Un nuevo estándar para las leyes sobre violación de datos

Cal. Civ. Code § 1798.29; 1798.82 es una ley de notificación de violaciones de seguridad que se aprobó inicialmente en el Estado de California en 2003 y que ha sido modificada varias veces desde entonces, la última en 2020. Dado que California ha estado a la cabeza en los EE.UU. en lo que se refiere a la protección de los datos personales y la intimidad, Cal. Civ. Code § 1798.29; 1798.82 es una sola parte de un marco jurídico más amplio que regula la recogida, el tratamiento y la divulgación de información personal, junto con la California Privacy Rights Act o CCPA y la California Online Privacy Protection Act o CalOPPA. Dicho esto, Cal. Civ. Code § 1798.29; 1798.82 protege la intimidad personal de los residentes en California en lo que respecta a los incidentes de violación de la seguridad.

¿Cómo define la ley una violación de datos?

Según Cal. Civ. Code § 1798.29; 1798.82, una violación de la seguridad se define como “una adquisición no autorizada de datos informáticos que comprometa la seguridad, confidencialidad o integridad de la IP mantenida por la Entidad”. Alternativamente, la ley también establece que la “adquisición de buena fe de PI por un empleado o agente de la Entidad para los fines de la Entidad no es una violación de la seguridad del sistema, siempre que la PI no se utilice o sea objeto de divulgación posterior no autorizada.” Además, en lo que respecta al alcance y aplicabilidad de la ley, Cal. Civ. Code § 1798.29; 1798.82 se aplica a “cualquier persona, empresa o agencia estatal (colectivamente, Entidad) que desarrolle su actividad en CA y sea propietaria o licenciataria de datos informatizados que contengan IP”.

¿Cuáles son los requisitos de notificación de violación de datos en virtud de la ley?

Cal. Civ. Code § 1798.29; 1798.82 exige que cualquier entidad comercial que realice operaciones en el Estado notifique a todas las personas y partes afectadas en caso de que se produzca una violación de la seguridad. Estas notificaciones deben proporcionarse a las personas sin demora indebida, y proporcionar a los residentes del estado información que incluya, entre otros datos:

• La fecha aproximada en que se emitió la notificación.
• La fecha aproximada, estimada o el intervalo estimado de fechas en que se produjo la violación de la seguridad.
• Una descripción general de los hechos que provocaron la violación.
• Los tipos de información personal que se vieron comprometidos durante la violación.
• El nombre y los datos de contacto de la persona o entidad que notifica la violación.
• Si la notificación se retrasó como consecuencia de una investigación policial.
• Los números de teléfono gratuitos de las tres principales agencias de información crediticia de Estados Unidos, si la violación de seguridad ha dado lugar a la revelación de números de la seguridad social.
• En los casos en que la violación se haya producido por negligencia, una oferta de servicios adecuados de prevención del robo de identidad, incluidos los servicios de mitigación de la prevención, que se prestarán sin coste alguno para la persona afectada durante al menos 12 meses, junto con toda la información necesaria para aprovechar la oferta a cualquier persona cuya información haya sido o pueda haber sido violada, si la violación ha expuesto o puede haber expuesto IP que incluya números de la seguridad social, del permiso de conducir o del documento de identidad estatal.

¿Qué tipos de datos personales cubre la ley?

Según Cal. Civ. Code § 1798.29; 1798.82, los siguientes tipos de información personal están legalmente protegidos en caso de que se produzca una violación de seguridad, en combinación con el nombre o la inicial del nombre y los apellidos de un residente de California, siempre que estos elementos de datos no se hayan vuelto ilegibles, inutilizables o indescifrables mediante software de redacción o algún otro medio tecnológico:

• Números de la seguridad social.
• Números de carné de conducir y de tarjeta de identificación estatal, números de tarjeta de identificación fiscal, números de pasaporte, números de tarjeta de identificación militar o cualquier otra forma de número de identificación emitido de conformidad con un documento gubernamental que pudiera utilizarse para identificar a un residente en California.
• Números de cuentas financieras y números de tarjetas de crédito y débito, así como las contraseñas, códigos de seguridad o códigos de acceso necesarios que puedan utilizarse para permitir el acceso a la cuenta financiera de una persona.
• Nombres de usuario y direcciones de correo electrónico, junto con contraseñas o preguntas y respuestas de seguridad que puedan utilizarse para acceder a la cuenta en línea de una persona.
• Información médica, incluida la relativa al historial médico de un residente de California, sus tratamientos o diagnósticos, o sus afecciones mentales o físicas.
• Información que haya sido recopilada mediante el uso o funcionamiento de un sistema automatizado de reconocimiento de matrículas (una base de datos informatizada con capacidad de búsqueda resultante del funcionamiento de una o más cámaras móviles o fijas combinadas con algoritmos informáticos para leer y convertir imágenes de matrículas y los caracteres que contienen en datos legibles por ordenador).
• Identificación biométrica, incluidas las huellas dactilares, las imágenes del iris y las imágenes de la retina, entre otras.

¿Cuáles son las sanciones por infringir la ley?

Las entidades y organizaciones empresariales de California que infrinjan las disposiciones establecidas en Cal. Civ. Code § 1798.29; 1798.82 están sujetos a sanciones civiles, ya que la ley establece que “los consumidores que resulten perjudicados por una infracción de esta ley tienen derecho a iniciar una acción civil para recuperar los daños y perjuicios que hayan sufrido como consecuencia de ello.” Además, el Departamento de Salud y Servicios Humanos de California también puede imponer las siguientes sanciones a los proveedores de asistencia sanitaria del estado que infrinjan la ley:

• Una sanción pecuniaria de hasta 25.000 dólares por cada paciente cuya información se haya visto comprometida en virtud de la ley, con un total de sanciones no superior a 250.000 dólares.
• Una sanción pecuniaria de hasta 17.500 dólares por cada infracción posterior de la ley.
• Sanciones pecuniarias adicionales de hasta 100 dólares por cada día en que una entidad afectada no notifique una violación de la seguridad, una vez transcurrido el período de gracia inicial de 15 días.

¿Cómo pueden cumplir la ley las empresas de California?

Dado que las violaciones de datos se han convertido en algo habitual debido a la enorme importancia que tiene el uso de Internet en la sociedad estadounidense, especialmente en medio de la pandemia del COVID-19, muchas empresas del estado de California se enfrentarán invariablemente a situaciones en las que los datos personales que poseen corren peligro. Sin embargo, hay remedios que se pueden utilizar para contrarrestar tales escenarios, uno de los cuales es un programa de software de redacción automática. Con estos programas, las empresas pueden eliminar automáticamente información personal de correos electrónicos, archivos PDF, documentos y una amplia gama de otros tipos de archivos. Ya sea en forma de números de la seguridad social, direcciones de correo electrónico o información de cuentas financieras, estos programas de software pueden utilizarse para proteger la información personal de los residentes de California, ya que los ladrones cibernéticos no podrán acceder a la información redactada durante sus ataques.

En los últimos cinco años, el estado de California ha realizado notables esfuerzos para proteger los datos personales y la privacidad de sus respectivos ciudadanos mediante la promulgación de diversas formas de legislación, regulando eficazmente la recogida y el tratamiento de datos personales dentro del estado de una manera que no tiene precedentes en el contexto de la legislación estadounidense a nivel estatal. En lo que respecta a los incidentes de violación de la seguridad, Cal. Civ. Code § 1798.29; 1798.82 se aprobó con el fin de garantizar que los residentes en el estado puedan reducir y mitigar las consecuencias adversas de verse implicados en una violación de la seguridad. Sin embargo, lo que es más importante, los residentes en California disponen de otro medio para protegerse contra las invasiones de su intimidad personal.