Requisitos en materia de violación de la seguridad en el Estado de Kansas
Kan. Stat. § 50-7a01 es una ley de notificación de violación de datos que se aprobó en el estado de Kansas en 2007. La ley establece el marco jurídico que las organizaciones y empresas de Kansas están obligadas a seguir en caso de que estas entidades se vean implicadas en una violación de la seguridad que ponga en peligro la información personal de los residentes. Además, la ley también establece las sanciones y multas a las que se exponen las empresas y organizaciones del estado de Kansas en caso de que no cumplan las disposiciones de la ley en lo que respecta a los incidentes de violación de la seguridad.
¿Cómo se define una violación de la seguridad?
Según el Kan. Stat. § 50-7a01, una violación de la seguridad se define como “cualquier acceso no autorizado y adquisición de datos informatizados no codificados o no redactados que comprometan la seguridad, confidencialidad o integridad de la IP mantenida por una Entidad y que cause, o dicha Entidad crea razonablemente que ha causado o causará, el robo de identidad a cualquier consumidor”. Alternativamente, la “adquisición de buena fe de IP por un empleado o agente de una Entidad para los fines de la Entidad no constituye una violación de la seguridad del sistema, siempre que la IP no se utilice para o no sea objeto de ulterior divulgación no autorizada.”
Además, en lo que respecta al ámbito de aplicación y la aplicación de la ley, Kan. Stat. § 50-7a01 se aplica a “cualquier persona física, sociedad, corporación, fideicomiso, patrimonio, cooperativa, asociación, gobierno o subdivisión o agencia gubernamental u otra entidad (colectivamente, Entidad) que lleve a cabo negocios en KS y que posea o licencie datos informatizados que incluyan PI”. Por el contrario, Kan. Stat. § 50-7a01 no se aplica a la información personal que una entidad concreta dentro de Kansas pueda gobernar o gestionar pero que no posea ni controle, independientemente de si dicha entidad realiza o no actividades empresariales dentro o fuera del estado de Kansas.
¿Cuáles son los requisitos de las entidades comerciales?
Kan. Stat. § 50-7a01 obliga a las entidades comerciales del Estado de Kansas a proporcionar a los residentes del Estado avisos de violación de datos en caso de que la información personal perteneciente a dichos residentes se vea comprometida como resultado de una violación de seguridad. Estas notificaciones deben facilitarse a los residentes “en el plazo más breve posible y sin demora injustificada”, y también deben detallar el alcance y la naturaleza de la violación de la seguridad, así como las medidas que la entidad afectada haya adoptado para restablecer la integridad razonable del sistema de datos que se utilizó para recopilar y almacenar la información. Por el contrario, las entidades comerciales de Kansas pueden proporcionar a los residentes del estado notificaciones de violación de datos sustitutorias, aunque en determinadas circunstancias.
Dichas circunstancias incluyen los casos en los que una entidad comercial demuestre que proporcionar notificaciones de violación de datos estándar a los consumidores afectados superaría los 0.000, el número de consumidores afectados sea superior a 5.000 o una entidad comercial no disponga de suficiente información de contacto para proporcionar a los consumidores las notificaciones estándar. Posteriormente, estos avisos sustitutorios de violación de datos deben contener los siguientes elementos:
- Notificación por correo electrónico, en los casos en que una entidad comercial disponga de las direcciones de correo electrónico de los consumidores afectados.
- Publicación visible de la notificación sustitutoria en el sitio web de la entidad comercial, si procede.
- La notificación a los principales medios de comunicación del estado de Kansas.
¿Qué categorías de información personal están protegidas?
En virtud del Kan. Stat. § 50-7a01 las siguientes categorías de información personal están protegidas por la ley, junto con el nombre o la inicial y el apellido de un residente de Kansas, a menos que esta información haya sido redactada o codificada:
- Números de la seguridad social.
- Números de carné de conducir y de tarjeta de identificación estatal.
- Números de cuenta, números de tarjeta de débito y números de tarjeta de crédito, solos o en combinación con cualquier código de acceso, código de seguridad o código de acceso que pueda utilizarse para conceder acceso a la cuenta financiera de una persona.
En cuanto a la aplicación del Kan. Stat. § 50-7a01, las disposiciones establecidas en la ley son aplicadas por el Fiscal General de Kansas. En particular, las compañías de seguros del Estado de Kansas están exentas de esta aplicación, ya que las infracciones de la ley cometidas en nombre de las agencias de seguros del Estado son aplicadas por el Comisionado de Seguros del Estado. No obstante, todas las demás empresas y organizaciones que incumplan la Kan. Stat. § 50-7a01 están sujetos a una serie de sanciones y penalizaciones. Para ilustrar mejor la gravedad potencial de tales sanciones, el Departamento de Comercio de Kansas tuvo que pagar los servicios de supervisión de crédito de millones de residentes en el estado tras una brecha de seguridad que se produjo en marzo de 2017.
Dado que Kansas aún no ha aprobado una ley integral de protección de datos a nivel estatal, como ha sido el caso de la gran mayoría de los estados de Estados Unidos a partir de 2022, Kan. Stat. § 50-7a01 representa el principal medio por el que la información personal de los residentes de Kansas está legalmente protegida en caso de que dicha información se vea comprometida a raíz de una violación de datos. A través de la supervisión y la determinación final del Fiscal General de Kansas, dichos residentes pueden estar seguros de que dispondrán de recursos legales contra cualquier consecuencia adversa que pueda surgir a raíz de una violación de seguridad.