Uuna actualización de la ley de violación de datos en Texas

El proyecto de ley 3746 de la Cámara de Representantes de Texas o HB 3746 es una ley de notificación de violaciones de datos que modifica los anteriores estatutos de notificación de violaciones en el estado de Texas. El objetivo de HB-3746 es proporcionar a los residentes de Texas un mayor nivel de protección en relación con la información personal que pueda filtrarse en las violaciones de datos, así como cambiar las formas en que se les notifica de tales violaciones. Se espera que el proyecto de ley se convierta en ley el 1 de septiembre de 2021, e introduce dos cambios principales en la legislación vigente sobre notificación de violaciones en el estado de Texas.

En primer lugar, la ley actualizada exige que la Fiscalía General de Texas empiece a publicar en su sitio web “un listado de las notificaciones” cuando reciba notificaciones de violaciones de datos que afecten a más de 250 residentes en el estado de Texas. El estatuto no especifica ni describe qué forma de listado debe publicarse, sino que prohíbe la publicación de “cualquier información que pueda comprometer la seguridad de los datos de una empresa”, o cualquier cosa que contenga información personal sensible o información confidencial, tal como establece la ley.

¿Cuáles son los requisitos de notificación de infracciones en virtud de la ley HB-3746?

En segundo lugar, la ley HB-3746 también exige que se incluya determinada información y contenido en todas las notificaciones de violación de datos que se envíen a los residentes en el estado de Texas, y que dichas notificaciones también se envíen en un plazo de 60 días a partir del descubrimiento de dicha violación. Además, si se envían más de 10.000 notificaciones a los consumidores, también se exige la notificación de la violación a cada agencia de informes de los consumidores que mantenga archivos sobre los consumidores a escala nacional, sin retrasos injustificados. En virtud de la ley HB-3746, las empresas del estado de Texas estarán ahora obligadas a notificar el número concreto de residentes afectados por una violación de datos, así como otros requisitos de contenido. Estos requisitos incluyen:

• Una descripción detallada de la naturaleza y circunstancias de la violación de los datos, o el uso de información o datos personales sensibles que puedan haberse adquirido como resultado de la violación.
• Las medidas adoptadas por la entidad comercial que haya sufrido la violación en relación con la misma.
• Cualquier medida que la entidad comercial tenga intención de tomar en relación con la violación tras la notificación de la sección anterior.
• Información sobre si las fuerzas de seguridad están investigando la violación de datos.

Los proveedores también deben notificar a las organizaciones el descubrimiento de una violación o sospecha de violación. La organización es entonces responsable de presentar los informes reglamentarios y las notificaciones a los consumidores que se requieran. Las organizaciones que actúen como proveedores contratados por un organismo estatal que presten servicios de computación en nube también deben ser examinadas y ser capaces de proporcionar documentación que demuestre su certificación y cumplimiento de un programa estatal de gestión de riesgos y autorizaciones. Además, la ley HB-3746 también impone ciertos requisitos al Fiscal General de Texas en relación con las violaciones de datos dentro del estado. Estos requisitos incluyen:

• Publicar un listado de las notificaciones recibidas en relación con una violación de datos en el sitio web público del Fiscal General de Texas, excluyendo cualquier información de identificación personal, cualquier información que pueda poner en peligro el sistema de seguridad de datos de una entidad empresarial, u otras formas de información que puedan ser comunicadas al Fiscal General y que sean confidenciales por ley.
• Mantener sistemáticamente una lista actualizada en el sitio web del Fiscal General, y actualizar este sitio web a más tardar cada 30 días.
• Eliminar los datos a más tardar un año después de la fecha en que se agregaron, a menos que la entidad comercial en cuestión haya notificado al Procurador General sobre un incidente adicional que tuvo lugar.

¿Cuáles son las multas y sanciones por infringir la ley HB-3746?

El estado de Texas impone multas muy elevadas por infringir las leyes de protección y notificación de violaciones de datos contenidas en la ley HB-3746. Estas multas y sanciones incluyen sanciones civiles que oscilan entre 2.000 y 50.000 dólares por infracción, dependiendo del alcance y la gravedad de la misma. Es más, también hay una multa de 100 dólares por cada persona que no haya recibido la notificación adecuada, con una sanción máxima de 250.000 dólares, así como el reembolso de los gastos al General del Estado de Texas. Además, la violación de la ley HB-3746 también constituye una práctica comercial engañosa según la legislación del estado de Texas.

La aprobación de la ley HB-3746 forma parte de una oleada de leyes de protección de la intimidad que están empezando a cobrar fuerza en los EE.UU. Tras estados como California y Virginia, los residentes de Texas tienen ahora ciertos derechos en relación con las violaciones de datos que puedan revelar su información privada o personal sin su consentimiento. Con la aprobación de leyes como la HB-4390, se espera que los consumidores estadounidenses puedan disponer de algún tipo de protección de datos a nivel estatal en lugar de una política federal integral de privacidad de datos.