Ley robo identidad requiere empresas notifiquen

En Puerto Rico, la Ley 111 de 7 de septiembre de 2005 conocida como la  “Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información”  intenta proteger ciudadanos ante el robo o usurpación de información.  La misma le impone la obligación a empresas que sean propietarias o custodien bancos de información  “que incluya información personal de ciudadanos residentes en Puerto Rico, o que provea acceso a tales bancos de información, “ a notificar a dichas personas de “cualquier violación de la seguridad del sistema.”

A esta ley le siguieron otras relacionadas a la confidencialidad del número de seguro social:

• Núm. 186 – 1 de  septiembre de 2006 – prohíbe utilizar el número de seguro social como identificación en las instituciones educativas públicas y privadas.

• Núm. 187 de  1 de septiembre de 2006- requiere a las  agencias públicas y  privadas que establezcan mecanismos para mantener confidencial el número del seguro social de sus clientes.

• Núm. 207- 27 de septiembre de 2006- prohíbe utilizar el número de seguro social en tarjetas de identificación de empleados públicos y privados; limitando su uso  – sujeto a salvaguardar su confidencialidad- para propósitos internos (contratación, retención de contribuciones y aportaciones al seguro social, etc.) e impone multas de hasta 5 mil por violación.

• Núm. 243 de 10 de noviembre de 2006- Para disponer la política pública sobre el uso del número de seguro social como verificación de identificación y la protección de su confidencialidad; disponer los límites y requisitos para el uso de este dato por parte de entidades públicas estatales y municipales; prohibir el uso de dicho número en las tarjetas de identificación o en cualquier documento de circulación general, o como número de caso, querella o cliente; disponer sobre sanciones por incumplimiento, dar un plazo para la implantación y derogar la Ley Núm. 28 de 10 de enero de 1998, según enmendada.
• 2012-39-  Relacionada a la información que recopilan los sitios webs que operan en Puerto Rico y la obligación de tener una política de privacidad.

La ley 111 se enfoca más en el deber de tener que mantener la seguridad de toda la información personal que una empresa tenga de un ciudadano y le impone el deber de mitigar daños; entre los cuales está el deber de notificar a los perjudicados.

• Para los fines de la Ley Archivo de información personal” se refiere a un expediente que contenga al menos el nombre o primera inicial y el apellido paterno de una persona, combinado con cualquiera de los siguientes datos de tal manera que se puedan asociar los unos con los otros y en el que la información sea legible sin necesidad de usar para acceder a ella una clave criptográfica especial:

1.   Número de Seguro Social
2. Número de Licencia de Conducir, Tarjeta Electoral u otra Identificación Oficial
3. Números de cuentas bancarias o financieras de cualquier tipo, con o sin las claves de acceso que puedan habérsele asignado
4. Nombres de usuario y claves de acceso a sistemas informáticos públicos o privados
5. Información médica protegida por la Ley HIPAA
6. Información contributiva
7. Evaluaciones laborales

• No se incluye dentro de la información protegida la dirección postal/residencial ni información de documento público y esté disponible para la ciudadanía en general.

•  “Violación de la Seguridad del Sistema” significa cualquier situación en que se detecte que se ha permitido el acceso de personas o entidades no autorizadas a los archivos de datos de modo que la seguridad, confidencialidad o integridad de la información en el banco de datos quede en entredicho; o cuando haya este acceso por personas o entidades normalmente autorizadas y se sepa o haya sospecha razonable que han violado la confidencialidad profesional u obtuvieron su autorización bajo falsas representaciones con la intención de hacer uso ilegal de la información. Incluye tanto el acceso a los bancos de información a través del sistema como el acceso físico a los medios de grabación que los contienen y cualquier sustracción o movimiento indebido de dichas grabaciones.

• Toda entidad propietaria o custodia de un banco de información para uso comercial que incluya información personal de ciudadanos residentes en Puerto Rico, deberá notificar a dichos ciudadanos de cualquier violación de la seguridad del sistema, cuando los bancos de datos cuya seguridad fue violada contuvieran todo o parte de su archivo de información personal y la misma no estuviera protegida con claves criptográficas más allá de una contraseña.

•  Toda entidad que dentro de sus funciones revenda o provea acceso a bancos de información digitales que a su vez contengan archivos de información personal de ciudadanos deberá notificar al propietario, custodio o tenedor de dicha información de cualquier violación de la seguridad del sistema que haya permitido el acceso a aquellos archivos por personas no autorizadas.

•  La notificación a la clientela deberá hacerse de la manera más expedita posible, tomando en consideración la necesidad de las agencias del orden público de asegurar posibles escenas de delito y pruebas así como de la aplicación de medidas necesarias para restaurar la seguridad del sistema. Las partes responsables informarán dentro de un plazo improrrogable de diez (10) días de detectarse la violación de la seguridad del sistema al Departamento, el cual hará anuncio público al respecto dentro de veinticuatro (24) horas de recibir la información.

• La notificación de violación indicará, hasta donde lo permitan las necesidades de cualquier investigación o caso judicial que se encuentre en curso, la naturaleza de la situación, el número de clientes potencialmente afectados, si se han radicado querellas criminales, qué medidas está tomando al respecto y un estimado del tiempo y costo requerido para rectificar la situación. En el caso que se sepa específicamente en qué se violó la confidencialidad de la información de un cliente identificable, dicho cliente tendrá derecho a conocer qué información quedó en entredicho.

•   Para notificar a los ciudadanos, la entidad tendrá las siguientes opciones:

1. Notificación escrita directa a los afectados, por vía postal o por vía electrónica autenticada de acuerdo con la Ley de Firmas Digitales;
2.  Cuando el costo de notificar a todos los potencialmente afectados de acuerdo al inciso (1) o de identificarlos sea excesivamente oneroso por la cantidad de personas afectadas, la dificultad en localizar a todas las personas, o la situación económica de la empresa o entidad; o siempre que el costo exceda los cien mil (100,000) dólares o el número de personas las cien mil, la entidad llevará a cabo su notificación mediante los siguientes dos pasos:
3. Despliegue prominente de un anuncio al respecto en el local de la entidad, en la página electrónica de la entidad, si alguna, y dentro de cualquier volante informativo que publique y envíe a través de listas de correo tanto postales como electrónicas; y
4. Comunicación al respecto a los medios de prensa, que informe de la situación y provea información sobre cómo comunicarse con la entidad para darle mayor seguimiento. Cuando la información sea de relevancia en un sector profesional o comercial específico, se podrá efectuar este anuncio a través de las publicaciones o la programación orientada a ese sector de mayor circulación.

 Conforme la ley, DACO aprobó un reglamento para el cumplimiento de sus disposiciones- # 7376 – 26 junio de 2007. El Secretario podrá imponer multas desde quinientos (500) dólares hasta un máximo de cinco mil (5,000) dólares por cada violación a las disposiciones de esta Ley o de su Reglamento. Las multas dispuestas en este Artículo no afectan los derechos de los consumidores de iniciar acciones o reclamaciones en daños ante un tribunal competente.