Guía de ciberseguridad y notificación de violaciones en Los Ángeles

Tecnología y Datos California 4 minutos de lectura · publicado febrero 02, 2026 Flag of California

Las organizaciones y contratistas de Los Ángeles, California deben seguir las directrices de seguridad de la información de la ciudad y las leyes estatales de notificación de violaciones cuando se expone información personal. Esta guía resume las responsabilidades municipales aplicables, cómo y cuándo informar una violación, las vías de aplicación y pasos prácticos para cumplir con los deberes de notificación y remediación.

Ámbito y normas aplicables

Los departamentos de la ciudad y los contratistas que operan en Los Ángeles deben seguir las directrices de seguridad de la información de la Ciudad de Los Ángeles y las leyes estatales de notificación de violaciones que imponen obligaciones de notificar a las personas afectadas y, en casos especificados, a las autoridades estatales. Cuando un incidente de seguridad implique información personal, coordine de inmediato con la oficina de tecnología de la ciudad y con asesoría legal. Para los umbrales y requisitos de notificación a nivel estatal, consulte la guía del Fiscal General de California sobre notificación de violaciones de datos California Attorney General - Data breaches[1].

Sanciones y aplicación

La aplicación de las obligaciones relacionadas con la ciberseguridad que se aplican a operaciones de la ciudad o contratistas se lleva a cabo mediante supervisión administrativa, recursos contractuales y la ley estatal aplicable. Las multas monetarias y las cantidades específicas de sanción para violaciones a nivel municipal no siempre están publicadas en las páginas de orientación principales de la ciudad; cuando no se indican cantidades a continuación se señala y se cita.

  • Multas monetarias: no especificado en las páginas de orientación de la ciudad citadas; las sanciones civiles estatales pueden aplicarse bajo la ley de California y se tratan en las páginas estatales citadas a continuación.
  • Recursos contractuales: el incumplimiento del contrato o el no seguir las políticas de TI de la ciudad puede provocar la terminación del contrato, retenciones de pagos o acciones de recuperación según los términos contractuales.
  • Acciones administrativas: la oficina de tecnología de la ciudad o el departamento contratante pueden emitir órdenes correctivas, exigir planes de remediación o restringir el acceso a sistemas.
  • Reporte e inspección: los incidentes se informan a la autoridad de TI de la ciudad y pueden dar lugar a auditorías o inspecciones técnicas por parte del equipo de seguridad de la ciudad.
Notifique de inmediato al responsable de TI/seguridad de la ciudad al identificar una posible violación.

Escalamiento y reincidencia: las multas de escalamiento específicas (primera infracción, repetición o multas diarias continuas) no están especificadas en las páginas de orientación de TI de la ciudad; cuando se apliquen estatutos estatales, la guía estatal rige las obligaciones de notificación y las consecuencias de la aplicación a nivel estatal[1].

Apelaciones, revisiones y plazos

  • Apelaciones y revisión administrativa: los procedimientos para apelar acciones administrativas de la ciudad están regidos por las normas del departamento ejecutor o el proceso de resolución de disputas contractuales; los plazos específicos no están especificados en las páginas de orientación de la ciudad citadas.
  • Plazos de reporte: la ley estatal requiere notificación oportuna; la guía del Fiscal General de California explica los plazos y umbrales para notificar a individuos y agencias.

Defensas y permisos

  • Defensas: las defensas comunes incluyen demostrar medidas de seguridad razonables, remediación pronta y dependencia de un proveedor tercero que cumplió los estándares contractuales; la disponibilidad de cada defensa depende del instrumento de aplicación y los hechos.
  • Permisos/variaciones: no existen "permisos" generales que eximan las obligaciones de notificación; los términos contractuales o directrices específicas de la ciudad pueden ofrecer excepciones limitadas y expresas, si están indicadas.

Violaciones comunes

  • No notificar a las personas afectadas dentro de los plazos requeridos.
  • Investigación insuficiente de la violación o no conservación de registros y evidencias.
  • No cumplimiento de controles de seguridad requeridos contractualmente para contratos de la ciudad.

Solicitudes y formularios

La ciudad no publica un "formulario de notificación de violación" universal para todos los incidentes en sus páginas principales de orientación de TI; los contratistas deben seguir los requisitos de reporte de su contrato y los procedimientos de reporte de incidentes de la ciudad, y cumplir los requisitos de notificación del Fiscal General de California cuando corresponda[1].

Pasos tras una posible violación

  • Notifique inmediatamente al responsable interno de TI/seguridad y al asesor legal y siga el canal de reporte de incidentes de la ciudad o del contrato.
  • Conserve registros, documente la línea de tiempo del incidente y aísle los sistemas afectados para evitar accesos adicionales.
  • Determine la naturaleza de los datos expuestos y si se cumplen los umbrales de notificación estatales; si se supera el umbral, prepare las notificaciones estatutarias.
  • Implemente la remediación y supervise posibles acciones de aplicación o medidas correctivas requeridas.
Documente las acciones y comunicaciones para respaldar cualquier apelación o revisión de cumplimiento posterior.

Preguntas frecuentes

¿Quién debe notificar a las personas afectadas tras una violación?
Las organizaciones que mantienen información personal de residentes de Los Ángeles deben notificar a las personas afectadas según la ley de California y seguir los procedimientos de reporte de la ciudad cuando los sistemas de la ciudad o los contratos estén implicados.
¿Cuándo se debe notificar al Fiscal General?
La guía del Fiscal General de California explica el umbral y los plazos para notificar al estado; consulte la guía estatal vinculada para conocer el umbral y los procedimientos vigentes[1].
¿Puede un contratista municipal ser multado por la Ciudad por una violación de datos?
Existen recursos contractuales y sanciones administrativas; las cantidades específicas de las multas no están especificadas en las páginas principales de orientación de TI de la ciudad.

Cómo hacer

  1. Identificar y contener el incidente: aislar sistemas afectados y conservar evidencia forense.
  2. Notificar a las partes internas: informar a seguridad, legal y oficiales de contratación y seguir los protocolos de la ciudad.
  3. Evaluar tipos y cantidades de datos afectados: determinar si se alcanzan los umbrales de notificación para individuos y agencias estatales.
  4. Preparar notificaciones legales: redactar notificaciones para las personas afectadas y notificaciones requeridas por el estado según la guía de California.
  5. Enviar notificaciones y remediar: enviar avisos, implementar medidas de remediación y documentar acciones correctivas.

Puntos clave

  • Siga los canales de reporte de incidentes de la ciudad de inmediato tras una sospecha de violación.
  • Cumpla los plazos y umbrales de notificación estatales; la guía del Fiscal General ofrece el estándar estatal actual[1].

Ayuda y recursos

  1. [1] California Attorney General - Data breach notification guidance

Categorías

Gobernanza y Administración General Seguridad Pública Salud Pública y Bienestar Uso de Suelo y Zonificación Vivienda y Normas de Construcción Transporte Protección Ambiental Parques y Espacios Públicos Negocios y Protección al Consumidor Tributación y Finanzas Trabajo y Empleo Educación Derechos Civiles y Equidad Elecciones y Financiamiento de Campañas Eventos y Usos Especiales Señalización y Publicidad Servicios Públicos e Infraestructura Tecnología y Datos