Nueva ley de notificación de violaciones de datos en las Islas Vírgenes de EE.UU.
El Código de las Islas Vírgenes tit. 14, § 2208 (2019), también conocida como la Ley de Notificación de Violación de Datos de las Islas Vírgenes de los Estados Unidos, es una ley de notificación de violación de datos que se aprobó en 2019. Aunque las Islas Vírgenes de los Estados Unidos no son un estado dentro de los Estados Unidos, la nación es un territorio de los Estados Unidos y, como tal, el país ha aprobado una legislación de notificación de violación de datos de acuerdo con medidas legislativas similares que los demás estados y territorios dentro de los Estados Unidos han implementado todos a partir de 2022. En este punto, V.I. Code tit. 14, § 2208 (2019) establece los requisitos que las entidades y organizaciones comerciales dentro de las Islas Vírgenes de los Estados Unidos deben cumplir en caso de que dichas partes experimenten una violación de datos u otro incidente de seguridad relacionado que conduzca a la divulgación involuntaria de información personal.
¿Cómo se define una violación de datos?
Según el Código V.I. tit. 14, § 2208 (2019), una violación de datos se define como la “adquisición no autorizada de datos informatizados que compromete la seguridad, confidencialidad o integridad de la información personal mantenida por la agencia. La adquisición de buena fe de información personal por parte de un empleado o agente de la agencia para los fines de la agencia no es una violación de la seguridad del sistema, siempre que la información personal no se utilice ni esté sujeta a una divulgación posterior no autorizada.” Por el contrario, la ley define la información personal como “el nombre o la inicial del nombre y los apellidos de una persona en combinación con uno o más de los siguientes elementos de datos, cuando el nombre o los elementos de datos no estén codificados: números de la seguridad social, números del permiso de conducir y números de cuentas, números de tarjetas de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requeridos que permitan el acceso a la cuenta financiera de una persona.”
¿Cuáles son los requisitos de las entidades y organizaciones empresariales?
En virtud del V.I. Code tit. 14, § 2208 (2019), las empresas y organizaciones dentro de las Islas Vírgenes de los Estados Unidos están obligadas a proporcionar a los ciudadanos del territorio avisos de notificación de violación de datos en caso de que su información personal se vea comprometida o divulgada como resultado de una violación de datos. Estas notificaciones de violación de datos “deben hacerse en el plazo más breve posible y sin demora injustificada”, y contener información detallada sobre las categorías de información personal que se han visto comprometidas, y las medidas que una empresa u organización concreta ha tomado para determinar el alcance y la gravedad de la violación, así como para restaurar la integridad razonable del sistema de datos al que se accedió indebidamente como resultado de la violación, entre otros detalles pertinentes. Además, cuando se notifique una violación de datos a los consumidores de las Islas Vírgenes de los EE.UU., dicha notificación podrá realizarse utilizando uno de los siguientes métodos:
- Notificación por escrito.
- Notificación electrónica, siempre que “la notificación proporcionada sea coherente con las disposiciones relativas a los registros y firmas electrónicas establecidas en la sección 7001 del Título 15 del Código de los Estados Unidos”.
- Notificaciones sustitutorias, en los casos en que una empresa u organización demuestre que el coste de proporcionar notificaciones de violación de datos superaría el coste de 100.000 dólares, la clase afectada de individuos que fueron objeto de la violación de datos superaría los 50.000, o la empresa u organización que experimentó la violación de datos no tiene suficiente información de contacto.
En lo que respecta a las notificaciones sustitutorias relativas a incidentes de violación de datos, V.I. Code tit. 14, § 2208 (2019) ordena que tales notificaciones se hagan por correo electrónico en los casos en que una empresa u organismo tenga una dirección de correo electrónico en el archivo con respecto a las personas que han estado involucradas en la violación. Además, estos avisos también deben publicarse de forma visible en el sitio web de una empresa u organización determinada, siempre que la empresa u organización en cuestión mantenga un sitio web. Es más, la ley también exige que se notifique a los principales medios de comunicación de todo el territorio de las Islas Vírgenes de EE.UU. en los casos en que se produzca una violación de datos. En cuanto a las sanciones que puede acarrear el incumplimiento de la ley, “cualquier cliente perjudicado por una violación de la ley puede interponer una demanda civil para obtener una indemnización por daños y perjuicios”.
A medida que las violaciones de datos se han vuelto cada vez más comunes debido al nivel de información personal que el ciudadano promedio de todo el mundo revela a través de medios electrónicos, una legislación como V.I. Code tit. 14, § 2208 (2019) se ha vuelto más relevante que nunca. Como tal, los EE. UU. han ordenado efectivamente que todos los estados y territorios dentro de la nación aprueben algún tipo de legislación de notificación de violación de datos con el propósito de abordar tales incidentes de la manera más efectiva y eficiente posible. De esta manera, los ciudadanos de las Islas Vírgenes de EE.UU. pueden tener la tranquilidad de que su información personal estará protegida en caso de que sea objeto de una violación de datos, independientemente del hecho de que no residan en un estado de EE.UU..