Leyes de datos personales y seguridad cibernética en los EEUU

Actualmente ya se puede decir que los 50 estados de la nación estadounidense cuentan con algún tipo de regulación que tiene que ver con el tratamiento de la protección de datos relacionado con el ámbito de la seguridad cibernética.

Lo anterior es muy importante de conocer por las empresas pues aquellas empresas que operan en el país, y que lo hacen en más de un estado, lo hacen en un entorno que no resulta homogéneo en el aspecto que aquí nos ocupa y aquello que establece la ley en un estado determinado puede ser ostensiblemente diferente en otro. Del mismo modo puede decirse que la ley no establece exactamente lo mismo en un lugar que en otro.

clause-1462968_1280.png

Así, las responsabilidades en las cuales puede incurrir una empresa o negocio cualquiera en el caso de que sus datos se vean expuestos por un acceso indebido a los mismos pueden ser muy diferentes y de calado muy diverso. Todo ello afecta tanto a los datos que la susodicha empresa pueda disponer de sus clientes, de sus empleados o de cualquier tercero.

Aunque, tal y como se está mencionando, la legislación es diferente según cada estado cierto resulta que existe un común denominador que se puede considerar que aplica de forma transversal con independencia del estado: la necesidad de notificar de la brecha en los datos a la persona afectada (y en el caso de los datos afectos derivados de una relación mercantil entre empresas sobre el cliente de una empresa que mantenga la otra para el envío de comunicaciones comerciales, entonces la comunicación la deberá realizar la empresa afectada a la empresa que es titular primaria de los datos de su cliente afectado).

La necesidad de notificación es algo común a los distintos estados, pero no lo es el momento en el cual nace la obligación de realizar esa comunicación. Una buena norma general al respecto sería la de decir que nace comúnmente cuando se ha producido una exfiltración o se han visto comprometidos en cualquier grado datos relacionados con los supuestos que se expondrán a continuación:

Si se ha producido una exfiltración del nombre y apellido de la persona en cuestión normalmente requerirá de notificación, lo mismo sucederá si el dato comprometido tiene que ver con datos financieros (numeración de tarjetas de crédito, cuentas bancarias, etc.).

En el mismo supuesto que en los casos anteriores nos encontramos ante una situación donde los datos comprometidos tienen que ver con una dirección de correo electrónico o con los números de la seguridad social o de la licencia de conducir, así como con datos relacionados con el perfil médico utilizado por las aseguradoras.

Por supuesto lo anterior no resulta para nada una lista exhaustiva y no detalla cada uno de los supuestos, sea cual sea el caso resulta de interés el recordar que aplicará la jurisdicción del estado de la persona afectada y no la del estado en el cual se encuentre la empresa.

Existen una serie de recomendaciones generales a seguir por las empresas para evitar ser pasto de estos sucesos, así como existen algunas promulgaciones de obligado cumplimiento al respecto, siempre aplicando la realidad estatal que resulte de menester. Cabe destacar que cada vez más se habla de un entorno federal que vendrá a marcar, en mayor medida, una línea común que no ponga fin a la disparidad pero que sí que haga un poco más homogéneo más el dispar marco regulatorio “ciberlegal” actual.

Desde Castillón Consulting Abogados ofrecemos todo tipo de servicios legales en los Estados Unidos de América y, personalmente, ofrezco todo tipo de servicios y formación relacionada con el ámbito de la ciberseguridad.

Anuncios

Acerca de Jordi G. Castillón

Empresario.
Esta entrada fue publicada en Sin categoría. Guarda el enlace permanente.