Prevención de fallos de seguridad en el Estado de Massachusetts

Mass. Gen. Laws § 93H-1 es una ley de notificación de violación de datos que se aprobó en el estado estadounidense de Massachusetts en 2007 y se modificó recientemente en 2019. Mass. Gen. Laws § 93H-1 fue modificado con el fin de proporcionar a los residentes del estado un nivel actualizado de protección en lo que respecta a los ciberataques y las violaciones de datos. En este punto, Mass. Gen. Laws § 93H-1 establece tanto el marco jurídico que las entidades comerciales de Massachusetts son responsables de cumplir en caso de que se produzca una violación de la seguridad, como las sanciones que pueden imponerse cuando una entidad comercial incumple este marco.

¿Cómo se define una violación de la seguridad en Mass. Gen. Laws § 93H-1?

Según Mass. Gen. Laws § 93H-1, una violación de la seguridad se define como “como el acceso no autorizado a
datos no cifrados o datos cifrados, siempre que la clave para acceder a los datos esté disponible, mantenidos por una persona (persona, corporación o entidad legal) u organismo (un departamento gubernamental, oficina, etc.) que comprometa la confidencialidad, seguridad o integridad de los datos de identificación personal.” Alternativamente, la ley establece que “una adquisición de buena fe por parte de una persona o agencia o del empleado o agente de una persona o agencia no se considera una violación de la seguridad a menos que los datos sean objeto de divulgación o revelación no autorizada.”

¿Cuáles son las responsabilidades de las entidades comerciales en virtud de Mass. Gen. Laws § 93H-1?

En virtud de Mass. Gen. Laws § 93H-1, las entidades comerciales que realizan operaciones en el estado de Massachusetts están obligadas a proporcionar a los residentes del estado notificaciones de violación de la seguridad en caso de que se produzca un caso de este tipo. Estas notificaciones deben enviarse a los residentes de Massachusetts tan pronto como sea posible y sin demoras indebidas, y deben proporcionar a dichos residentes información que detalle el alcance y la gravedad de la violación, así como los tipos de información personal que se vieron comprometidos tras la violación, entre otras cosas. Además, las entidades comerciales del estado también están obligadas a notificar al Fiscal General de Massachusetts cuando se produzca una violación de datos. Estas notificaciones deben incluir detalles como, entre otros

• La naturaleza de la violación de seguridad.
• El número de residentes en el estado de Massachusetts afectados por la violación en el momento de la notificación.
• El nombre y la dirección de la persona o entidad comercial que sufrió la violación de seguridad.
• El nombre y cargo de la persona que comunica la violación de seguridad, así como su relación con la persona o entidad que ha experimentado la violación.
• El tipo de entidad u organización empresarial que notifica la violación de la seguridad.
• La persona responsable de la violación de seguridad, si se conoce dicha información en el momento en que se comunicó la notificación.
• El “tipo de información personal comprometida, incluidos, entre otros, el número de la seguridad social, el número del permiso de conducir, el número de la cuenta financiera, el número de la tarjeta de crédito o débito u otros datos”.
• Si la persona o entidad que ha sufrido la violación “mantiene un programa escrito de seguridad de la información.”
• Cualquier medida adicional que la persona o entidad haya tomado “en relación con el incidente, incluida la actualización del programa escrito de seguridad de la información.”

¿Qué categorías de información personal están protegidas en virtud de Mass. Gen. Laws § 93H-1?

En virtud de Mass. Gen. Laws § 93H-1, las siguientes categorías de información personal están protegidas por la ley en caso de que se vean comprometidas como resultado de una violación de datos, junto con el nombre y apellidos o la inicial del nombre y apellidos de un residente en el estado de Massachusetts:

• Números de la seguridad social.
• Números de cuentas bancarias.
• Números de carné de conducir y de tarjeta de identificación estatal.
• Números de cuentas financieras, números de tarjetas de crédito, con nuestros con cualquier código de seguridad, códigos de acceso, números de identificación personal y contraseñas, que podrían utilizarse para conceder acceso a la cuenta financiera de un individuo.

En cuanto a las sanciones por incumplimiento en virtud de Mass. Gen. Laws § 93H-1, las disposiciones establecidas en la ley son aplicadas por el Fiscal General de Massachusetts. Por consiguiente, el Fiscal General de Massachusetts está facultado para imponer una serie de sanciones y penas a las personas, entidades empresariales y organizaciones del Estado que incumplan la ley. Dichas sanciones incluyen daños y perjuicios, sanciones civiles y medidas cautelares. El Fiscal General de Massachusetts también se reserva el derecho a “emprender acciones en forma de reparación o lo que se considere oportuno, contra una entidad que infrinja el código.”

Mass. Gen. Laws § 93H-1 representa el marco jurídico principal para regular las violaciones de seguridad en el estado de Massachusetts. Aunque muchas de las disposiciones de las leyes estatales de notificación de violaciones de datos en los EE.UU. son similares, incluidos los requisitos que obligan a una entidad que haya sufrido una violación a notificar al Fiscal General del Estado, las disposiciones de Mass. Gen. Laws § 93H-1 son en muchos aspectos mucho más restrictivas y estrictas que las de otras leyes de este tipo. Por lo tanto, los residentes del estado de Massachusetts pueden tener la tranquilidad de que su información personal está protegida a uno de los niveles más altos que existen actualmente en la legislación estatal de Estados Unidos.