Prevención de incidentes de filtración de datos en el Estado de Hawái
El Estatuto HRS § 487N-1, también conocido como Estatuto de Notificación de Violación de Datos de Hawái, es una ley de notificación de violación de seguridad que fue aprobada en 2013. El Estatuto de Notificación de Violación de Datos de Hawái fue aprobado con el propósito de crear un marco legal que regule los incidentes de violación de datos dentro del estado de Hawái. Con este fin, el Estatuto HRS § 487N-1 establece los diversos pasos y medidas que las organizaciones y empresas que operan en el estado de Hawaii deben cumplir en caso de violación de datos. Además, el estatuto también establece los castigos a los que se enfrentan dichas partes en virtud de la ley si no cumplen con todos los requisitos y obligaciones establecidos.
¿Qué se entiende por violación de la seguridad?
De acuerdo con la Ley de Notificación de Violación de Datos de Hawaii, una violación de seguridad se define como “un incidente de acceso no autorizado y adquisición de registros o datos no cifrados o no redactados que contengan información personal en el que se haya producido, o sea razonablemente probable que se produzca, un uso ilegal de la información personal y que cree un riesgo de daño a una persona”. Cualquier incidente de acceso no autorizado y adquisición de registros o datos encriptados que contengan información personal junto con el proceso o clave confidencial constituye una violación de la seguridad. La adquisición de buena fe de información personal por parte de un empleado o agente de la empresa para un fin legítimo no constituye una violación de la seguridad; siempre que la información personal no se utilice para un fin distinto de un fin lícito de la empresa y no esté sujeta a una divulgación posterior no autorizada.”
¿Cuáles son las obligaciones de las empresas y organizaciones?
En virtud de la Ley de Notificación de Falsificación de Datos de Hawaii, las empresas y organizaciones que recopilan información personal sobre ciudadanos residentes en el estado deben cumplir una serie de obligaciones en caso de que la información personal de dichos ciudadanos sea revelada en una filtración de datos u otro incidente relacionado con la seguridad de los datos. En particular, las empresas y organizaciones están obligadas a proporcionar a todas las partes afectadas una notificación al consumidor en la que se detalle de forma efectiva el alcance de la violación, la información revelada como resultado de la misma y las medidas de seguridad que se aplicaron para evitarla. Además, la ley también exige que estas notificaciones se faciliten a los consumidores sin demoras indebidas, y también deben contener más información, incluyendo:
- Una descripción del incidente de seguridad ocurrido, en términos generales.
- Un número de teléfono u otra forma de información de contacto que los consumidores afectados puedan utilizar para obtener más información y asistencia en relación con la violación.
- Consejos o información relativa a la filtración que permita a los consumidores “permanecer vigilantes revisando los extractos de cuenta y controlando los informes de crédito gratuitos.”
- Qué medidas ha tomado la empresa u organización que ha sufrido la filtración para garantizar que se ha restablecido razonablemente la seguridad, integridad y confidencialidad de los sistemas que dichas partes utilizan para recopilar y procesar información personal.
Es más, además de notificar a los consumidores las ramificaciones de cualquier violación de datos que se haya producido, las empresas y organizaciones también están obligadas a notificar por escrito a las tres principales agencias de información crediticia de EE.UU. (Equifax, Experian y TransUnion) en caso de que una violación de datos afecte a más de 1.000 residentes hawaianos. Además, en los casos en que las agencias gubernamentales del estado de Hawai sufran una violación de datos, dichas entidades también están obligadas a notificar por escrito a la Legislatura del Estado de Hawai en un plazo de 20 días después de que se descubra dicho incidente. Estas notificaciones deben detallar la naturaleza de la violación, el número de personas afectadas por la violación y si la notificación se retrasó debido a las acciones de los funcionarios encargados de hacer cumplir la ley, entre otra información pertinente.
¿Cuáles son las sanciones por infringir la Ley HRS § 487N-1?
En cuanto a la aplicación de la Ley de Notificación de la Violación de Datos de Hawaii, la Ley HRS § 487N-1 es aplicada tanto por el Fiscal General de Hawaii como por la Oficina de Protección al Consumidor de Hawaii. En consecuencia, las empresas y organizaciones de Hawai que violen las diversas disposiciones establecidas por el Estatuto HRS § 487N-1 están sujetas a una serie de sanciones y castigos. Dichas sanciones incluyen una multa de hasta 2.500 dólares por cada infracción que se impute a una empresa u organización concreta, así como acciones civiles que los ciudadanos hawaianos pueden emprender contra dichas entidades en caso de verse perjudicados por una violación de datos que se haya producido. Dichas acciones civiles pueden incluir daños reales y honorarios de abogados, así como otros gastos legales pertinentes.
Aunque hasta 2022 sólo un puñado de estados de EE.UU. han aprobado leyes exhaustivas sobre la privacidad de los datos, incluida la Ley de Protección de Datos de los Consumidores de Virginia y la Ley de Derechos de Privacidad de California, muchos estados han aprobado estatutos relacionados con las violaciones de datos. En este punto, el Estatuto HRS § 487N-1 regula las violaciones de datos y los sucesos relacionados con la seguridad de los datos dentro del estado de Hawai, estableciendo varios requisitos que las empresas y organizaciones deben cumplir cuando se producen dichos incidentes. De este modo, los residentes hawaianos pueden estar seguros de que dispondrán de alguna vía de recurso en caso de que su información personal sea revelada como resultado de una violación de datos.