Nueva ley de notificación de violaciones de datos en D.C.

Statute § 28-3852., también conocida como Ley de Notificación de Violación de Datos del Distrito de Columbia, es una ley de notificación de violación de datos que fue aprobada originalmente en el distrito federal y capital de los EE.UU., Washington D.C., en 2007 y recientemente modificada en 2020. Ley § 28-3852. Establece los requisitos para las empresas y organizaciones que operan en Washington D.C. en caso de que dichas entidades sufran una violación de datos que dé lugar a la divulgación no autorizada de información personal. Además, la ley también establece las sanciones a las que se exponen las empresas y organizaciones de Washington D.C. en caso de incumplimiento de las disposiciones establecidas en la ley.

¿Cómo se define una violación de datos en el artículo 28-3852 de la Ley?

Con arreglo al artículo 28-3852 de la Ley, una violación de datos se define como la “adquisición no autorizada de datos informatizados u otros datos electrónicos, o de cualquier equipo o dispositivo que almacene dichos datos, que comprometa la seguridad, confidencialidad o integridad de la información personal mantenida por la persona o entidad que desarrolla su actividad en el Distrito de Columbia”. Hay excepciones para la adquisición de “buena fe” de información personal, la adquisición de datos inutilizables por terceros no autorizados (a menos que la información pueda comprometer la protección de la seguridad), y la adquisición de datos personales que se determine razonablemente que es poco probable que resulten perjudiciales para el individuo tras consultar con la Oficina del Fiscal General.”

¿Cuáles son los requisitos de las empresas y organizaciones en virtud del artículo 28-3852 de la Ley?

El artículo 28-3852 de la Ley exige que los organismos, empresas y organizaciones que operen en Washington D.C. notifiquen la violación de los datos a las partes afectadas en caso de incidente. Estos avisos deben incluir la siguiente información

• Una descripción de las categorías de información personal que fueron reveladas como resultado de la violación.
• La información de contacto específica de la persona o entidad que ha proporcionado la notificación.
• La información de contacto específica de las 3 principales agencias de informes de crédito al consumidor de EE.UU., así como “una declaración sobre el derecho del residente a obtener una congelación de seguridad sin coste alguno y sobre cómo solicitarla”.
• Información de contacto específica para la Comisión Federal de Comercio o FTC, la Oficina del Fiscal General para el Distrito de Columbia, así como una “declaración sobre cómo obtener información de estas fuentes sobre el robo de identidad.”

Es más, de acuerdo con las enmiendas que se hicieron al Estatuto § 28-3852. en 2020, las empresas y organizaciones dentro de Washington D.C. tienen que cumplir requisitos adicionales en caso de que experimenten una violación de datos que afecte a más de 50 residentes dentro de la ciudad. Hasta ese momento, las empresas y organizaciones dentro de Washington D.C. también deben proporcionar avisos que contengan la siguiente información en caso de que experimenten una violación de datos que afecte a más de 50 individuos:

• El nombre o la información de contacto de la persona o entidad que informa de la violación de datos.
• El nombre o la información de contacto de la persona o entidad que ha sufrido la violación de datos.
• La naturaleza de la violación de datos.
• Las categorías de información personal que se han visto comprometidas como resultado de la violación.
• El número de residentes de Washington D.C. que se han visto afectados por la violación de datos.
• La causa específica de la violación.
• Cualquier medida correctiva que se haya tomado para solucionar la infracción.
• La fecha concreta y el período de tiempo durante el cual se produjo la violación.
• La dirección y ubicación de la sede corporativa de una empresa u organización, siempre que dicha sede se encuentre fuera de Washington D.C.
• Cualquier conocimiento relativo a la participación extranjera en la violación de datos.
• Un ejemplo de notificación a todos los residentes en Washington D.C.

¿Cuáles son las sanciones por infringir la Ley 28-3852?

En lo que respecta a la aplicación de la Ley § 28-3852, ésta es aplicada tanto por la Comisión Federal de Comercio (FTC) como por el Fiscal General del Distrito de Columbia. Como tales, estas entidades están facultadas para imponer una serie de sanciones y penalizaciones a las agencias, empresas y organizaciones que no cumplan las disposiciones establecidas en la ley. Con este fin, como se indica en el Estatuto § 28-3852, “las violaciones de la Ley de Notificación de Brechas pueden ser consideradas ‘práctica[s] comercial[es] desleal[es] y engañosa[s]’ bajo la ley de DC, sometiendo a las entidades a pagar a los consumidores el triple de daños o $ 1500 por violación, así como daños reales.” Además, “cuando se crea razonablemente que una violación de datos incluye números de la seguridad social o números de identificación fiscal de residentes de DC, la entidad afectada debe ofrecer a los residentes de DC afectados protección contra el robo de identidad sin coste alguno durante al menos 18 meses”.

Mediante la modificación del artículo 28-3852 de la Ley, los residentes de la ciudad de Washington D.C. cuentan con un mayor nivel de protección en lo que respecta a las violaciones de datos y otros incidentes de seguridad relacionados que conducen a la divulgación no autorizada de información personal. Como las disposiciones de la ley obligan a las empresas y organizaciones a divulgar más información en caso de que una violación de datos afecte a más de 50 residentes en la ciudad, los ciudadanos de la capital del país pueden estar seguros de que se les proporcionará toda la información que necesiten para rectificar su situación en caso de que se acceda indebidamente a su información personal como consecuencia de una violación de datos.