Protección de los datos personales de los ciudadanos de Arkansas
Ark. Code §§ 4-110-101 es una ley de notificación de violaciones de datos y seguridad que se aprobó en el estado estadounidense de Arkansas en 2016. El Ark. Code §§ 4-110-101 establece los requisitos que deben cumplir las empresas y organizaciones del estado de Arkansas en caso de que dichas entidades sufran una violación de datos u otro incidente de seguridad relacionado que dé lugar a la divulgación no autorizada de información personal. Además, Ark. Code §§ 4-110-101 también establece las sanciones a las que se exponen las empresas y organizaciones de Arkansas en caso de incumplimiento de las distintas disposiciones establecidas en la ley.
¿Cómo se define una violación de datos?
Según el Código Ark. Code §§ 4-110-101, una violación de datos se define como “un acceso o adquisición no autorizados que comprometen la seguridad o confidencialidad de la información cubierta. Esta definición excluye la información adquirida o accedida de buena fe por empleados o agentes”. Además, en lo que respecta a la aplicación y alcance de la ley, “en el estado de Arkansas, las leyes sobre violación de datos se aplican a cualquier persona o empresa que adquiera, posea, conceda licencias o mantenga información cubierta. Las entidades no comerciales pueden estar sujetas a requisitos diferentes, y algunas entidades pueden estar exentas de algunos o de todos los requisitos.” Además, la información personal que ha sido redactada o encriptada no está cubierta por el Ark. Code §§ 4-110-101, a menos que no se haya accedido o adquirido la clave de cifrado. Hasta este punto, las siguientes categorías de información personal están cubiertas por la ley:
- Nombre y apellidos.
- Números de la seguridad social.
- Números del carné de conducir o de la tarjeta de identificación estatal.
- Números de cuentas financieras.
- Números de tarjetas de crédito o débito, así como cualquier número de código de seguridad o acceso necesario para utilizar dichas tarjetas.
- Información médica o sanitaria.
¿Cuáles son los requisitos para las empresas y organizaciones?
En virtud del Ark. Code §§ 4-110-101, las empresas y organizaciones que sufren una violación de datos o un incidente de seguridad relacionado son responsables de proporcionar a todos los consumidores afectados dentro del estado de Arkansas una notificación por escrito. Estas notificaciones deben proporcionar a los ciudadanos afectados información detallada sobre las categorías de información personal que se divulgaron como resultado de la violación, las medidas que la empresa u organización en cuestión ha adoptado para determinar el alcance y la gravedad de la violación, así como los esfuerzos que se han realizado para restablecer la integridad razonable del sistema de datos en el que se produjo la violación. Además, los consumidores de Arizona deben recibir estos avisos “en el momento y de la forma más rápida posible y sin demoras injustificadas”.
Por otra parte, las empresas y organizaciones de Arkansas están autorizadas a proporcionar a los consumidores notificaciones sustitutorias relativas a incidentes de violación de datos, en determinadas circunstancias. Dichas circunstancias incluyen los casos en los que “el coste de proporcionar la notificación superaría los doscientos cincuenta mil dólares (250.000 $)”, “la clase afectada de personas a notificar supera los quinientos mil”, o “la persona o empresa no dispone de suficiente información de contacto”. Ark. Code §§ 4-110-101 también obliga a las empresas y organizaciones a proporcionar avisos por correo electrónico en los casos en que una persona o entidad comercial tenga una dirección de correo electrónico, notificar a los medios de comunicación de todo el estado, así como publicar de forma visible “el aviso en el sitio web de la persona o empresa si la persona o empresa mantiene un sitio web”.
¿Cuáles son las penas por infringir el Ark. Code §§ 4-110-101?
En lo que respecta a la aplicación de Ark. Code §§ 4-110-101, las disposiciones establecidas en la ley son aplicadas por el Fiscal General de Arkansas. En consecuencia, las personas, empresas y organizaciones que incumplan dichas disposiciones están sujetas a sanciones civiles y penales en virtud de la ley. Para ilustrar el alcance y la gravedad de las penas que pueden imponerse como resultado de la violación del Ark. Code §§ 4-110-101, una empleada del Departamento de Servicios Humanos de Arkansas o DHS fue despedida de su puesto en 2017 después de que, al parecer, enviara por correo electrónico información personal relativa a más de 26.000 beneficiarios médicos a su dirección de correo electrónico personal. Como resultado, el DHS de Arkansas presentó cargos penales y se vio obligado a notificar a todos los ciudadanos del estado que se vieron afectados como consecuencia de la violación de datos.
Dado que las violaciones de datos y otros incidentes de seguridad relacionados son casi inevitables debido al enorme papel que la comunicación digital y electrónica desempeña actualmente en el mundo, leyes como Ark. Code §§ 4-110-101 son imprescindibles para proteger la información personal de los ciudadanos estadounidenses. Mientras los legisladores federales siguen reflexionando sobre la aprobación de leyes federales integrales de protección de datos y privacidad personal, como el Reglamento General de Protección de Datos de la UE, leyes estatales como el Ark. Code §§ 4-110-101 representan el principal medio por el cual el ciudadano estadounidense medio puede protegerse contra el robo de identidad y otras actividades nefastas que pueden resultar después de que se haya producido una violación de datos.