Nueva ley sobre violaciones de seguridad en Dakota del Sur

South Dakota S.B. 62 es una ley de notificación de violaciones de datos que se aprobó en el estado estadounidense de Dakota del Sur en 2018. Como Dakota del Sur aún no había aprobado una legislación que regulase los incidentes de violación de seguridad antes de la promulgación de la South Dakota S.B. 62, la ley establece los pasos y protocolos que las entidades comerciales que operan dentro del estado están obligadas a seguir en caso de que se produzca una violación de seguridad. Además, la ley también establece las sanciones a las que se exponen las empresas y organizaciones en caso de que no cumplan los requisitos exigidos por la ley.

¿Cómo se define una violación de la seguridad con arreglo a la S.B. 62 de Dakota del Sur?

Con arreglo a la ley S.B. 62 de Dakota del Sur, una violación de la seguridad se define como “la adquisición no autorizada de datos informatizados no cifrados o de datos informatizados cifrados y la clave de cifrado por cualquier persona que comprometa materialmente la seguridad, confidencialidad o integridad de información personal o protegida.” Además, en lo que respecta al ámbito de aplicación y aplicación de la ley, las disposiciones de la S.B. 62 de Dakota del Sur son aplicables a “cualquier persona o empresa que lleve a cabo negocios en Dakota del Sur, y que posea o conceda licencias de información informatizada personal o protegida de residentes en Dakota del Sur (“Titular de la información”).”

¿Cuáles son los requisitos de notificación de violaciones de seguridad?

En virtud de la ley S.B. 62 de Dakota del Sur, una entidad u organización empresarial que experimente una violación de seguridad es responsable de notificarlo a todas las personas y partes afectadas. Estas notificaciones deben enviarse a los residentes en Dakota del Sur a más tardar 60 días después del descubrimiento de la violación, y las entidades afectadas también deben notificar a las tres principales agencias de información crediticia de EE.UU. (Equifax, Experian y TransUnion), así como al fiscal general de Dakota del Sur, en los casos en que una violación de seguridad afecte a más de 250 personas en el estado. Los terceros que recopilen o procesen información personal en nombre de entidades comerciales dentro de Dakota del Sur también están obligados a cumplir las disposiciones de la ley.

¿Qué tipos de información personal están protegidos legalmente?

A diferencia de muchas otras leyes de notificación de violaciones de seguridad de EE.UU., la ley S.B. 62 de Dakota del Sur designa dos tipos diferentes de información personal que están cubiertos por la ley: la información personal y la denominada información protegida. Dicho esto, los siguientes tipos de información personal están legalmente protegidos en caso de que se produzca una violación de seguridad, en combinación con el nombre o la inicial del nombre y los apellidos de un residente de Dakota del Sur:

• Números de la seguridad social.
• Números de licencia de conducir, así como cualquier otro número de identificación único que pueda ser emitido en nombre de una agencia u organismo gubernamental dentro del estado.
• Números de cuenta y tarjetas de crédito y débito, así como cualquier código de seguridad, contraseña, código de acceso, número PIN, número de ruta o cualquier otra forma de información personal que pueda utilizarse para conceder acceso a la cuenta financiera de un residente de Dakota del Sur.
• “Información sanitaria según se define en 45 CFR 160.103 (HIPAA)”.
• “Un número de identificación asignado a una persona por el empleador de la persona en combinación con cualquier código de seguridad requerido, código de acceso, contraseña o datos biométricos generados a partir de mediciones o análisis de las características del cuerpo humano con fines de autenticación.”

Alternativamente, la ley también cubre los siguientes tipos de información protegida:

• Nombres de usuario y direcciones de correo electrónico, en combinación con cualquier contraseña, respuestas a preguntas de seguridad u otras formas de información personal que puedan utilizarse para acceder a la cuenta en línea de un residente de Dakota del Sur.
• “Número de cuenta o número de tarjeta de crédito y débito, en combinación con cualquier código de seguridad requerido, código de acceso o contraseña que permita el acceso a la cuenta financiera de una persona”.

¿Cuáles son las penas por violar la S.B. 62 de Dakota del Sur?

En lo que respecta a la aplicación de la S.B. 62 de Dakota del Sur, las disposiciones establecidas en la ley son ejecutables por el fiscal general de Dakota del Sur. En consecuencia, las empresas y organizaciones de Dakota del Sur que infrinjan la ley están sujetas a una serie de sanciones y penas. Estos castigos incluyen una acción civil de hasta 10.000 dólares por día en que se descubra que una entidad empresarial ha infringido la ley, así como los honorarios de abogados y costas legales asociados. Además, las infracciones de la S.B. 62 de Dakota del Sur también se consideran actos y prácticas engañosas en virtud de otra legislación aplicable en el estado.

Dado que todos los estados y territorios importantes de Estados Unidos aprobaron algún tipo de legislación sobre violaciones de seguridad en 2018, Dakota del Sur fue uno de los últimos estados del país en aprobar dicha legislación. Sin embargo, como la ley describe dos categorías separadas de información personal que están legalmente protegidas en caso de una violación de seguridad, los residentes de Dakota del Sur cuentan con un nivel significativo de protección en lo que respecta a la seguridad de los datos. Hasta este punto, los residentes en Dakota del Sur pueden tener la tranquilidad de que dispondrán de los medios para protegerse en caso de que su información personal se vea comprometida como resultado de una violación de datos o de seguridad.