- Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información y el Reglamento sobre Información al Ciudadano sobre Seguridad de Bancos de Información de Puerto Rico
El 7 de septiembre de 2005 se aprobó la “Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información” (“Ley Núm. 11-2005”) con el propósito de proteger a los ciudadanos residentes en Puerto Rico víctimas de la usurpación de su identidad. A fin de poner en vigor las disposiciones de la Ley Núm. 11-2005 y de reglamentar lo relacionado a la seguridad de los bancos de información, el 25 de junio de 2007 el Secretario del Departamento de Asuntos del Consumidor de Puerto Rico (“DACO”) promulgó el Reglamento sobre Información al Ciudadano sobre Seguridad de Bancos de Información (“Reglamento Núm. 7376”). DACO es la entidad gubernamental encargada de proteger y defender los derechos de los consumidores.
Mediante el Reglamento Núm. 7376, DACO establece los derechos y responsabilidades de toda entidad propietaria o custodia de bancos de información, que incluyan información personal de los ciudadanos, al igual que las responsabilidades y obligaciones de toda entidad que provea acceso a tales bancos de información. El Reglamento define “archivo de información personal” como “un expediente que contenga al menos el nombre o primera inicial y el apellido paterno de una persona, combinado con cualquiera de los siguientes datos [i.e. número de Seguro Social; número de Licencia de Conducir, Tarjeta Electoral u otra Identificación Oficial, información médica protegida por la Ley de Portabilidad y Responsabilidad de Seguros de la Salud (“HIPPA”, por sus siglas en inglés”), entre otros] de tal manera que se puedan asociar los unos con los otros y en el que la información sea legible sin necesidad de usar para acceder a ella una clave criptográfica especial.”
El Reglamento Núm. 7376 le impone la obligación a la entidad propietaria o custodia de un banco de información de notificar a los ciudadanos de cualquier violación a la seguridad de los sistemas del banco de información cuando este banco contuviera todo o parte de su archivo de información personal y la información no estuviera protegida con claves criptográficas. Las obligaciones impuestas en el Reglamento Núm. 7376 también le son extensivas a toda entidad que dentro de sus funciones revenda o provea acceso a bancos de información digitales que a su vez contengan archivos de información personal de ciudadanos. El Reglamento Núm. 7376 establece cómo se hará el procedimiento de la notificación. Cualquier incumplimiento con las disposiciones del Reglamento Núm. 7376 conlleva la imposición de multas administrativas desde quinientos dólares (500,00 USD) hasta un máximo de cinco mil dólares (5.000,00 USD) por violación.
- Ley de Notificación de Política de Privacidad y el Reglamento para Implantar la Publicación de la Política de Privacidad en el Manejo de Datos Privados y Personales de Ciudadanos, según Recopilados por Comercios en Puerto Rico
Con el propósito de brindar a los ciudadanos en Puerto Rico una herramienta para proteger la integridad de su información personal y para que, de manera informada, los ciudadanos puedan decidir con quién sí y con quién no entablar relaciones comerciales a través del Internet, el 24 de enero de 2012 se aprobó la “Ley de Notificación Pública de Privacidad” (“Ley Núm. 39-2012”). Además, se aprueba la Ley Núm. 39-2012 con el propósito de, entre otros, prevenir que los ciudadanos sean víctimas del robo de su identidad cuando realizan transacciones comerciales a través del Internet. Por lo tanto, la Ley Núm. 39-2012 requiere que todo operador de una página de Internet notifique a sus usuarios su Política de Privacidad de una manera clara, concisa, conspicua y no ambigua a fin de dejarle saber a éstos, entre otros, (i) el tipo de información personal que recopila y/o conserva al acceder a la página de Internet; (ii) con quién comparte la información personal recopilada y/o conservada; y (iii) los métodos adoptados para realizar cambios a la Política de Privacidad y para notificar los mismos a sus usuarios.
El 27 de febrero de 2015 el Secretario del Departamento de Asuntos del Consumidor de Puerto Rico (“DACO”), entidad gubernamental creada para proteger y defender los derechos de los consumidores, promulgó el Reglamento para Implantar la Publicación de la Política de Privacidad en el Manejo de Datos Privados y Personales de Ciudadanos según Recopilados por Comercios en Puerto Rico (“Reglamento Núm. 8568”) con el propósito de poner en vigor las disposiciones de la Ley Núm. 39-2012. El Reglamento Núm. 8568 aplica a todo comercio registrado en Puerto Rico y/o que haga negocios en Puerto Rico y que, al hacerlos, recopile información de residentes de Puerto Rico a través del Internet. El Reglamento Núm. 8568 provee para que el comercio opte por diseñar su propia Política de Privacidad o seleccione uno de los tres modelos de políticas de privacidad que se incluyen como anejos al reglamento. Según el Reglamento Núm. 8568, el incurrir en la práctica de divulgar una política de privacidad que no corresponda a la realidad de las prácticas del manejo de información personal está sujeto a una multa administrativa de hasta un máximo de cincuenta mil dólares (50.000,00 USD). Cualquier otra violación a las disposiciones del Reglamento Núm. 8568 está sujeta a multas administrativas de hasta diez mil dólares (10.000,00 USD).