Por el licenciado Jean G. Vidal-Font (Ferraiuoli LLC)

Hoy en día, las empresas dependen más de sus sistemas de tecnología y computadoras, mientras que, a la misma vez, hay un alza en ataques cibernéticos a empresas locales (como los conocidos «ransomware»). Donde existe aún mayor peligro, ya bien por riesgo legal, es aquellos sistemas de computadoras que almacenan información personal de los usuarios, u otras personas ya sean clientes o visitantes.

En Puerto Rico, la Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información (Ley Núm. 11-2005) coloca en el Departamento de Asuntos del Consumidor (DACO) la potestad de reglamentar la misma, por lo cual DACO emitió el Reglamento No. 7376 (Reglamento sobre Información al Ciudadano sobre Seguridad de Bancos de Información).

Bajo el Reglamento, la siguiente información se considera como información personal, a saber:

• número de seguro social
• número de licencia de conducir, tarjeta electoral u otra identificación oficial
• números de cuentas bancarias o financieras de cualquier tipo
• nombre de usuarios y claves de acceso a sistemas de información
• información médica protegida por la Ley HIPAA
• información contributiva
• evaluaciones laborales

Entonces, de entrada, toda empresa debe hacer un cotejo para determinar si almacena cualquiera de los antes mencionados renglones de información personal, y de este ser el caso, debe determinar qué medidas de seguridad está tomando para esta información personal en los sistemas de computadoras y redes.

Lo recomendable aquí es contar con un equipo o persona diestra en seguridad informática para asegurar que la información personal esté segregada del resto de los datos y que cuente con más de una capa de protección (ya sea con contraseñas más fuertes, autenticación de dos factores, el cifrado y/o el enmascaramiento de datos).

Mientras mejores medidas se puedan tener antes del siniestro, la empresa estará en mejor posición de reducir su exposición una vez ocurra un evento.

Ahora bien, de haber un acceso no autorizado, y de cualquier renglón de la información personal antes mencionada ser comprometida, la empresa impactada tiene un periodo improrrogable de 10 días calendarios para notificarle a DACO de la violación de acceso, los datos que fueron comprometidos y los pasos que está tomando para remediar la brecha y notificar a los clientes impactados.

De la misma forma, hay un deber de notificar a la clientela de la manera más expedita posible.

El Reglamento provee que si hay que notificar a ciudadanos, debe hacerse de manera escrita ya sea postal o electrónica y, de ser onerosa la comunicación directa (que el costo exceda los $100 mil), entonces el Reglamento permite que se haga mediante anuncios en la prensa o en páginas de internet.

Todo esto es sin perjuicio a que, de haber clientes impactados en otros estados, se debe acudir a las leyes de esos estados para determinar que pasos adicionales la empresa debe tomar, y así cumplir con los estatutos del domicilio de las personas impactadas.

En resumen, ante la situación de una brecha de seguridad de base de datos, las empresas deben:

1. usar las herramientas tecnológicas que tengan a su alcance para cerrar la vulnerabilidad que permitió el acceso no autorizado, y de no contar con ese equipo, contratar de manera inmediata un equipo de seguridad digital para llevar a cabo el proceso
2. notificar a sus representantes legales para empezar el curso de las notificaciones requeridas por ley, y de haber un seguro de cyber policy, notificar al mismo para los correspondiente pasos
3. notificar a los ciudadanos y/o clientela según ordena el Reglamento
4. notificar a DACO dentro de los 10 días que dispone la ley