Ley para detener los hackeos y mejorar la seguridad de los datos electrónicos (Ley SHIELD)

¿Cuál es el significado de esta ley?

La Ley SHIELD, promulgada el 25 de julio de 2019 por el gobernador Andrew Cuomo, enmienda la Ley de Notificación y Violación de la Seguridad de la Información de Nueva York de 2005. La Ley SHIELD fortalece significativamente las leyes de seguridad de datos de Nueva York al:

  • Ampliar los tipos de información privada para los que las empresas deben proporcionar un aviso al consumidor en caso de violación
  • Exigir que las empresas desarrollen, implementen y mantengan salvaguardas razonables para proteger la seguridad, confidencialidad e integridad de la información privada

¿Qué tipos de incumplimientos de seguridad están cubiertos por esta ley?

Según la ley de 2005, una violación de seguridad se define como una adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información privada. La Ley SHIELD amplía la definición de violación de seguridad a cualquier "acceso" a datos informáticos que comprometa la confidencialidad, la seguridad o la integridad de los datos privados.

¿En qué consiste la información privada?

Según la ley de 2005, la información privada era cualquier información personal relativa a una persona física en combinación con uno o más de los siguientes elementos de datos en combinación con cualquier código de seguridad requerido:

  • Número de Seguro Social
  • Número de licencia de conducir
  • Número de cuenta

La Ley SHIELD amplía la ley para incluir información biométrica, nombre de usuario o dirección de correo electrónico y credenciales de contraseña.

¿Qué salvaguardas se incluyen en la Ley SHIELD?

La Ley SHIELD exige que cualquier persona o empresa que mantenga información privada adopte medidas de seguridad administrativas, técnicas y físicas. La ley enumera algunas salvaguardas, pero no pretende ser una lista exhaustiva.

Las salvaguardas administrativas razonables incluyen:

  • Designar a uno o más empleados para coordinar el programa de seguridad
  • identificar los riesgos internos y externos razonablemente previsibles
  • Evaluar la suficiencia de las salvaguardias establecidas para controlar los riesgos identificados;
  • Capacitación y gestión de los empleados en las prácticas y procedimientos del programa de seguridad
  • seleccionar proveedores de servicios capaces de mantener salvaguardas apropiadas y exigir esas salvaguardas por contrato
  • Ajustar el programa de seguridad a la luz de cambios comerciales o nuevas circunstancias

Las salvaguardas técnicas razonables incluyen:

  • Evaluación de riesgos en el diseño de redes y software
  • Evaluación de riesgos en el procesamiento, transmisión y almacenamiento de información
  • Detección, prevención y respuesta a ataques o fallos del sistema
  • Probar y monitorear regularmente la efectividad de los controles, sistemas y procedimientos clave

Las salvaguardas físicas razonables incluyen:

  • Evaluación de los riesgos de almacenamiento y eliminación de información
  • Detección, prevención y respuesta a intrusiones
  • Protección contra el acceso o uso no autorizado de información privada durante o después de la recopilación, el transporte y la destrucción o eliminación de la información
  • Deshacerse de la información privada dentro de un período de tiempo razonable después de que ya no sea necesaria para fines comerciales mediante la eliminación de los medios electrónicos para que la información no pueda ser leída o reconstruida

¿Cuáles son las obligaciones de las empresas cuando se produce un incumplimiento?

La ley exige que la persona o empresa notifique a los consumidores afectados después de descubrir una violación en la seguridad de su sistema de datos informáticos que afecte a la información privada. La divulgación debe hacerse en el momento más oportuno posible, de conformidad con las necesidades legítimas de los organismos encargados de hacer cumplir la ley. Si bien la ley exige que se notifique a la Oficina de la Fiscal General del Estado de Nueva York (OAG), al Departamento de Estado de Nueva York y a la Policía del Estado de Nueva York sobre el momento, el contenido y la distribución de los avisos y el número aproximado de personas afectadas, la presentación de un formulario de violación a través del portal de informes de violación de datos de la OAG es suficiente. ya que la información se envía automáticamente a las tres entidades de informes crediticios que se enumeran a continuación.

EQUIFAX

P.O. Caja 105788
Atlanta, GA 30348
1-800-349-9960
www.equifax.com

EXPERIAN

Asistencia contra el Fraude al Consumidor
P.O. Casilla 9554
Allen TX 75013
1-888-397-3742
www.experian.com

TRANSUNIÓN

P.O. Caja 2000
Chester, PA 19016-2000
1-800-909-8872
www.transunion.com

Si usted es un consumidor afectado por una infracción, presente una queja. No envíe una notificación de infracción.

¿Hay alguna excepción a los requisitos de notificación?

La ley también prevé la notificación sustitutiva a los consumidores si la empresa demuestra a la Oficina de la Fiscal General del Estado de Nueva York que:

  • El costo de proporcionar un aviso regular excedería los $250,000
  • La clase de personas afectadas supera las 500.000
  • La entidad o empresa no tiene suficiente información de contacto

Cuando se utilice una notificación sustitutiva, esta deberá constar de todo lo siguiente, según corresponda:

  • Aviso por correo electrónico
  • Publicación visible en el sitio web de la entidad
  • Notificación a los medios de comunicación estatales

Además, la ley no exige que se notifique al consumidor si:

  • La exposición de información privada fue una divulgación inadvertida por parte de personas autorizadas para acceder a información privada
  • La persona o empresa determina razonablemente que dicha exposición no probablemente resultará en un uso indebido de dicha información o daño financiero para las personas afectadas, o en daño emocional en el caso de divulgación desconocida de credenciales en línea

Dicha determinación debe documentarse por escrito y mantenerse durante al menos cinco años. Si el incidente afecta a más de 500 residentes de Nueva York, la persona o empresa debe proporcionar la determinación por escrito al Fiscal General dentro de los 10 días posteriores a la determinación.

¿Cuáles son las sanciones por violaciones a la Ley SHIELD?

En virtud de la Ley SHIELD, el Fiscal General puede solicitar medidas cautelares, restitución y sanciones contra cualquier entidad comercial por violar la ley. Por no proporcionar una notificación oportuna, el tribunal puede imponer una multa civil de hasta $20 por caso de notificación fallida, que no exceda los $250,000. Por no mantener salvaguardas razonables, el tribunal puede imponer una multa civil de hasta $5,000 por violación.