Pasos para notificar violaciones de datos en San Francisco

En San Francisco, California, los residentes que sufran o conozcan una violación de datos personales deben seguir pasos claros para limitar el daño y cumplir con las obligaciones legales de notificación. Esta guía explica quién debe notificar, los plazos habituales, cómo informar incidentes dentro de la ciudad y cómo la ley estatal orienta la notificación a las personas afectadas y a los reguladores. Utilice los pasos de acción abajo para contener incidentes, preservar evidencia y cumplir las obligaciones de aviso.

Sanciones y aplicación

Las obligaciones estatales primarias para la notificación de violaciones que se aplican a residentes y empresas de San Francisco están reguladas por la ley estatal; las ordenanzas municipales específicas sobre multas por notificación de violaciones no se especifican en la página citada ^[1]. La aplicación puede ser realizada por el Fiscal General de California y mediante acciones privadas cuando la ley lo permite.

• Multas monetarias: no se especifican en la página municipal citada; los remedios de ejecución y sanciones civiles del estado se describen en el estatuto y la orientación citados ^[1].
• Escalamiento: los calendarios de multas por primera o repetida infracción no se especifican en las páginas municipales; consulte el estatuto estatal para el alcance de la aplicación ^[1].
• Sanciones no monetarias: pueden incluir órdenes de notificación, medidas cautelares y acciones judiciales según la aplicación estatal o demandas civiles; las órdenes administrativas locales no se especifican en la página citada.
• Autoridad y vías de denuncia: el Fiscal General de California aplica los requisitos estatales de notificación; el Departamento de Tecnología de San Francisco coordina la respuesta a incidentes de TI locales (ver sección de Ayuda y Recursos).
• Apelación/revisión: los derechos de apelación procedimentales para acciones de ejecución no se especifican en las páginas municipales; los procedimientos de revisión siguen las normas de la autoridad que aplica y los procesos judiciales aplicables.
• Defensas/discreción: las excepciones legales (por ejemplo, acceso autorizado o cifrado seguro que hace los datos ininteligibles) se regulan por el estatuto estatal y la orientación ^[1].

Solicitudes y formularios

No existe un formulario único de la ciudad de San Francisco para la notificación de violaciones publicado en las páginas municipales citadas; la orientación estatal y plantillas de ejemplo están disponibles en la oficina del Fiscal General de California y el estatuto describe el contenido y destinatarios requeridos ^[2].

Cómo informar y siguientes pasos

Siga estos pasos prácticos inmediatamente tras detectar una violación para reducir daños y cumplir con las obligaciones legales de notificación.

• Contener el incidente: aislar los sistemas afectados y detener el acceso no autorizado en curso.
• Preservar evidencia: asegurar registros, marcas de tiempo y copias de los registros afectados.
• Determinar el alcance: identificar las categorías de información personal expuesta y estimar el número de personas afectadas.
• Notificar a las personas afectadas y a los reguladores requeridos según la ley; los destinatarios y el contenido requerido están especificados en el estatuto ^[1].
• Informar internamente: contacte al responsable de seguridad de su organización y, para sistemas de la ciudad, notifique al equipo de respuesta a incidentes del Departamento de Tecnología de San Francisco.

Preguntas frecuentes

¿Quién debe notificar después de una violación de datos?

Cualquier persona o empresa que posea o tenga licencias sobre información personal de residentes de California y descubra una violación debe proporcionar aviso según el estatuto estatal y la orientación ^[1].

¿Qué debe incluir una notificación?

Las notificaciones deben describir el incidente, los tipos de información involucrada y los pasos que las personas pueden tomar para protegerse; los requisitos exactos figuran en el estatuto y la guía del Fiscal General ^[2].

¿Con qué rapidez se debe notificar?

El estatuto exige que el aviso se haga en el tiempo más expedito posible y sin demora injustificada, compatiblemente con las necesidades legítimas de las fuerzas del orden; consulte el texto del estatuto para la norma precisa ^[1].

Cómo hacerlo

1. Confirme la violación y su alcance mediante la recopilación de registros del sistema e identificación de los registros afectados.
2. Contenga y remedie: aísle sistemas, elimine accesos maliciosos y aplique correcciones.
3. Prepare las notificaciones: redacte avisos individuales y los avisos a reguladores siguiendo el estatuto y las plantillas del Fiscal General ^[2].
4. Entregue las notificaciones: envíe avisos a las personas afectadas y, cuando lo exija la ley, al Fiscal General de California u otras agencias.
5. Realice seguimiento: ofrezca monitoreo de crédito si procede, complete revisiones internas e implemente controles para prevenir recurrencias.

Conclusiones clave

• Notifique con prontitud y documente la cronología y el contenido de sus avisos.
• Reporten los incidentes al Departamento de Tecnología de San Francisco y a los reguladores cuando sea requerido.

Ayuda y soporte / Recursos

• Departamento de Tecnología de San Francisco - Seguridad y respuesta a incidentes
• Oficina del Fiscal de la Ciudad de San Francisco
• SF311 - Servicios y reportes de la ciudad

1. [1] California Civil Code § 1798.82 (Disposiciones sobre notificación de violaciones)
2. [2] Fiscal General de California - Informes y orientación sobre violaciones de datos