Colorado: 40 violaciones de datos desde la nueva ley de privacidad de los consumidores ...y contando.

Las brechas de ciberseguridad que exponen la información personal de los consumidores se han convertido en algo habitual. Y las leyes de protección de datos de los consumidores de Colorado están ahí para ofrecer la tranquilidad de que si esto ocurre con los datos personales de los propios residentes, la empresa afectada debe notificarlo en un plazo de 30 días.

La ley estatal entró en vigor en septiembre de 2018. Pero solo cinco meses después, en febrero de 2019, 33 organizaciones ya habían informado de violaciones de datos, con notificaciones enviadas a más de 91.000 residentes de Colorado, según la oficina del Fiscal General de Colorado.

Ahora bien, esa cifra puede parecer baja, teniendo en cuenta las violaciones de datos que afectaron a 500 millones de clientes de Marriott y a 50 millones de usuarios de Facebook.

Pero la cuestión es la siguiente. ¿Cuántas empresas cumplen con la ley o saben que existe la ley de Colorado?

Benjamin Hase es un abogado de Colorado y gestor de información del Employers Council, una organización especializada en ayudar a las empresas en materia de derecho laboral. Dijo Hase, "Hemos tenido algunas" brechas, ...Hemos tenido [miembros] que han sido hackeados. Hemos tenido gente con portátiles robados".

Según la "nueva" ley, las empresas sólo están obligadas a notificar a la oficina del fiscal general si una violación de datos afecta a más de 500 residentes de Colorado.

La Ley de Privacidad de Datos de los Consumidores de Colorado, que comenzó como el Proyecto de Ley de la Cámara 1128, se aprobó rápidamente en la legislatura estatal en 2018, y se considera una de las leyes de privacidad más estrictas de los EE. UU. Esto se debe principalmente al período de notificación de 30 días. (El estándar de la industria está más cerca de 45 a 60 días).

Pero muchas empresas todavía no han implantado procesos y políticas para cumplir la nueva ley, aunque las empresas que son conscientes de ello están dispuestas a cumplirla.

dijo Hase: "Hemos emitido algunos de estos [avisos], pero nada tan grande como para tener que decírselo a la oficina del fiscal general". Y añadió. "Si a eso le sumamos las muchas organizaciones que todavía no saben nada de esto, ¿quién sabe cuántas [infracciones] hay ahí fuera?".

Cualquier organización que disponga de información personal identificable (PII) de residentes de Colorado, independientemente del lugar en el que se encuentre la empresa, incluso fuera del estado, está obligada a cumplir la ley. La ley responsabiliza a las empresas de la protección de los datos de los consumidores, de la gestión adecuada de los mismos y del borrado de dichos datos cuando ya no sean necesarios.

La Ley de Protección del Consumidor de Colorado define los datos personales como el nombre de una persona, más otro identificador, como un número de seguro médico, datos biométricos o una pregunta de seguridad que desbloquea la cuenta de un usuario.

Para las empresas afectadas, el aspecto más difícil de la ley es el periodo de notificación de 30 días, dijo Esteban Morin, abogado especializado en privacidad y seguridad de datos. Morin dijo:

"Muchas veces, no se conoce el alcance total de la información que se ha visto afectada y hay que recurrir a los ciberforenses para que entren en ella. Eso puede llevar mucho tiempo, pero estás en este reloj muy rígido, ... Nos ha hecho tomar algunas decisiones complicadas".

Morin añadió que algunos clientes podrían tener que notificar a los clientes en oleadas a medida que la investigación de la violación continúa. A medida que se descubran más cuentas afectadas, se enviará la notificación, aunque sea después del plazo de 30 días.

"Puede que corra el riesgo de violar el estatuto de los 30 días, pero es lo mejor que puede hacer. El (plazo de) 30 días es un reto y ha provocado mucho estrés". dijo. "Pero al mismo tiempo, entiendo que representa información personal y que el compromiso de la misma puede causar daño a la identidad y las finanzas de una persona".

Phil Weiser, fiscal general del Estado, dijo que, aunque lleva mucho tiempo elaborar un plan para gestionar los datos de los consumidores -y averiguar qué datos personales hay que eliminar-, es necesario hacerlo.

 (Jesse Paul, The Colorado Sun)

"Hay veces que las empresas, pensemos en Target y Equifax, han sido complacientes y no han tomado medidas razonables que exponen a los consumidores a sufrir daños. El robo de identidad aumenta año tras año porque es muy atractivo para los hackers robar la información de los consumidores y abusar de ella" dijo Weiser. "Tenemos que asegurarnos de que hacemos todo lo posible. Voy a hacer de ello una prioridad absoluta para mi administración".

La ciudad de Denver ha sido objeto de dos informes de auditoría sobre la inseguridad de las carpetas de la red y las políticas obsoletas. Desde entonces, la ciudad ha resuelto la mayoría de los problemas señalados por el auditor. Sin embargo, todavía está trabajando en la clasificación de todos los datos personales de los consumidores que posee, para determinar qué debe conservarse o borrarse, según Dawn Summers, primera responsable de protección de datos de la ciudad.

Algunas empresas no se han sentido tan desafiadas en el cumplimiento de la nueva ley. Una de ellas es Gusto, una empresa de nóminas y prestaciones con sede en Denver y San Francisco. La empresa ya había cumplido con normativas como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH).

Un portavoz de Gusto dijo:

"Nos encogimos de hombros y dijimos que ya cumplíamos con la HIPAA y la HITECH, ... Siempre que hay algún tipo de legislación o normativa sobre privacidad o seguridad de datos, echamos un vistazo para asegurarnos de que la cumplimos. Si hay algo que se nos escapa, nos tomamos el tiempo necesario para resolverlo".

Mientras tanto, Phil Weiser sigue adelante con la idea de reforzar la protección de los consumidores. Recientemente se unió a los fiscales generales de una treintena de estados para instar a la FTC a que actualice las normas relativas al robo de identidad. Weiser también está trabajando en la creación de un grupo de empresas locales y expertos en ciberseguridad para colaborar en las mejores prácticas.

"Hay, creo, una oportunidad real para nosotros aquí en Colorado, para que estemos a la vanguardia del desarrollo de una mejor ciberseguridad, una mejor privacidad de datos y mejores prácticas de seguridad". dijo Weiser.

La mayoría estará de acuerdo en que las leyes de protección del consumidor de Colorado han animado a las empresas a perfeccionar sus prácticas de gestión de datos y a asegurarse de que eliminan la información personal de la gente cuando ya no es necesaria. añadió Morin:

"Honestamente, libra por libra, hay algunas complicaciones con el plazo de 30 días, ...pero creo que en general, el hecho es que ha provocado conversaciones adicionales y ha estimulado a las empresas a examinar el panorama general y hablar de los riesgos a los que nos enfrentamos si hay un incidente de seguridad o de los problemas que tenemos".

Más información: AG Colorado,

¿Tiene su empresa intereses comerciales en el estado de Colorado? Comparta sus comentarios o preocupaciones a continuación.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.