La ley SB 1386 de California fue aprobada por la legislatura de California y modificó la ley de California que regula la privacidad de la información personal : códigos civiles 1798.29, 1798.82 y 1798.84. Este fue un ejemplo temprano de muchas leyes futuras de notificación de violaciones de seguridad en los EE. UU. e internacionales ; fue presentado por el senador estatal de California Steve Peace el 12 de febrero de 2002 y entró en vigencia el 1 de julio de 2003. [1]
Promulgación de un requisito de notificación a cualquier residente de California cuya información personal no cifrada haya sido, o se crea razonablemente que haya sido, adquirida por una persona no autorizada. Esto exige que una agencia, persona o empresa que realice negocios en California y posea o tenga licencia para "información personal" computarizada revele cualquier violación de seguridad (a cualquier residente cuyos datos no cifrados se crea que hayan sido divulgados). [2]
El proyecto de ley establece diversos mecanismos y procedimientos con respecto a muchos aspectos de este escenario, sujetos también a otras disposiciones definidas.
Toda agencia que posea o tenga licencia para datos computarizados que incluyan información personal deberá revelar cualquier violación de la seguridad del sistema luego del descubrimiento o notificación de la violación de la seguridad de los datos a cualquier residente de California cuya información personal no cifrada haya sido, o se crea razonablemente que haya sido, adquirida por una persona no autorizada. Una corporación de otro estado que tenga información personal relacionada con un residente de California estaría sujeta a este estatuto. Entonces surgiría una pregunta sobre los contactos mínimos en cuanto a si se puede iniciar una acción en California para hacer cumplir los derechos del residente de California conforme al estatuto.
Las corporaciones que no tienen sede física en California no están sujetas a la ley de California. El hecho de que la SB 1386 afecte a una corporación de otro estado se basa en la noción de jurisdicción "cuasi in rem", una noción que la Corte Suprema invalidó en Shaffer v. Heitner .
Las corporaciones pueden determinar si están sujetas a este estatuto revisando las siguientes preguntas:
Una corporación que responda sí a las cinco preguntas debe presentar un informe.
La ley no se aplica a la información "encriptada". Por lo tanto, una forma de evitar la presentación de informes es encriptar toda la "información personal". Una corporación también puede evitar la presentación de informes si sus datos no contienen "información personal" relacionada con un residente de California.
"Información personal" significa el nombre o la inicial y el apellido de una persona en combinación con uno o más de los siguientes elementos de datos, cuando el nombre o los elementos de datos no están encriptados:
La "información personal" no incluye información disponible públicamente que se pone legalmente a disposición del público en general a partir de registros del gobierno federal, estatal o local.