La ley de notificación de violaciones de datos de Massachusetts se hace efectiva | La legislación modificará "significativamente" la ley estatal de notificación de violaciones de datos.
El gobernador de Massachusetts, Charlie Baker, ha firmado una nueva legislación que se espera que tenga un impacto significativo en las leyes de notificación de violaciones de datos del estado. Las modificaciones entrarán en vigor a partir del 11 de abril de 2019.
Tal vez las modificaciones más significativas incluyan un nuevo requisito de ofrecer una supervisión crediticia gratuita durante "un período no inferior a 18 meses" cuando un incidente de seguridad de datos personales afecte al número de la Seguridad Social de un residente de Massachusetts. Este nuevo requisito alinea a Massachusetts con Delaware y Connecticut, como estados que requieren la oferta de monitoreo de crédito gratuito en tales situaciones.
Calendario de notificación de violaciones de datos
Al parecer, no se ha modificado el plazo de las obligaciones de notificación individual, que sigue siendo "tan pronto como sea posible y sin demora injustificada". Sin embargo, las nuevas modificaciones exigen una notificación continua a los individuos en determinadas circunstancias:
La notificación realizada en virtud de esta sección no se retrasará por el hecho de que aún no se haya determinado el número total de residentes afectados. En tal caso, y cuando sea necesario actualizar o corregir la información requerida, una persona o agencia deberá proporcionar una notificación adicional tan pronto como sea posible y sin demora injustificada tras conocer dicha información adicional.
Además, las notificaciones a los particulares deben ahora identificar el nombre de la empresa matriz o afiliada en los casos en que la organización afectada por una violación de la seguridad sea propiedad de otra persona o empresa.
Informar de la infracción a Asuntos del Consumidor
Otras actualizaciones notables son los tipos de información que deben proporcionarse a la Oficina del Fiscal General de Massachusetts y a la Oficina de Asuntos del Consumidor y Regulación Empresarial, en caso de una violación de la seguridad. Además de la información que debe proporcionarse a los reguladores estatales en virtud de la ley vigente, las enmiendas añaden el requisito de informar a los reguladores estatales "si la persona o agencia mantiene un programa de seguridad de la información por escrito."
Este nuevo requisito de la Ley de Notificación de la Violación de Datos de Massachusetts se deriva de la normativa existente de Massachusetts que obliga a "toda persona que posea o autorice información personal sobre un residente de la Commonwealth [a] desarrollar, aplicar y mantener un programa integral de seguridad de la información". 201 CMR § 17.03(1).
Otras enmiendas exigen que la persona afectada por una violación de la seguridad que afecte a su número de la Seguridad Social "presente un informe ante el fiscal general y el director de asuntos de consumo y regulación empresarial que certifique que sus servicios de supervisión del crédito cumplen" el nuevo requisito de ofrecer servicios de supervisión del crédito gratuitos durante un mínimo de 18 meses.
Más publicaciones sobre privacidad de datos en Estados Unidos
Fuentes y créditos: Monitor de privacidad de datos
