A finales del mes de julio de este año, se publicó en el Estado de Nueva York una nueva ley, conocida como “Shield Act”, que amplía las obligaciones de notificación en caso de violación de datos y, por primera vez, impone obligaciones en materia de seguridad.

A continuación destacamos los principales cambios introducidos:

Expansión de la jurisdicción

En línea con la tendencia a la extraterritorialidad cada vez más extendida en la legislación sobre protección de datos y ciberseguridad, como es el caso Reglamento de Protección de Datos de la Unión Europea, la nueva ley extiende su ámbito de aplicación a las entidades o personas que estén en propiedad de información privada de los residentes de Nueva York, independientemente de si las mismas realizan o no negocios en este Estado.

Información privada

La legislación anterior exigía que las entidades que sufrieran una brecha de seguridad relacionada con la información privada lo notificaran a los individuos afectados y a las autoridades neoyorkinas, o bien, en caso de afectar a más de 5000 personas, a las agencias de consumidores.

Se definía “información privada” como la información personal (aquella relativa a una persona natural que permite identificarla), en combinación con uno de los siguientes datos: i) número de la seguridad social; ii) licencia de conducir y iii) número de la tarjeta de crédito o débito con una contraseña que permitiera acceder a la información financiera.

Con la nueva ley se mantiene la obligación de notificación y se amplía la definición de la información privada, agregando dos elementos: i) número de cuenta o número de tarjeta de crédito o débito que acceda a información financiera sin una contraseña de acceso; y ii) datos biométricos.

Así mismo, añade la obligación de notificación cuando la brecha de información se refiera a un nombre de usuario o una dirección de correo electrónico, con una contraseña o pregunta/respuesta que permita el acceso a una cuenta en línea; ello independientemente de que se combine o no con información personal.

Brecha de seguridad

Por otra parte, la nueva ley modifica la definición de brecha o violación de seguridad para contemplar no solamente la obtención no autorizada de la información privada, sino también el acceso no autorizado a la misma, desencadenando ambas acciones la obligación de notificación.

Mecanismos de seguridad

Además, por primera vez la normativa exige que las empresas desarrollen, implementen y mantengan mecanismos (administrativos, técnicos y físicos) para garantizar la seguridad de los datos que contengan información privada, recalcando que deberán ser siempre razonables y acordes con la sensibilidad de los datos, así como con el tamaño y la complejidad de su negocio.

No obstante lo anterior, la ley exime de esta exigencia a las pequeñas empresas y a aquellas que sean reguladas y cumplan con cualquier otra regla y/o regulación en materia de seguridad a nivel federal o a nivel del Estado de Nueva York. El resto de empresas deberán tener implantados estos mecanismos de seguridad antes del 21 de marzo de 2020.

Sanciones

Finalmente, aumenta las sanciones civiles por incumplimiento de la obligación de notificación. Así, mantiene el mínimo de 5000 dólares por incumplimiento del deber de notificación, pero duplica la penalización por notificación fallida a 20000 dólares, con un límite de 250000.