Política de violación de la seguridad en Utah, Reglamento

Utah Code §§ 13-44-101 es una ley de notificación de violación de datos que se aprobó en el estado estadounidense de Utah en 2009 y se modificó recientemente en 2019. Como el estado de Utah aún no ha aprobado una ley integral de protección de datos, Utah Code §§ 13-44-101 representa el medio principal por el cual ciertas categorías de información personal perteneciente a los residentes del estado están protegidas en caso de una violación de seguridad. Dicho esto, las agencias, empresas y organizaciones están obligadas a cumplir las diversas disposiciones establecidas en el Código de Utah §§ 13-44-101, o se enfrentan a sanciones y penalizaciones en nombre del Fiscal General de Utah.

¿Cómo define el Código de Utah §§ 13-44-101 el término violación de la seguridad?

En virtud de Utah Code §§ 13-44-101, una violación de la seguridad se define como la “adquisición no autorizada de datos informatizados mantenidos por una Entidad que comprometa la seguridad, confidencialidad o integridad de la IP”. Por otra parte, la ley también establece que una violación de seguridad “no incluye la adquisición de IP por parte de un empleado o agente de la Entidad que posea datos informatizados no cifrados, a menos que la IP se utilice para un fin ilícito o se divulgue de forma no autorizada.” Además, en lo que respecta al alcance y aplicabilidad de la ley, las disposiciones del Código de Utah §§ 13-44-101 se aplican a “cualquier entidad que posea o licencie datos informatizados que incluyan IP relativa a un residente de UT.”

¿Cuáles son los requisitos en materia de violación de datos de las entidades comerciales en virtud de los §§ 13-44-101 del Código de Utah?

El Código de Utah §§ 13-44-101 obliga a las entidades comerciales que operan en el estado de Utah a notificar las violaciones de datos a todas las personas afectadas en caso de que se produzca un incidente de este tipo. Estas notificaciones deben facilitarse a los residentes de Utah sin demora injustificada, y deben proporcionar a dichos residentes información sobre el alcance y la gravedad de la violación, así como sobre las medidas que se han tomado para restaurar la integridad del sistema de datos en el que se produjo la violación, entre otras cosas. Además, los terceros asociados a entidades comerciales de Utah también deben cumplir las disposiciones de los artículos 13-44-101 del Código de Utah.

En este sentido, Utah Code §§ 13-44-101 establece que las entidades y organizaciones comerciales de Utah pueden proporcionar notificaciones de violación de datos a los residentes del estado de acuerdo con los siguientes métodos:

• Notificación por escrito que se envía por correo de primera clase a la dirección postal más reciente que la entidad afectada tenga del residente.
• Por teléfono, incluso mediante el uso de tecnología de marcación automática no prohibida por otras leyes.
• Electrónicamente, si el principal método de comunicación de la Entidad con el residente es por medios electrónicos, o si se facilita de conformidad con las disposiciones relativas a registros y firmas electrónicas establecidas en 15 U.S.C. § 7001 (Ley E-SIGN).

¿Qué categorías de información personal se contemplan en los artículos 13-44-101 del Código de Utah?

En virtud de Utah Code §§ 13-44-101, las siguientes categorías de información personal están legalmente protegidas en caso de violación de datos, en combinación con el nombre o la inicial del nombre y los apellidos de un residente de Utah, siempre que estos elementos de datos no hayan sido codificados o alterados de otro modo por otro método que haga la información ininteligible:

• Números de la seguridad social.
• Números de carné de conducir y de tarjeta de identificación estatal.
• Números de cuenta y números de tarjetas de crédito y débito, así como cualquier código de seguridad, código de acceso o contraseña necesarios que puedan utilizarse para acceder a la cuenta financiera de una persona.

En cuanto a la aplicación del Código de Utah §§ 13-44-101, las disposiciones establecidas en la ley son aplicadas por el Fiscal General de Utah. Por consiguiente, el Fiscal General de Utah está facultado para imponer numerosas sanciones a los organismos, empresas y organizaciones del Estado que infrinjan la ley. Dichas sanciones incluyen “una multa civil no superior a 2.500 dólares por una infracción o serie de infracciones que afecten a un consumidor concreto y no superior a 100.000 dólares en total por infracciones relacionadas que afecten a más de un consumidor. Esta última limitación no se aplica si las infracciones afectan a más de 10.000 residentes de Utah y a más de 10.000 residentes de otros estados, o si la Entidad acepta llegar a un acuerdo por una cantidad superior.”

Dado que los cincuenta estados dentro de los EE. UU., junto con los principales territorios como Guam y Puerto Río, han aprobado algún tipo de legislación sobre violación de datos a partir de 2022, Utah Code §§ 13-44-101 representa dicha legislación para los ciudadanos que residen en el estado de Utah. A través de legislación como Utah Code §§ 13-44-101, los residentes de Utah pueden buscar justicia y compensación financiera en caso de que ciertas categorías de información personal que les pertenece se vea comprometida durante una violación de datos. A pesar de que Utah aún no ha aprobado una ley integral de protección de datos, los residentes del estado aún pueden proteger su información personal a través de los requisitos establecidos en Utah Code §§ 13-44-101.