La Ley de Privacidad y Seguridad de Datos Personales de 2009 (S. 1490 Título oficial: Un proyecto de ley para prevenir y mitigar el robo de identidad, garantizar la privacidad, notificar las violaciones de seguridad y mejorar las sanciones penales, la asistencia policial y otras protecciones contra las violaciones de seguridad, el acceso fraudulento y el uso indebido de información de identificación personal ) fue un proyecto de ley propuesto en el Congreso de los Estados Unidos para aumentar la protección de la información de identificación personal por parte de empresas privadas y agencias gubernamentales, establecer pautas y restricciones sobre el intercambio de datos personales por parte de corredores de datos y aumentar las sanciones penales por robo de identidad y otras violaciones de la privacidad y seguridad de los datos. El proyecto de ley fue patrocinado en el Senado de los Estados Unidos por Patrick Leahy ( demócrata por Vermont ), donde se conoce como S.1490.
El senador Patrick Leahy presentó el proyecto de ley el 22 de julio de 2009 y fue remitido al Comité Judicial del Senado, donde fue aprobado. La última acción se produjo el 17 de diciembre de 2009. Este proyecto de ley no se debatió durante el 111.º Congreso de los Estados Unidos ni al final de la sesión 2009-2010 y nunca se convirtió en ley. [1]
El Servicio de Investigación del Congreso (CRS) de la Biblioteca del Congreso resume el proyecto de ley en sus cuatro partes principales.
Modifica el código penal federal para agregar el acceso intencional a una computadora sin autorización a la definición de actividad de crimen organizado .
Impone una multa y/o una pena de prisión de hasta cinco años por ocultar intencional y deliberadamente una violación de seguridad que involucre información personal identificable sensible que cause daño económico a una o más personas. Define la "información personal identificable sensible" como el nombre de una persona en combinación con otra información personal, como un número de seguro social, dirección de domicilio, fecha de nacimiento, datos biométricos o información de cuenta financiera.
Esto ordena a la Comisión de Sentencias de Estados Unidos revisar y modificar, si corresponde, las pautas de sentencia federales para personas condenadas por usar fraude para acceder o hacer mal uso de información personal identificable digitalizada o electrónica, incluidas las pautas de sentencia por robo de identidad.
Modifica el código federal de bancarrotas para prohibir la desestimación o conversión de un caso de bancarrota basado en el incumplimiento por parte de un deudor de los requisitos de elegibilidad de prueba de medios si dicho deudor es víctima de robo de identidad. [2]
Requiere que los corredores de datos interestatales (definidos como entidades comerciales que, a cambio de honorarios o cuotas monetarias, se dedican regularmente a la práctica de recopilar, transmitir o brindar acceso a información personal identificable confidencial sobre más de 5000 personas a terceros no afiliados de manera interestatal) que: (1) revelen a una persona solicitante todos los registros electrónicos personales pertenecientes a dicha persona en sus bases de datos o sistemas en el momento de dicha solicitud; (2) proporcionen orientación a dichas personas para corregir inexactitudes en sus registros; (3) proporcionen un aviso escrito o electrónico de cualquier acción adversa tomada contra una persona por un tercero con base en la información en sus bases de datos; y (4) corrijan cualquier información inexacta en sus bases de datos. Establece procedimientos para disputar la integridad o precisión de la información en la base de datos de un corredor de datos. Permite que un corredor de datos se niegue a investigar o finalice una revisión de información disputada por una persona si el corredor de datos determina razonablemente que la disputa es frívola y tiene la intención de perpetrar un fraude.
Impone sanciones civiles a los corredores de datos que violen los requisitos de este título. Otorga a la Comisión Federal de Comercio (FTC) autoridad de cumplimiento sobre los corredores de datos. Permite a los fiscales generales estatales presentar recursos civiles contra los corredores de datos que se considere que representan una amenaza para los residentes del estado.
Previene la regulación estatal de los corredores de datos.
Hace efectivas las disposiciones de este título 180 días después de la promulgación de esta Ley. [3]
Impone requisitos de un programa de seguridad y privacidad de datos personales a las entidades comerciales que mantienen información personal identificable sensible en formato electrónico o digital sobre 10,000 o más personas en los EE. UU. Exime de tales requisitos a ciertas instituciones financieras, entidades cubiertas por la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) y registros públicos.
Requiere que una entidad comercial sujeta a requisitos de seguridad y privacidad de datos: (1) implemente un programa integral de seguridad y privacidad de datos personales para garantizar la privacidad, seguridad y confidencialidad de información personal sensible y para proteger contra violaciones y acceso no autorizado a dicha información que podría crear un riesgo significativo de daño o fraude a cualquier individuo; (2) realizar evaluaciones de riesgos de posibles violaciones de seguridad; (3) adoptar políticas y procedimientos de control y gestión de riesgos; (4) garantizar la capacitación y supervisión de los empleados para la implementación de programas de seguridad de datos; y (5) realizar pruebas de vulnerabilidad y monitoreo de programas de seguridad y privacidad de datos personales.
Impone sanciones civiles a las entidades comerciales que violen los requisitos de privacidad y seguridad de datos de este subtítulo. Otorga autoridad de cumplimiento para tales requisitos a la FTC.
Prevalece las leyes estatales relacionadas con las garantías administrativas, técnicas y físicas para la protección de información confidencial de identificación personal. [4]
Requiere que cualquier agencia o entidad comercial con información personal identificable confidencial notifique sin demora irrazonable a cualquier residente de los EE. UU. sobre una violación de seguridad en la que se haya accedido o adquirido, o se crea razonablemente que se ha accedido o adquirido, la información de dicho residente.
Exime a las agencias o entidades comerciales de los requisitos de notificación de violaciones de seguridad si proporcionan una certificación escrita al Servicio Secreto de que proporcionar dicha notificación impediría una investigación criminal o dañaría la seguridad nacional. Requiere que el Servicio Secreto evalúe los méritos de dichas certificaciones.
Requiere que una agencia o entidad comercial notifique sobre una violación de seguridad a cualquier individuo afectado: (1) mediante notificación escrita a su última dirección postal conocida, por teléfono o por correo electrónico (si se dio consentimiento para la notificación por correo electrónico); y (2) a los principales medios de comunicación si el número de residentes en un estado afectado por una violación de seguridad supera los 5000.
Requiere que la notificación a las personas cuya información personal identificable confidencial ha sido accedida incluya: (1) una descripción de las categorías de información que un individuo no autorizado ha adquirido; y (2) números gratuitos para contactar a la agencia o entidad comercial cuyas bases de datos han sido violadas y las principales agencias de informes crediticios.
Requiere que cualquier entidad comercial o agencia que deba proporcionar notificación a más de 5,000 personas sobre una violación de seguridad notifique a todas las agencias de informes del consumidor.
Requiere que cualquier entidad o agencia comercial notifique al Servicio Secreto sobre violaciones de seguridad de información personal confidencial dentro de los 14 días posteriores a cualquier violación de seguridad de datos que involucre: (1) más de 10,000 personas; (2) una base de datos que contenga información sobre más de un millón de personas en todo el país; (3) una base de datos del gobierno federal; o (4) personas que se sabe que son empleados o contratistas del gobierno involucrados en la seguridad nacional o la aplicación de la ley. Requiere que el Servicio Secreto notifique a la Oficina Federal de Investigaciones (FBI), al Servicio Postal de los EE. UU . y al fiscal general de cada estado afectado sobre una violación de seguridad dentro de los 14 días posteriores a la recepción del aviso de cualquier violación.
Autoriza al Fiscal General a iniciar una acción civil, incluida una orden judicial, en un tribunal de distrito de los EE. UU. por violaciones a los requisitos de notificación de violaciones de seguridad.
Permite a los fiscales generales de los estados iniciar una acción civil en un tribunal de distrito de los EE. UU. para hacer cumplir los requisitos de notificación de violaciones de seguridad. Autoriza al Fiscal General a suspender o intervenir en cualquier acción estatal.
Declara que las disposiciones de este subtítulo reemplazarán cualquier otra disposición de la ley federal o estatal relacionada con la notificación por parte de una entidad o agencia comercial interestatal de una violación de seguridad.
Autoriza asignaciones al Servicio Secreto para realizar investigaciones y evaluaciones de riesgos de violaciones de seguridad.
Requiere que el Servicio Secreto informe al Congreso sobre las violaciones de seguridad que resulten de las exenciones de evaluación de riesgos.
Hace que las disposiciones de este subtítulo entren en vigor 90 días después de la promulgación de esta Ley. [5]
Requiere que el Administrador de la Administración de Servicios Generales (GSA), al otorgar contratos por un total de más de $500,000 a corredores de datos, evalúe sus programas de privacidad y seguridad de datos, su cumplimiento y el grado en que sus bases de datos y sistemas se han visto comprometidos por la seguridad. [6]
El apoyo de los medios de comunicación de la industria cibernética cuando se presentó por primera vez el proyecto de ley se refería a su enfoque integral de la seguridad de los datos y la información de identificación personal y las disposiciones para la rendición de cuentas en caso de violaciones de seguridad. [7] La naturaleza integral del proyecto de ley tenía como objetivo unir diferentes leyes del nivel estatal que protegen a algunos residentes en un proyecto de ley federal que tendría supremacía y ofrecería una mayor protección a la información de los individuos, [8] más notablemente anulando las leyes estatales de notificación de violaciones de datos . [9] Consumers Union , la editorial sin fines de lucro de Consumer Reports , se dirigió directamente al senador Leahy para ofrecer su apoyo. [10] Desafortunadamente para los defensores del proyecto de ley, el proyecto de ley no recibió la atención esperada en el Congreso.