Recientemente, ha habido medidas enérgicas contra las empresas que obtienen información personal de sus consumidores. Esta información personal incluye factores como la edad, los ingresos y los miembros del hogar. Estos tipos de información personal también se denominan información de identificación personal o PII. Es muy importante que los consumidores comprendan sus derechos de privacidad y busquen justicia si ha habido un uso no autorizado de su información. Si cree que sus datos personales han sido violados, comuníquese hoy con un abogado de privacidad con experiencia en violación de datos de Heidari Law Group.
Muchos estados han estado creando leyes para disuadir a las empresas de obtener este tipo de información, citando una invasión de la privacidad. El 11 de septiembre de 2019 se aprobó en California un proyecto de ley que se refería específicamente a este asunto. Fue presentado a la Asamblea General de California por el Fiscal General de California, Xavier Becerra. Una vez que se aprobó el proyecto de ley, la Ley se denominó Enmiendas a la Ley de Privacidad del Consumidor de California. Ya existía la Ley de Privacidad del Consumidor de California hace un par de años, sin embargo, muchos legisladores creían que no era tan estricta como podría ser. bajo AB 1130, la información de identificación personal incluía el nombre, apellido, número de seguro social, número de licencia de conducir e información médica de alguien. Además, la dirección de correo electrónico, el nombre de usuario, la contraseña y una pregunta de seguridad de una persona también se han agregado como información de identificación personal. Según la ley, cualquier tipo de información que pueda obtenerse a través de registros públicos no se considera información de identificación personal. Después de que se aprobó esta ley en 2019, la ley se volvió más amplia e incluyó información como huellas dactilares, escaneos oculares, números de identificación fiscal y números de pasaporte.
La ley específica de notificación de violación de seguridad de datos de California dice:
“La ley de California requiere que una empresa o agencia estatal notifique a cualquier residente de California cuya información personal no cifrada, como se define, fue adquirida, o se cree razonablemente que ha sido adquirida, por una persona no autorizada. (Código Civil de California s. 1798.29(a)[agencia] y California Civ. Código S. 1798.82(a)[persona o negocio] .)”
“Cualquier persona o empresa que deba emitir una notificación de violación de seguridad a más de 500 residentes de California como resultado de una sola violación del sistema de seguridad deberá enviar electrónicamente una sola copia de muestra de esa notificación de violación de seguridad, excluyendo cualquier información de identificación personal, al Fiscal General. (Código Civil de California s. 1798.29(s)[agencia] y California Civ. Código S. 1798.82(f)[persona o negocio] .)”
Esta ley anterior entró en vigencia a partir del 1 de enero de 2020.
¿Qué es una violación de datos?
Según la Ley de Violación de Seguridad de Datos de California, una violación de seguridad es el acceso no autorizado a datos computarizados de una empresa que incluye información de identificación personal de consumidores específicos. Esto incluye información confidencial, además de sortear los muros de seguridad establecidos. Esto es esencialmente cuando una persona piratea una empresa para obtener acceso a información personal. Hay diferentes formas en que podría ocurrir una piratería, que incluyen, pero no se limitan a:
- Cuando una empresa cree razonablemente que una persona no autorizada ha obtenido acceso a la información
- El programa de seguridad implementado para proteger la información ha detectado alguna forma de piratería no autorizada.
- Se ha utilizado la clave de cifrado, también conocida como contraseña de seguridad, lo que lleva a la empresa a creer razonablemente que se ha producido una infracción.
¿Qué necesitan hacer las empresas?
Las empresas que necesitan recopilar información personal deben demostrar que tienen un contrato válido con un tercero y deben especificar quién es el tercero que también tiene acceso a esta información. La razón para recopilar esta información debe ser por una buena causa. El tercero también debe tener procedimientos y prácticas de seguridad implementados para proteger esta información.
La protección de la información personal puede incluir prácticas comerciales como la trituración de documentos físicos, la eliminación y actualización de documentos de datos personales y la creación de documentos encriptados y difíciles de piratear. No existe una regla clara sobre lo que las empresas deben hacer para proteger esta información, sin embargo, las empresas deben proteger «razonablemente» estos datos a través de cualquier medio.
¿Qué es un «negocio»?
Cuando la ley establece que las empresas deben proteger esta información, la definición de negocio se refiere a empresas unipersonales, corporaciones, sociedades y cualquier tipo de Institución. Esta es una categoría muy amplia que incluye casi todas las entidades. Se considera que un «consumidor» es cualquier residente de California. Un residente de California debe estar domiciliado en California, y alguien que haya dejado el estado temporalmente todavía está cubierto por esta ley.
Pero algunas empresas no necesitan cumplir con la ley de notificación de incumplimiento de California. Estos negocios incluyen proveedores de atención médica, instituciones financieras específicas bajo la Ley de Privacidad de Información Financiera de California y negocios que están regulados por leyes federales.
Si hay una violación de datos, las empresas deben enviar avisos a los residentes de California si más de 500 residentes de California se han visto afectados. Otra forma en que un residente puede verificar si sus datos han sido violados es revisando la página de búsqueda de violaciones de seguridad de datos . Una vez que los visitantes ingresan al sitio, pueden escribir el nombre de la organización y la fecha del rango de incumplimiento. Luego pueden verificar si sus datos han sido violados o utilizados de alguna manera.
¿Cómo debe una empresa notificar a sus consumidores?
La Ley de violación de datos de California requiere que estas empresas notifiquen por escrito a sus consumidores si ha habido una violación de datos no autorizada. Las empresas deben notificar a aquellas personas cuyos datos de hecho han sido violados. La empresa debe enviar estos avisos a los consumidores lo antes posible. Antes de enviar estos avisos, las empresas deben notificar a la policía. Si ha habido más de 500 personas cuyos datos han sido violados en un caso, la empresa también debe notificar al Fiscal General de California. El aviso de violación de datos enviado a los consumidores debe incluir:
- La información de contacto de la empresa.
- La fecha en que se produjo el incumplimiento.
- El tipo de información de identificación personal que se ha tomado
- Cómo ocurrió el incidente de incumplimiento
- Servicios para mitigar la brecha de identidad
- Servicios de provisión de robo de identidad
- Qué ha hecho la empresa para evitar más infracciones (opcional)
- Lo que la persona debe hacer ahora para avanzar (opcional)
Además de estos factores anteriores, hay varios otros factores que se requieren dependiendo de la situación. Es importante buscar el consejo de un abogado comercial con experiencia para determinar cómo notificar a los consumidores adecuadamente para evitar futuras demandas.
Lo que esto significa para usted
Si usted es un consumidor al que se le han violado recientemente sus datos, debe buscar el consejo de un abogado comercial con experiencia de inmediato. Puede solicitar una consulta gratuita en nuestra firma de abogados Heidari para determinar si sus datos realmente han sido violados y cuáles son sus opciones legales. Tenemos oficinas ubicadas en las principales ciudades, incluidas Los Ángeles, Irvine, Las Vegas y Sacramento.
Usted es una empresa y cree que está sujeto a esta ley, comuníquese con nuestros abogados para obtener ayuda sobre cómo proteger los datos y asistencia legal para navegar a través de una violación de datos. Las leyes de privacidad cambian constantemente, por lo que es importante que las empresas se mantengan informadas sobre cualquier ley nueva. California y Nevada han estado impulsando leyes de privacidad en los últimos años, por lo que siempre está evolucionando. Constantemente se imponen nuevos requisitos a las empresas. Es importante contar con un equipo legal al que pueda llamar para obtener asesoramiento sobre cómo proceder con los problemas de privacidad, protección y seguridad del consumidor.
***Descargo de responsabilidad: Este blog fue creado por Heidari Law Group con fines educativos. Este artículo proporciona una comprensión general de la ley. No proporciona consejos específicos. Al usar este sitio y leer este blog, no se crea una relación abogado-cliente entre usted y cualquier miembro de Heidari Law. Además, debido al cambio constante de la ley, es posible que algunas partes de la información anterior ya no sean válidas.