A Flórida reformula a sua lei de notificação de violação de segurança de dados, em vigor a partir de 1 de julho de 2014
Esta ação na Flórida dá continuidade a uma série de propostas e leis recentes sobre violação de dados em vários estados, incluindo Califórnia, Novo México, Iowa e Kentucky. Entre outras coisas, a lei altera a definição de informações pessoais que podem desencadear uma exigência de notificação, adicionando seguro de saúde, informações médicas, informações financeiras e informações de contas online, tais como perguntas e respostas de segurança, endereços de e-mail e palavras-passe. A lei atual abrange o primeiro nome ou inicial e apelido de um indivíduo, em combinação com: (i) um número de segurança social; (ii) número da carta de condução ou cartão de identificação; (iii) ou número de conta, número de cartão de crédito ou débito em combinação com qualquer código de segurança ou palavra-passe necessário para aceder à conta.
A notificação às pessoas afetadas deve ser feita o mais rapidamente possível, mas no máximo 30 dias após a descoberta da violação ou após a empresa ter motivos razoáveis para acreditar que ocorreu uma violação. As leis atuais exigem que a notificação seja feita sem atrasos injustificados e no máximo 45 dias após a descoberta da violação.
No caso de uma violação de dados que afete 500 ou mais residentes, é necessário enviar uma notificação por escrito ao Procurador-Geral no prazo máximo de 30 dias após a descoberta da violação. Se solicitado pelo Procurador-Geral, a empresa deve fornecer uma cópia das suas políticas em vigor relativas a violações, medidas tomadas para corrigir a violação e um relatório policial, relatório de incidente ou relatório forense informático ao Procurador-Geral.
Se a violação envolver mais de 1.000 indivíduos, a empresa também deve notificar as principais agências de relatórios de crédito (Experian, TransUnion e Equifax).
A notificação não é necessária se, após a organização realizar uma investigação adequada e consultar as autoridades competentes, a empresa determinar razoavelmente que a violação não resultou nem é provável que resulte em roubo de identidade ou qualquer outro dano definitivo às pessoas afetadas. A determinação deve ser documentada por escrito, mantida por pelo menos 5 anos e fornecida ao Procurador-Geral no prazo de 30 dias após a determinação ser feita.
A lei acrescenta a exigência de que as empresas devem usar medidas razoáveis para proteger e garantir a segurança das informações pessoais em formato eletrónico. Embora a lei não forneça detalhes sobre quais podem ser essas medidas, em caso de violação de segurança, a empresa precisará demonstrar, no mínimo, que utilizou proteções comercialmente razoáveis para proteger as informações pessoais, de acordo com os padrões do setor.
Por fim, a lei autoriza ações coercitivas por parte do Procurador-Geral, nos termos da Lei de Práticas Comerciais Desleais e Enganosas da Flórida, em caso de quaisquer violações. As sanções civis podem chegar a US$ 500.000 – US$ 1.000 por dia durante os primeiros 30 dias da violação e US$ 50.000 por cada período subsequente de 30 dias, até um máximo de 180 dias. Se a violação continuar por mais de 180 dias, as sanções podem chegar a US$ 500.000.
Impacto nos negócios
A lei impõe requisitos adicionais e mais rigorosos para empresas que sofrem uma violação de segurança que exponha informações pessoais de clientes, funcionários ou outros indivíduos. A violação pode ser resultado de um hacker malicioso, funcionário insatisfeito ou perda inadvertida de um computador portátil ou smartphone contendo informações pessoais. As empresas devem modificar os seus planos de resposta a incidentes de violação de dados para cumprir os novos requisitos (e, obviamente, desenvolver um plano de resposta, caso ainda não tenham um). As empresas devem garantir que, se uma violação resultar num pedido do Procurador-Geral para que as políticas aplicáveis das empresas sejam apresentadas, essas políticas estejam em conformidade com a lei e as melhores práticas atuais.
O Legal News Alert faz parte do nosso compromisso contínuo em fornecer informações atualizadas sobre questões urgentes ou assuntos do setor que afetam os nossos clientes e colegas. Se tiver alguma dúvida sobre esta atualização ou quiser discutir este tópico mais detalhadamente, entre em contacto com o seu advogado da Foley ou com os seguintes profissionais:
Chanley T. Howell
Jacksonville, Flórida
904.359.8745
[email protected]
James R. Kalyvas
Los Angeles, Califórnia
213.972.4542
[email protected]
Michael R. Overly
Los Angeles, Califórnia
213.972.4533
[email protected]
Steven M. Millendorf
San Diego, Califórnia
858.847.6737
[email protected]
