Nueva ley sobre violación de datos en Illinois, sanciones más duras

815 ILCS §§ 530/1 a 530/25 es una ley de notificación de violación de datos que se aprobó originalmente en el estado estadounidense de Illinois en 2006 y se modificó recientemente en 2020. 815 ILCS §§ 530/1 a 530/25 establece los requisitos legales que las empresas y organizaciones de Illinois deben seguir en caso de que experimenten una violación de datos o de seguridad. Además, 815 ILCS §§ 530/1 a 530/25 también establece las diversas sanciones que pueden imponerse a los organismos, empresas y organizaciones que no cumplan las disposiciones establecidas, que pueden incluir tanto sanciones pecuniarias como responsabilidad civil.

¿Cómo se define una violación de la seguridad con arreglo a 815 ILCS §§ 530/1 a 530/25?

Bajo 815 ILCS §§ 530/1 a 530/25, una violación de seguridad se define como “una adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de PI mantenida por la entidad.” Por el contrario, la “adquisición de buena fe de IP por un empleado o agente de la Entidad para un fin legítimo de la Entidad no constituye una violación de la seguridad, siempre que la IP no se utilice para un fin no relacionado con la actividad de la Entidad o sea objeto de una divulgación ulterior no autorizada.” Por otra parte, en cuanto al alcance y aplicación de la ley, 815 ILCS §§ 530/1 a 530/25 se aplica a todos los recopiladores de datos dentro del estado de Illinois, que pueden incluir agencias gubernamentales, instituciones financieras y universidades privadas y públicas, entre otros.

¿Cuáles son los requisitos que deben cumplir las organizaciones y empresas en virtud de 815 ILCS §§ 530/1 a 530/25?

En virtud de 815 ILCS §§ 530/1 a 530/25, las agencias, empresas y organizaciones que recopilan información personal de residentes en el estado de Illinois son responsables de proporcionar a los residentes del estado notificaciones de violación de datos en caso de que dichas entidades sufran una violación de datos o de seguridad. Estas notificaciones de violación deben proporcionar a los ciudadanos información sobre la violación de seguridad, incluidas las categorías de información personal que se divulgaron, así como el alcance y la gravedad de la violación, entre otros detalles pertinentes. Por otra parte, las empresas y organizaciones también están obligadas a notificar al Fiscal General de Illinois en los casos en que una violación de datos afecte a más de 500 residentes en el estado.

Además, la ley también contiene otros requisitos en relación con los organismos estatales de Illinois. En virtud de 815 ILCS §§ 530/1 a 530/25, los organismos estatales de Illinois que sufran una violación de datos que dé lugar a la divulgación de “datos del sistema o material escrito deberán presentar un informe a la Asamblea General en el plazo de cinco días hábiles desde el descubrimiento o la notificación de la violación en el que se enumeren las violaciones y se expongan las medidas correctivas que se hayan adoptado para evitar futuras violaciones. Toda agencia que haya presentado un informe en virtud de la ley deberá presentar un informe anual en el que se enumeren todas las violaciones de la seguridad y las medidas correctoras que se hayan adoptado para evitar futuras violaciones.”

¿Qué categorías de información personal están protegidas en virtud de 815 ILCS §§ 530/1 a 530/25?

En virtud de 815 ILCS §§ 530/1 a 530/25, las siguientes categorías de información personal están cubiertas por la ley, junto con el nombre o la inicial y el apellido de un residente de Illinois, siempre que el nombre o los elementos de datos asociados no estén redactados o cifrados, o que se haya accedido ilegítimamente a las claves para redactar o descifrar dichos datos:

• Números de la seguridad social.
• Números de carné de conducir y de tarjeta de identificación estatal.
• Números de cuenta, números de tarjeta de débito y números de tarjeta de crédito, así como cualquier código de seguridad, código de acceso o contraseña que pueda utilizarse para conceder acceso a dichas cuentas financieras.
• “Información médica (cualquier información relativa al historial médico de una persona, a su estado mental o físico, o al tratamiento o diagnóstico médico realizado por un profesional sanitario, incluida la información de este tipo facilitada a un sitio web o a una aplicación móvil).”
• “Información sobre seguros de salud (número de póliza de seguro de salud o número de identificación del suscriptor, cualquier identificador único utilizado por un asegurador de salud para identificar al individuo, o cualquier información médica en la solicitud de seguro de salud de un individuo y el historial de reclamaciones, incluido cualquier registro de apelaciones).”
• “Datos biométricos únicos generados a partir de mediciones o análisis técnicos de características del cuerpo humano utilizados por el propietario o licenciatario para autenticar a un individuo, como una huella dactilar, una imagen de la retina o del iris, u otra representación física única o representación digital de datos biométricos.”

¿Cuáles son las sanciones por infringir 815 ILCS §§ 530/1 a 530/25?

Las disposiciones establecidas en 815 ILCS §§ 530/1 a 530/25 son aplicadas por el Fiscal General de Illinois. Además, las infracciones de 815 ILCS §§ 530/1 a 530/25 también se consideran “prácticas ilícitas en virtud de la Ley de Fraude al Consumidor y Prácticas Comerciales Engañosas y están sujetas a todas las sanciones aplicables en virtud de la CFDBPA”. Para ello, las empresas y organizaciones del estado que incumplan la ley están sujetas a sanciones tanto monetarias como de responsabilidad civil. Dichas sanciones incluyen:

• Una orden judicial.
• La revocación del derecho a realizar negocios dentro del estado de Illinois.
• Sanciones civiles de hasta 50.000 dólares.
• Sanciones pecuniarias de hasta 50.000 dólares por infracción, en los casos en que se determine que una entidad del estado de Illinois ha defraudado intencionadamente a ciudadanos del estado en relación con el acceso o uso no autorizados de información personal.
• Otras sanciones de hasta 10.000 dólares en los casos en que las víctimas de una violación de datos o de seguridad incluyan a residentes del estado de Illinois mayores de 65 años.

Dado que los 50 estados y todos los demás territorios de EE.UU. han aprobado algún tipo de legislación sobre violación de datos a partir de 2022, 815 ILCS §§ 530/1 a 530/25 representa el principal medio legal de protección de la información personal en caso de que se acceda ilegalmente a dicha información como resultado de una violación de datos o de seguridad. Sin embargo, las sanciones que se pueden imponer a las empresas y organizaciones que no cumplan con 815 ILCS §§ 530/1 a 530/25 son extremadamente fuertes en comparación con otras leyes de notificación de violación de datos que han estado en otros estados de EE.UU.. Como tal, los residentes en el estado de Illinois pueden tener la tranquilidad de que su información personal está siendo protegida a uno de los niveles más altos que se pueden ofrecer actualmente en lo que respecta a la legislación estatal.