Nueva legislación sobre violación de datos en Nuevo México

N.M. Stat. §§ 57-12C-1 – 57-12C-12, también conocida como H.B.1.5, es una ley de notificación de violación de datos que se aprobó en el estado estadounidense de Nuevo México en 2017. Nuevo México fue el estado número 48 dentro de los Estados Unidos en aprobar una legislación que obliga a las entidades comerciales y organizaciones que operan dentro del estado a proporcionar notificaciones de violación de datos a todas las personas y partes afectadas en caso de que ocurra una violación de seguridad. Dicho esto, N.M. Stat. §§ 57-12C-1 – 57-12C-12 establece los requisitos que las empresas y organizaciones son responsables de cumplir después de experimentar una violación de datos, y también faculta al fiscal general de Nuevo México para imponer sanciones contra aquellos que no cumplan con las disposiciones establecidas en la ley.

¿Cuál es el alcance y la aplicación de N.M. Stat. §§ 57-12C-1 – 57-12C-12?

En cuanto al alcance y la aplicación de la ley, las disposiciones establecidas en N.M. Stat. §§ 57-12C-1 – 57-12C-12 son aplicables a “particulares, empresas, entidades gubernamentales y otras entidades que posean, autoricen o mantengan información personal. Ciertas entidades pueden estar exentas de determinadas disposiciones de la ley o de todas ellas”. Por otra parte, la ley también establece que “una entidad que conserve información personal de la que no sea propietaria o licenciataria deberá notificar al propietario o licenciatario en el plazo más breve posible, pero a más tardar 45 días después del descubrimiento de una violación. La notificación al propietario o licenciatario no es necesaria si, tras la investigación pertinente, la entidad determina que la violación no supone un riesgo significativo de usurpación de identidad o fraude.”

¿Cuáles son los requisitos sobre violación de datos según N.M. Stat. §§ 57-12C-1 – 57-12C-12?

De acuerdo con otras leyes de notificación de violación de datos que se han aprobado a nivel estatal en los EE.UU., N.M. Stat. §§ 57-12C-1 – 57-12C-12 exige a las empresas y organizaciones del estado de Nuevo México que notifiquen a todas las partes afectadas en caso de que se produzca una violación de datos. Estas notificaciones deben proporcionarse a los residentes del estado de la manera más rápida posible, pero a más tardar 45 días después de que se haya descubierto la violación en cuestión. Si una violación de datos afecta a más de 1.000 residentes en Nuevo México, la entidad que ha sufrido la violación también es responsable de notificarlo al Fiscal General de Nuevo México. Hasta este punto, las notificaciones de violación de datos en virtud de N.M. Stat. §§ 57-12C-1 – 57-12C-12 también deben proporcionar a los residentes de Nuevo México la siguiente información:

• El nombre de la entidad y la información de contacto.
• Una descripción de la violación de la seguridad, en términos generales.
• La fecha, fecha estimada o intervalo de fechas en que se produjo la violación (si se conoce).
• Una lista de las categorías de información personal que se cree que se han visto comprometidas como resultado de la violación.
• Las direcciones y números de teléfono gratuitos de las tres principales agencias de informes crediticios de Estados Unidos (Equifax, Experian y TransUnion).
• Asesoramiento sobre la revisión de estados de cuenta personales y errores en los informes crediticios, así como los derechos de todos los ciudadanos estadounidenses en virtud de la Ley de Informes Crediticios Justos o FCRA (Fair Credit Reporting Act).

¿Qué categorías de información personal a protegidos bajo N.M. Stat. §§ 57-12C-1 – 57-12C-12?

En virtud de lo dispuesto en N.M. Stat. §§ 57-12C-1 – 57-12C-12, las siguientes categorías de información personal están legalmente protegidas en caso de que se produzca una violación de datos, en los casos en que dichos datos no hayan sido redactados, cifrados o inutilizados o ilegibles de otro modo:

• Números de la seguridad social.
• Números de carné de conducir y de tarjetas de identificación emitidas por el gobierno.
• Números de cuentas financieras, incluidos los números de tarjetas de crédito y débito, así como cualquier código de seguridad, contraseña o código de acceso que pudiera utilizarse para acceder a la cuenta financiera de una persona.

En lo que respecta a la aplicación de N.M. Stat. §§ 57-12C-1 – 57-12C-12, las disposiciones establecidas en la ley son aplicadas por el Procurador General de Nuevo México. En consecuencia, el Procurador General de Nuevo México está facultado para imponer las siguientes sanciones y penas a las entidades del Estado que infrinjan la ley:

• La presentación de un requerimiento judicial.
• Indemnización por los costes y pérdidas reales, incluidas las pérdidas consecuenciales.
• Una sanción pecuniaria de hasta 25.000 dólares por infracciones de la ley a sabiendas o por imprudencia.
• Una sanción pecuniaria de hasta 150.000 dólares por no proporcionar a los residentes de Nuevo México notificaciones de violación de datos cuando proceda.

A pesar del hecho de que Nuevo México fue uno de los últimos estados dentro de los EE.UU. en aprobar una legislación relativa a la regulación de las violaciones de seguridad, los requisitos de las empresas y organizaciones en virtud de la N.M. Stat. §§ 57-12C-1 – 57-12C-12 son particularmente rigurosos en comparación con muchas otras leyes de este tipo en todo el país. Con este fin, la promulgación de N.M. Stat. §§ 57-12C-1 – 57-12C-12 proporcionó a los residentes del estado de Nuevo México un fuerte nivel de protección legal contra las consecuencias adversas de las violaciones de datos, ya que tales ocurrencias pueden resultar desastrosas para la puntuación de crédito y las cuentas financieras de un individuo.