Nueva ley sobre violación de datos en el territorio estadounidense de Guam
9 G.C.A. § 48.10, también conocida como la Ley de Notificación de Violación de Datos de Guam, es una ley de violación de datos y privacidad personal que se aprobó en el territorio estadounidense de Guam en 2019. 9 G.C.A. § 48.10 se aprobó de acuerdo con los medios legislativos que otros estados y territorios dentro de los Estados Unidos han tomado en la última década con el propósito de proteger a los ciudadanos y consumidores dentro de los Estados Unidos en caso de que su información personal se divulgue indebidamente como resultado de una violación de datos o un incidente de seguridad relacionado. Posteriormente, 9 G.C.A. § 48.10 establece los pasos y medidas que los organismos, entidades empresariales y organizaciones del territorio de Guam son responsables de adoptar en caso de que sufran una violación de datos.
¿Cómo se define la violación de datos en 9 G.C.A. § 48.10?
Según 9 G.C.A. § 48.10, una violación de datos se define como “el acceso no autorizado y la adquisición de datos informatizados no codificados y no redactados que comprometen la seguridad o confidencialidad de la información personal mantenida por un individuo o entidad como parte de una base de datos de información personal relativa a múltiples individuos y que causa, o el individuo o entidad cree razonablemente que ha causado o causará, el robo de identidad u otro fraude a cualquier residente de Guam”. Por otra parte, en lo que respecta al alcance y la aplicación de la ley, 9 G.C.A. § 48.10 se aplica a “particulares, empresas, entidades gubernamentales y otras entidades que posean, autoricen o mantengan información personal”. Por el contrario, las disposiciones de la ley no se aplican a la información personal que haya sido codificada o redactada.
¿Cuáles son los requisitos de los organismos, empresas y organizaciones en virtud de 9 G.C.A. § 48.10?
En virtud de 9 G.C.A. § 48.10, los organismos, empresas y organizaciones que desarrollen sus actividades en el territorio de Guam son responsables de proporcionar a todas las partes afectadas notificaciones de violación de datos en caso de que se produzca un incidente de este tipo. Estas notificaciones deben facilitarse a las partes afectadas sin demora injustificada y proporcionar a dichas partes información que incluya las categorías de información personal que fueron reveladas como resultado de la violación de datos, así como cualquier medida que la empresa u organización haya adoptado para determinar el alcance y la gravedad de la violación de datos, entre otros detalles pertinentes. Con este fin, las siguientes formas de información personal, junto con un “nombre, o inicial del nombre, y apellido en combinación con y vinculado a uno o más de los siguientes elementos de datos que no están codificados ni redactados”, están protegidos en virtud de 9 G.C.A. § 48.10:
- Números de la seguridad social.
- Números del permiso de conducir o de la tarjeta de identificación de Guam que pueda expedirse en lugar del permiso de conducir.
- Números de cuentas financieras, números de tarjetas de crédito o débito, así como cualquier código de acceso, código de seguridad o contraseña requeridos que permitan acceder a las cuentas financieras de una persona o a sus registros relacionados.
¿Cuáles son las excepciones a 9 G.C.A. § 48.10?
Las empresas y organizaciones de Guam pueden proporcionar notificaciones de datos sustitutorias a las partes afectadas en caso de que se produzca una violación de datos, aunque en determinadas circunstancias. Tales circunstancias incluyen los casos en los que proporcionar notificaciones estándar de violación de datos costaría a una empresa u organización más de 10.000 dólares, las partes afectadas suman más de 5.000 individuos, o una empresa u organización no tiene suficiente información de contacto o consentimiento para proporcionar a las partes afectadas la notificación estándar. Además, estas notificaciones sustitutorias deben enviarse por correo electrónico si la empresa u organización afectada dispone de dicha información de contacto, deben publicarse de forma visible en el sitio web de la empresa u organización, siempre que disponga de uno, y deben enviarse también a los principales medios de comunicación del territorio de Guam.
Por otra parte, en lo que respecta a la aplicación de la ley, 9 G.C.A. § 48.10 es aplicada por la Oficina del Fiscal General de Guam. Como tal, las organizaciones y empresas de Guam que no cumplan las disposiciones establecidas en la ley están sujetas a una serie de sanciones. Tal y como establece la ley, una “violación que provoque daños o pérdidas puede ser ejecutada por el Fiscal General, que tiene autoridad exclusiva para iniciar una acción por daños reales o por una sanción civil que no exceda de 150.000 dólares por violación de la seguridad del sistema o por serie de violaciones similares descubiertas en una única investigación”. Además, los terceros que recopilen o procesen información personal en nombre de una empresa u organización de Guam también están sujetos a estas sanciones si se descubre que han infringido la ley.
Dado que los cincuenta estados de los Estados Unidos habían aprobado efectivamente algún tipo de ley de notificación de violación de datos en 2018, los otros territorios que componen los Estados Unidos han promulgado leyes similares en los últimos años. Como resultado de tales avances, la Ley de Notificación de Violación de Datos de Guam se aprobó en 2019 con el propósito de garantizar que la información personal de los residentes del territorio esté protegida en caso de que dicha información se divulgue indebidamente en una violación de datos. Hasta este punto, a pesar de que Estados Unidos aún no ha aprobado una ley federal integral de privacidad de datos como la ley GDPR de la UE, cada sector dentro del país ahora tiene algún tipo de cobertura de notificación de violación de datos, ya sea una jurisdicción estatal o territorial oficial.