadas, permitiendo que la entidad que experimentó la violación tenga acceso a dicha información.
- “Publicación visible de la notificación en el sitio web de la Entidad, si la Entidad mantiene uno”.
- Notificación a los principales medios de comunicación de Luisana.
¿Qué categorías de información personal están protegidas?
En virtud de la Ley de notificación de violaciones de la seguridad de bases de datos, las siguientes categorías de información personal están legalmente protegidas en caso de que se vean comprometidas como resultado de una violación de datos, junto con el nombre o la inicial y el apellido de un residente de Louisana, cuando el elemento de datos en cuestión no haya sido cifrado o redactado:
- Números de la seguridad social.
- Números de carné de conducir y de tarjeta de identificación estatal.
- Números de cuenta, números de tarjeta de crédito, números de tarjeta de débito, así como cualquier código de acceso, código de seguridad o contraseña necesarios que pudieran utilizarse para acceder a la cuenta financiera de una persona.
- Números de pasaporte.
- “Datos biométricos”. Por “datos biométricos” se entienden los datos generados por mediciones automáticas de las características biológicas de un individuo, como las huellas dactilares, la huella vocal, la retina del ojo o el iris, u otra característica biológica única que sea utilizada por el propietario o licenciatario para autenticar de forma única la identidad de un individuo cuando éste accede a un sistema o cuenta.”
En cuanto a la aplicación de la Ley de Notificación de Infracciones de Seguridad de Bases de Datos, la ley es aplicada por el Fiscal General de Louisana. En este punto, el Fiscal General de Luisana tiene autoridad para imponer una serie de sanciones a las entidades y organizaciones empresariales del estado que incumplan la ley. Dichas sanciones incluyen una multa de hasta 5.000 dólares por infracción. Es más, las empresas y organizaciones de Luisiana también están obligadas a notificar al Fiscal General de Luisiana en un plazo de 10 días a partir del descubrimiento de una violación de seguridad, o se enfrentan a sanciones adicionales por cada día en que no se proporcione dicha notificación.
La Ley de notificación de violaciones de seguridad de bases de datos de Luisiana representa el principal medio por el que la información personal de los ciudadanos del estado está legalmente protegida contra las violaciones de seguridad. A través de las diversas disposiciones establecidas en la ley, los residentes en Luisiana pueden tener la tranquilidad de que podrán recibir justicia en caso de que su información personal se vea comprometida como resultado de una violación de datos. Legislación como La. Rev. Stat. §§ 51:3071 es muy necesaria en lugar de una ley general de protección de datos a nivel estatal, como la Ley de Protección de Datos de los Consumidores de Virginia y la Ley de Derechos de Privacidad de California.