Leyes de privacidad de datos de Colorado ~ Al día con las últimas modificaciones

La mayoría de las empresas actualizan sus políticas cada vez que hay un cambio en las leyes que rigen los seguros médicos o los salarios. Sin embargo, muchas empresas tardan en reaccionar a las modificaciones de las leyes de privacidad de datos.

En septiembre del año pasado, Colorado actualizó la Ley de Protección de la Privacidad de los Datos de los Consumidores, que entró en vigor el 29 de mayo de 2018. Esta última modificación introduce normas más estrictas para la protección de la información de identificación personal (IIP) de los consumidores y afecta a empresas de todos los tamaños, en la mayoría de los sectores.

Para cualquier lector que no esté familiarizado con lo que constituye la IIP, los ejemplos típicos incluyen:

  • número de la seguridad social;

  • Número de tarjeta de identificación;

  • dirección de residencia;

  • licencia de conducir emitida por el gobierno

  • número de pasaporte;

  • datos biométricos;

 Lo primero y más importante

Cualquier empresa, independientemente de su tamaño, que recoja, almacene o procese información de identificación personal, ya sea en papel o en formato digital, está obligada a tomar todas las medidas "razonables" para proteger la información de identificación personal que conserve. Las empresas tienen cierto grado de flexibilidad a la hora de aplicar los procedimientos adecuados en función de sus recursos y su contexto, ya que actualmente no existe una definición del término "razonable". Comprensiblemente, esto puede ser motivo de cierta incertidumbre para las empresas que buscan respuestas claras y concisas a las preguntas sobre si están haciendo lo suficiente según la ley.

Así que, para aclarar las cosas, vamos a proceder a un resumen de los últimos cambios...

¿A quién afectan los cambios en las leyes de privacidad de datos de los consumidores de Colorado?

La respuesta oficial, según el Fiscal General de Colorado, es:

"Cualquier persona, entidad comercial o entidad gubernamental que mantenga, posea o licencie información de identificación personal ("PII") de residentes de Colorado en el curso de su negocio, vocación u ocupación".

¿Cómo han cambiado las leyes?

Los tres cambios más significativos son los siguientes:

  1. La ley que exige la eliminación de la IIP requiere ahora políticas escritas que regulen la eliminación de los registros, tanto en papel como en formato electrónico, que contengan IIP.

  2. Una nueva ley exige a las personas y entidades cubiertas que tomen medidas razonables para proteger la información personal.

  3. La ley que exige la notificación de las violaciones de la seguridad de los datos requiere ahora una notificación detallada a los consumidores y, en determinadas circunstancias, una notificación al Fiscal General.

Los cambios anteriores entraron en vigor el 1 de septiembre de 2018.

Veamos ahora cada una de estas enmiendas con más detalle y adelantémonos a algunas de las preguntas típicas que se hacen:

#1 ~ Eliminación de información de identificación personal

Si su empresa es propietaria o licenciataria de IIP, ya sea en papel o en formato digital, está obligada a desarrollar y aplicar una política escrita para garantizar que la IIP se destruya cuando ya no sea necesaria.

¿Qué es la IIP? Como ya se ha mencionado brevemente, la IIP incluye información como: números de la seguridad social; números de identificación personal; contraseñas; códigos de acceso; números de permisos de conducir o tarjetas de identificación oficiales del estado o del gobierno; números de pasaportes gubernamentales; datos biométricos; números de identificación del empleador, del estudiante o del ejército; y dispositivos de transacciones financieras, incluidos los números de cuentas financieras.

Una de las preguntas más frecuentes que recibimos es:

  • Estoy regulado por la ley estatal o federal, y mi regulador establece sus propios requisitos para la eliminación de la información de identificación personal. ¿Es suficiente con seguir esas leyes y reglamentos?

Respuesta: Sí. Si mantiene procedimientos para la eliminación de la IIP de acuerdo con las leyes, normas, reglamentos, orientaciones o directrices establecidas por su regulador estatal o federal, está cumpliendo con la ley de Colorado que rige la eliminación de la información de identificación personal.

#2 ~ Protección de la información de identificación personal

  • ¿Qué medidas me exige la ley para proteger la IIP que mantengo, poseo o autorizo en el curso de mi negocio?

Está obligado a tomar medidas de seguridad razonables para proteger la IIP, teniendo en cuenta la naturaleza y el tamaño de su empresa y el tipo de IIP que está recogiendo. Véase C.R.S. § 6-1-713.5 si es usted una persona o entidad comercial, C.R.S. § 24-73-102 si es una entidad gubernamental.

  • Estoy regulado por la ley estatal o federal, y mi regulador establece sus propios requisitos para la protección de la información personal. ¿Es suficiente con seguir esas leyes y reglamentos?

    Respuesta: Sí. Si mantiene procedimientos para la protección de la información de identificación personal de acuerdo con las leyes, normas, reglamentos, orientaciones o directrices establecidas por su regulador estatal o federal, está cumpliendo con la ley de Colorado que rige la protección de la IIP.

Soy un proveedor de servicios de terceros que mantiene, almacena o procesa información de identificación personal para clientes. Cuáles son mis obligaciones para proteger esa IIP?

Respuesta: A menos que su cliente acepte proporcionar su propia protección de seguridad para la IIP que le revele, debe exigirle que implemente y mantenga procedimientos y prácticas de seguridad que sean apropiados para el tipo de IIP que su cliente está revelando y que estén razonablemente diseñados para ayudar a proteger la IIP del acceso, uso, modificación, divulgación o destrucción no autorizados.

#3 ~ Notificación de violación de la seguridad

  • ¿Qué es un fallo de seguridad?

    Una violación de la seguridad es la adquisición no autorizada de datos informáticos no codificados que comprometen la seguridad, la confidencialidad o la integridad de la información personal mantenida por una persona, una entidad comercial o una entidad gubernamental.

    Algunos ejemplos son:

    • un pirata informático que accede y adquiere datos informáticos;

    • acceso no autorizado a una red informática a través de contraseñas débiles;

    • la información del consumidor no cifrada enviada a través de un sistema de pago;

    • un maletín u ordenador portátil que contenga archivos de clientes y que sea robado o extraviado; o

    • un dispositivo móvil o un dispositivo de almacenamiento de datos que contenga IIP que sea robado o extraviado.

  • I soy una persona, entidad comercial o entidad gubernamental que recopila IIP. ¿Necesito familiarizarme con las actualizaciones de las leyes de notificación de violaciones de seguridad de Colorado?

    Respuesta: Sí. Se han producido cambios significativos en los requisitos de notificación de violaciones de seguridad. La nueva ley también impone requisitos de notificación de violaciones de seguridad para las entidades gubernamentales.

  • ¿Qué tipo de información violada cubre la ley?

    La ley cubre las violaciones de la "información personal", lo que significa el nombre o la inicial del nombre y el apellido de un residente de Colorado en combinación con cualquiera de los siguientes datos:

    • Número de la Seguridad Social

    • Número del permiso de conducir o del documento de identidad

    • Número de identificación de estudiante, militar o de pasaporte

    • Información médica

    • Número de identificación del seguro médico

    • Datos biométricos (por ejemplo, huellas dactilares, reconocimiento del iris, escáneres de retina)

  • U¿En qué circunstancias tengo que notificar a los residentes de Colorado una violación de la seguridad?

    Respuesta: Si tiene conocimiento de que puede haberse producido una violación de la seguridad, debe llevar a cabo una investigación rápida y de buena fe para determinar la probabilidad de que la información personal haya sido o vaya a ser utilizada indebidamente. A menos que la investigación determine que la información no ha sido utilizada de forma indebida y que no es razonablemente probable que se utilice de forma indebida, debe notificarlo a los residentes de Colorado afectados.

  • ¿De cuánto tiempo dispongo para avisar a los residentes de Colorado afectados?

    Respuesta: Debe notificar en el plazo más breve posible, sin demora injustificada, y dentro de los 30 días siguientes a la fecha en que se determine que se ha producido una violación de la seguridad.

    Puede tardar más de 30 días en notificar si un organismo policial le ha ordenado que no envíe la notificación, o si es necesario un plazo superior a 30 días para determinar el alcance de la infracción y restablecer la integridad razonable del sistema de datos informatizado.

  •  Aparte de los residentes de Colorado afectados, ¿tengo que notificar a alguien más?

    Respuesta: Sí. Si se cree razonablemente que la violación de la seguridad ha afectado a 500 o más residentes de Colorado, debe notificar la violación de la seguridad al Fiscal General de Colorado. 

    Debe proporcionar esta notificación en el plazo más breve posible y sin demora injustificada, pero a más tardar 30 días después de la fecha de determinación de que se ha producido una violación de la seguridad.  

    Si se cree razonablemente que la violación de la seguridad ha afectado a más de 1.000 residentes de Colorado, debe notificar a las agencias de informes de los consumidores que recopilan y mantienen archivos sobre los consumidores a nivel nacional. Debe notificar a estas agencias la fecha prevista para la notificación a los residentes y el número aproximado de residentes a los que se debe notificar. Deberá realizar esta notificación en el plazo más breve posible y sin retrasos injustificados.

    A la fecha de este post, los sitios web de las agencias de información crediticia son:

  •  ¿Cómo debe realizarse la notificación a los residentes de Colorado?

    • La notificación debe hacerse por escrito en la dirección postal del residente de Colorado;

    • Aviso telefónico, o

    • Aviso electrónico

    Existen algunas excepciones a la obligación de notificar por cualquiera de los métodos mencionados:

    Puede proporcionar una notificación sustitutiva si:

    • el coste de la notificación superará los $250.000;

    • el número de residentes de Colorado a notificar supera los 250.000; o

    • no tiene suficiente información de contacto para avisar.

  •  ¿Cuáles son los requisitos para la notificación sustitutiva?

    La notificación sustitutiva debe ser proporcionada por:

    • Correo electrónico, si tiene las direcciones de correo electrónico de todos los residentes de Colorado afectados;

    • Publicación visible del aviso en su sitio web; y

    • Notificación a los principales medios de comunicación del Estado

  • ¿Qué información debo incluir en la notificación a los residentes de Colorado?

    La notificación debe incluir lo siguiente:

    • La fecha, la fecha estimada o el intervalo de fechas estimado de la violación de la seguridad;

    • Una descripción de la información personal que fue adquirida como parte de la violación de seguridad (o que se cree razonablemente que fue adquirida);

    • Información que un residente puede utilizar para ponerse en contacto con usted para preguntar sobre la violación de la seguridad;

    • Una declaración de que el residente puede obtener información de la comisión federal de comercio y de las agencias de información crediticia sobre las alertas de fraude y la congelación de seguridad;

    • Los números de teléfono gratuitos, las direcciones y los sitios web de las agencias de información al consumidor;

 IMPORTANTE: Usted NO debe proporcionar al Fiscal General la PII que fue violada. Si la oficina requiere información adicional, alguien se pondrá en contacto con su contacto principal como se ha descrito anteriormente para solicitar esa información.

Nuestro punto de vista

Aunque algunos pueden considerar que estos cambios en las leyes de protección de datos de los consumidores de Colorado son una "orden alta", en particular para las pequeñas empresas, estas enmiendas son vitales, con el fin de proteger la información personal de los consumidores.

Una mayor protección de los datos puede ayudar a reducir las violaciones de datos, que a menudo conducen al robo de identidad y a las transacciones fraudulentas. Una filtración de datos puede dar lugar a multas punitivas, costes legales y daños a la reputación.

En nuestro mundo conectado, alimentar la confianza de los consumidores es primordial si queremos construir una base sólida de clientes leales. Cuando los intereses de los consumidores están debidamente protegidos, las empresas se benefician de las ventas y los beneficios. Al reforzar sus leyes de protección de datos, Colorado está en vías de reducir el tipo de violaciones de datos y de la privacidad que han provocado grandes costes para las empresas de todo Estados Unidos.

Este artículo contiene una versión abreviada del contenido publicado en el sitio web del fiscal general de Colorado.

Fuentes y créditos: Fiscal General - Estado de Colorado

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.