Nueva ley sobre violaciones de seguridad en Florida

Fla. Stat. § 501.171 es una ley de notificación de violaciones de seguridad que se aprobó en el estado estadounidense de Florida en 2014. Antes de la promulgación de Fla. Stat. § 501.171 en 2014, el estado de Florida aún no había aprobado ninguna legislación relativa a las violaciones de seguridad. Hasta el momento, la ley establece el protocolo que deben seguir los particulares, las empresas y las organizaciones en caso de que se produzca una violación de la seguridad. Además, la ley también establece las sanciones que pueden imponerse a las partes que no cumplan con las disposiciones de la ley en lo que respecta a la gestión de las violaciones de seguridad y los incidentes relacionados.

¿Cómo se define una violación de la seguridad en Fla. Stat. § 501.171?

Según Fla. Stat. § 501.171, una violación de la seguridad se define ampliamente como “el acceso no autorizado a datos en formato electrónico que contengan información personal”. Por el contrario, el “acceso de buena fe a IP por parte de un empleado o agente de la Entidad no constituye una violación de la seguridad del sistema, siempre que la información no se utilice para un fin no relacionado con el negocio o sea objeto de un uso posterior no autorizado.” Además, en lo que respecta al alcance y la aplicabilidad de la ley, Fla. Stat. § 501.171 es aplicable a cualquier “empresa unipersonal, sociedad, corporación, fideicomiso, patrimonio, cooperativa, asociación u otra entidad comercial que adquiera, mantenga, almacene o utilice información personal.”

¿Cuáles son los requisitos de notificación de violaciones de seguridad en virtud de Fla. Stat. § 501.171?

Según Fla. Stat. § 501.171, una entidad comercial que experimenta una violación de seguridad está obligada a notificar a todos los residentes afectados en el estado, así como al Departamento de Asuntos Jurídicos y a las tres principales agencias de crédito de EE.UU., en los casos en que una violación de seguridad afecte a más de 500 o 1.000 residentes en el estado, respectivamente. Con este fin, las notificaciones de violaciones de seguridad que se proporcionen a los residentes dentro de Florida deben incluir la siguiente información:

• La fecha aproximada, estimada o el intervalo estimado de fechas en que se produjo la violación de la seguridad.
• Una descripción de los tipos de información personal que podrían ser o han sido revelados como resultado de la violación.
• Información de contacto que las personas afectadas puedan utilizar para ponerse en contacto con la entidad afectada con el fin de obtener más información sobre la violación.

Alternativamente, los avisos de violación de datos que se faciliten al Departamento de Asuntos Jurídicos de Florida deberán contener también la siguiente información:

• Una sinopsis de los hechos que causaron la violación de la seguridad.
• El número de residentes en Florida que se han visto o podrían verse afectados por la violación de seguridad.
• Cualquier servicio que la entidad afectada esté ofreciendo a los residentes de Florida en relación con la violación de seguridad, así como instrucciones sobre cómo beneficiarse de dichos servicios.
• La información de contacto que los consumidores afectados pueden utilizar para ponerse en contacto con un empleado o agente de la entidad afectada con el fin de obtener información adicional sobre la violación, incluyendo su nombre, número de teléfono, dirección física y dirección de correo electrónico.
• Se requiere una copia de la notificación para los individuos afectados, o una explicación de las otras acciones tomadas para dar aviso a los individuos afectados.

¿Qué tipos de información personal están protegidos por Fla. Stat. § 501.171?

En virtud de las disposiciones de Fla. Stat. § 501.171, los siguientes elementos de datos están protegidos legalmente en caso de que se produzca una violación de la seguridad, en combinación con el nombre o la inicial del nombre y los apellidos de un residente de Florida:

• Números de la seguridad social.
• Números de carné de conducir y de tarjeta de identificación, números de pasaporte, números de identificación militar o cualquier otra forma de número de identificación emitido de acuerdo con un documento gubernamental utilizado para verificar la identidad.
• Nombres de usuario y direcciones de correo electrónico, así como contraseñas asociadas, preguntas de seguridad o respuestas a preguntas de seguridad que puedan utilizarse para permitir el acceso a la cuenta en línea de una persona.
• Números de cuentas financieras y números de tarjetas de crédito y débito, así como contraseñas asociadas, códigos de seguridad o códigos de acceso que puedan utilizarse para permitir el acceso a la cuenta financiera de una persona.
• Información relativa al historial médico de un residente de Florida, a su estado mental o físico, o a un tratamiento o diagnóstico de salud realizado por un profesional sanitario.
• Números de póliza de seguro médico y números de identificación del suscriptor, así como cualquier otro identificador único que pueda ser utilizado por un profesional sanitario para identificar a una persona.

¿Cuáles son las sanciones por infringir el Fla. Stat. § 501.171?

En cuanto a la aplicación de la ley, las disposiciones establecidas en Fla. Stat. § 501.171 son aplicables por el fiscal general de Florida. Como tal, el fiscal general de Florida está facultado para imponer sanciones a las entidades del estado que infrinjan la ley. Dichos castigos incluyen una multa monetaria de hasta 500.000 dólares, incluida una multa de 1.000 dólares por cada día en que no se notifique una violación de la seguridad, así como una multa de hasta “50.0000 dólares por cada período de 30 días o parte del mismo durante un máximo de 180 días”. Además, las infracciones del Fla. Stat. § 501.171 también se consideran prácticas comerciales desleales y engañosas en virtud de otra legislación aplicable en el estado.

A pesar de que el estado de Florida fue uno de los últimos estados de los EE.UU. en promulgar legislación relativa a la regulación de las violaciones de seguridad, las disposiciones establecidas en la ley brindan a los residentes del estado una protección sustancial en lo que respecta a este tipo de sucesos. Como una multa monetaria de hasta 500.000 dólares es extremadamente alta, incluso en el contexto de una amplia legislación de protección de datos, las entidades comerciales de Florida se enfrentarán a fuertes sanciones en caso de incumplimiento de la ley. Por lo tanto, los residentes pueden tener la tranquilidad de saber que disponen de los medios legales para protegerse en caso de que su información personal se vea comprometida en el transcurso de una violación de seguridad.