Ley de Detener Hacks y Mejorar la Seguridad de Datos Electrónicos (Ley SHIELD)

¿Cuál es el significado de esta ley?

La Ley SHIELD, promulgada el 25 de julio de 2019 por el gobernador Andrew Cuomo, modifica la Ley de Notificación y Incumplimiento de Seguridad de la Información de Nueva York de 2005. La Ley SHIELD fortalece significativamente las leyes de seguridad de datos de Nueva York al:

  • ampliar los tipos de información privada para los cuales las empresas deben dar aviso al consumidor en caso de incumplimiento
  • exigir que las empresas desarrollen, implementen y mantengan salvaguardas razonables para proteger la seguridad, confidencialidad e integridad de la información privada

¿Qué tipos de incumplimientos de seguridad están cubiertos por esta ley?

Bajo la ley de 2005, una violación de seguridad se define como una adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información privada. La Ley SHIELD amplía la definición de violación de seguridad a cualquier" acceso" a datos computarizados que comprometa la confidencialidad, seguridad o integridad de los datos privados.

¿En qué consiste la información privada?

Según la ley de 2005, la información privada era cualquier información personal relativa a una persona física en combinación con uno o más de los siguientes elementos de datos en combinación con cualquier código de seguridad requerido:

  • Número de Seguro Social
  • número de licencia de conducir
  • número de cuenta

La Ley SHIELD amplía la ley para incluir información biométrica, nombre de usuario o dirección de correo electrónico y credenciales de contraseña.

¿Qué salvaguardas están incluidas en la Ley SHIELD?

La Ley SHIELD requiere que cualquier persona o empresa que mantenga información privada adopte salvaguardas administrativas, técnicas y físicas. El acto enumera algunas salvaguardas, pero no pretende ser una lista exhaustiva.

Las salvaguardias administrativas razonables incluyen:

  • designar a uno o más empleados para coordinar el programa de seguridad
  • identificar riesgos internos y externos razonablemente previsibles
  • evaluar la suficiencia de las salvaguardias existentes para controlar los riesgos identificados
  • capacitar y administrar a los empleados en las prácticas y procedimientos del programa de seguridad
  • seleccionar proveedores de servicios capaces de mantener salvaguardas adecuadas y exigir dichas salvaguardas por contrato
  • ajustar el programa de seguridad a la luz de los cambios del negocio o nuevas circunstancias

Las salvaguardas técnicas razonables incluyen:

  • evaluación de riesgos en el diseño de redes y software
  • evaluación de riesgos en el procesamiento, transmisión y almacenamiento de información
  • detectar, prevenir y responder a ataques o fallas del sistema
  • probar y monitorear regularmente la efectividad de los controles, sistemas y procedimientos clave

Las salvaguardias físicas razonables incluyen:

  • evaluar los riesgos de almacenamiento y disposición de la información
  • detectar, prevenir y responder a las intrusiones
  • protección contra el acceso o uso no autorizado de información privada durante o después de la recolección, transporte y destrucción o eliminación de información
  • disponer de información privada dentro de un plazo razonable después de que ya no sea necesaria para fines comerciales borrando los medios electrónicos para que la información no pueda leerse o reconstruirse

¿Cuáles son las obligaciones de las empresas cuando se produce un incumplimiento?

La ley exige que la persona o empresa notifique a los consumidores afectados después de descubrir una violación en la seguridad de su sistema de datos informáticos que afecte a la información privada. La divulgación debe hacerse en el tiempo más conveniente posible, congruente con las necesidades legítimas de los organismos encargados de hacer cumplir la ley. Si bien la ley requiere que se notifique a la Oficina del Fiscal General del Estado de Nueva York (OAG), al Departamento de Estado de Nueva York y a la Policía del Estado de Nueva York el momento, el contenido y la distribución de los avisos y el número aproximado de personas afectadas, la presentación de un formulario de incumplimiento a través del portal de reporte de violaciones de datos de la OAG es suficiente, ya que la información se envía automáticamente a las tres entidades informadoras de crédito enumeradas a continuación.

EQUIFAX

Apartado postal 105788
Atlanta GA 30348
1-800-349-9960
www.equifax.com

EXPERIAN

Asistencia en Fraude al Consumidor Apartado

Postal 9554 Allen TX 75013
1-888-397-3742
www.experian.com

TRANSUNIÓN

Apartado postal 2000
Chester PA 19016-2000
1-800-909-8872
www.transunion.com

Si eres un consumidor afectado por un incumplimiento, presenta una queja. No enviar una notificación de incumplimiento.

¿Hay alguna excepción a los requisitos de notificación?

La ley también prevé la notificación sustitutiva a los consumidores si el negocio demuestra a la Fiscalía General del Estado de Nueva York que:

  • el costo de proporcionar una notificación regular superaría los 250.000 dólares
  • la clase de personas afectadas supera los 500,000
  • la entidad o negocio no tiene suficiente información de contacto

Cuando se utilice aviso sustitutivo, éste deberá constar de todos los siguientes, según corresponda:

  • aviso por correo electrónico
  • publicación visible en el sitio web de la entidad
  • notificación a los medios de comunicación en todo el estado

Además, la ley no requiere notificación al consumidor si:

  • la exposición de información privada fue una divulgación inadvertida por parte de personas autorizadas para acceder a información privada
  • la persona o empresa determina razonablemente que tal exposición no resultará probablemente en un mal uso de dicha información o daño financiero a las personas afectadas, o en daño emocional en el caso de divulgación desconocida de credenciales en línea

Dicha determinación deberá documentarse por escrito y mantenerse durante al menos cinco años. Si el incidente afecta a más de 500 residentes de Nueva York, la persona o negocio debe proporcionar la determinación por escrito al Fiscal General dentro de los 10 días siguientes a la determinación.

¿Cuáles son las sanciones por violaciones a la Ley SHIELD?

En virtud de la Ley SHIELD, la Procuraduría General de la República podrá solicitar medidas cautelares, restituciones y sanciones contra cualquier entidad mercantil por violar la ley. Por no proporcionar la notificación oportuna, el tribunal podrá imponer una sanción civil de hasta 20 dólares por instancia de notificación fallida, que no supere los 250 mil dólares. Por no mantener salvaguardias razonables, el tribunal podrá imponer una pena civil de hasta 5 mil dólares por violación.