Equifax
Este elemento es una profundización de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] En septiembre de 2017, la agencia de informes crediticios Equifax reveló que estaban sujetos a un hackeo masivo de información de identificación personal que pudo haber comprometido los datos de hasta 143 millones de estadounidenses. A diferencia de muchas otras violaciones de datos de alto perfil, es posible que muchas de las personas afectadas nunca hayan usado Equifax, hayan visto o aceptado sus políticas de retención de datos.
Puntualización
Sin embargo, sus datos eran accesibles y ahora están potencialmente comprometidos.
En Estados Unidos, bajo las teorías del daño en casos de violación de datos, por lo general, solo puede demandar a una parte que no cumplió con un deber que le debía. Este componente de la posición se aplica a los casos de violación de datos: ¿un acusado (persona contra la que se dirige un procedimiento penal; véase más sobre su significado en el diccionario y compárese con el acusador, público o privado) le debe a un demandante un deber de atención?
Un deber de cuidado puede surgir de una relación especial entre el acusado (persona contra la que se dirige un procedimiento penal; véase más sobre su significado en el diccionario y compárese con el acusador, público o privado) y el demandante o de un estatuto que rige una actividad en particular. Por ejemplo, la Ley de informes crediticios justos (FCRA, por sus siglas en inglés) establece estándares legales de atención sobre cómo las agencias de informes de los consumidores (como Equifax) usan o limitan el acceso a su información en el curso normal de los negocios. A continuación, describimos estos dos mecanismos y su aplicación a los casos de violación de datos.
I. relaciones especiales
Una relación especial, como la que existe entre un proveedor y un consumidor, un empleador y un empleado, o un fiduciario y un beneficiario, generalmente se codifica en un contrato.Entre las Líneas En la mayoría de los casos de violación de datos, los demandantes alegan que el demandado incumplió una promesa contractual explícita o implícita de tomar medidas razonables para proteger la información personal. Para presentar una demanda por incumplimiento de un deber de cuidado basado en el contrato, los demandantes deben mostrar:
la existencia de un acuerdo vinculante;
la parte que no cometió el incumplimiento cumplió con sus obligaciones, si las hubiera;
la parte incumplidora no cumplió con sus obligaciones;
la falta de una excusa legal; y
La existencia de daños sufridos por el incumplimiento.
Algunos tribunales han estado dispuestos a leer en una obligación sin lenguaje explícito, ya sea en virtud de un acuerdo contractual entre dos partes o una política de privacidad que tenía la empresa. Ocasionalmente, al igual que con la violación del sitio de citas con sede en Toronto Ashley Madison, el gobierno incluso encontró que la falta de una política de privacidad articulable era en sí misma motivo para el cumplimiento de un deber de cuidado. Ya en 2005, en el litigio de privacidad de In re JetBlue Airways Corp., el tribunal consideró la política de datos de la compañía como un contrato ejecutable al evaluar una moción para desestimar.
Cuando los consumidores buscan hacer cumplir una reclamación de deber de cuidado incumplida, los tribunales luchan por establecer de manera coherente cuándo y entre quién existía el deber. Hasta la última década más o menos, la mayoría de las personas tenían un conjunto de relaciones bastante conocibles en sus vidas diarias. A menudo surgieron a través de contratos y las relaciones eran pocas y bien establecidas. Los individuos tenían un solo empleador, un único propietario, y así sucesivamente. Hoy en día, nuestras transacciones diarias están intrincadamente conectadas a Internet y pueden involucrar muchas partes que quizás ni siquiera sepamos que existen. Constantemente interactuamos con empresas, y sus contratistas, que no necesariamente tienen una relación directa con nosotros como individuos. A su vez, estas complejidades frustran a los tribunales, que a menudo consideran que la relación entre dos partes es un factor persuasivo para establecer el deber.
Una línea reciente de casos ilustra cómo este problema se aplica a los hallazgos de la existencia de un deber de atención. (Tal vez sea de interés más investigación sobre el concepto).Entre las Líneas En Willingham v. Global Payments, Inc., el tribunal sostuvo que un procesador de pagos no debía deber a los consumidores que utilizan la plataforma de la compañía para enviar fondos a los comerciantes. De manera similar, en In re Zappos.com, Inc., el tribunal se negó a tratar una declaración de la compañía sobre la política de seguridad como un contrato ejecutable y también negó la existencia de un contrato implícito para salvaguardar los datos.
El Premio Nobel de Economía del año pasado fue para dos teóricos del contrato. Desde la economía de los conciertos hasta los intraceables de la cadena de suministro, tenemos innumerables transacciones e interacciones diarias en todos los niveles, desde el individuo hasta el corporativo. Estas relaciones se fragmentan constantemente y, prácticamente, pueden ser imposibles de controlar para cualquier individuo. Estamos en un nuevo panorama de redes y obligaciones en materia de violación de datos. Y en ausencia de una relación específica, los tribunales han dudado en descubrir que existe un deber de cuidado. A veces, los demandantes pueden aprovechar los términos y las garantías, implícitas y expresas, para responsabilizar a las partes contratantes en los incidentes de violación de datos. Hasta ahora, los tribunales han responsabilizado a los contratistas ya sea a través de un estándar de atención contractual explícito o a través de los estándares de atención generales de la industria, por ejemplo,
En Ruiz v. Gap, Inc., el tribunal asumió la existencia de un deber entre los solicitantes de empleo y un posible empleador. Gap, Inc. no había ejercido un cuidado razonable para evitar el robo de computadoras portátiles con información no cifrada sobre los solicitantes de empleo. Aunque no hubo un contrato expreso, el tribunal determinó que Ruiz tenía derecho a presentar la demanda debido a un mayor riesgo de robo de identidad, pero sostuvo que Ruiz no presentó pruebas de daños reales.
Estos factores pueden ser aún más complejos en el contexto de un contratista del gobierno.Entre las Líneas En junio de este año, en McDowell v. CGI Federal Inc., Un tribunal de distrito permitió que un demandante procediera con reclamaciones contra un contratista gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) tercero después de un incidente de violación de datos según la teoría del beneficiario de terceros, al tratar la política de privacidad de la compañía como un acuerdo vinculante. El gobierno ya había demandado al contratista por violar las responsabilidades expresas e implícitas al no garantizar datos personales confidenciales de los empleados federales.Si, Pero: Pero a los trabajadores también se les permitió presentar una demanda porque las disposiciones de seguridad de la información violadas de la política de privacidad se incluyeron específicamente para proteger sus datos, por lo que el tribunal sostuvo que eran los beneficiarios previstos del contrato.
II. Los estatutos como base de un reclamo.
A falta de una relación especial, todavía puede haber una reclamación por incumplimiento del deber de atención. (Tal vez sea de interés más investigación sobre el concepto). Y, como hemos descrito, el panorama de las relaciones especiales se complica cuando se trata de la recopilación y el almacenamiento de datos.
Una Conclusión
Por lo tanto, en este clima, es posible que veamos cada vez más intentos de confiar en los medios legales u otros para establecer un deber debido.
Primero, un deber puede surgir de los principios de derecho común (expresión que hace referencia en los países anglosajones normalmente al sistema de “common law”) que rigen la responsabilidad por negligencia en general.Entre las Líneas En In re Hannaford, un tercero robó los datos de la tarjeta de crédito y débito de una tienda de abarrotes y el tribunal utilizó un estándar de negligencia para hacer valer un estándar de atención basado en el incumplimiento del contrato implícito. El caso fue remitido a la corte del distrito en 2013 (pero este problema se resolvió a nivel de apelación), estableciendo que puede haber un deber implícito para que un proveedor proteja la información del cliente. El caso no se ha resuelto, pero ha alcanzado la certificación de clase y el tribunal de distrito confirmó la teoría del deber.
Segundo, un estatuto puede imponer un deber, ya sea en términos expresos o como resultado de la confianza judicial en el estatuto como la expresión adecuada de la norma de atención. (Tal vez sea de interés más investigación sobre el concepto). Por ejemplo, la FCRA, mencionada al principio de este artículo, impone un deber estatutario específico en un contexto específico.
En tercer lugar, puede haber un deber bajo la ley de tergiversación, que impone el deber general de actualizar las declaraciones, incluidas las relacionadas con la seguridad de los datos, que son la base de la dependencia pendiente o continua por parte del destinatario. El año pasado, Ashley Madison acordó liquidar los cargos de la FTC y del estado de que engañaron a los consumidores y no protegieron la información de perfil y cuenta de 36 millones de usuarios en relación con una violación masiva de datos de su red en julio de 2015.
Finalmente, las reglas de incumplimiento de acción pueden requerir el ejercicio de un cuidado razonable para evitar o minimizar los daños si la entidad que posee los datos ha creado un riesgo continuo de daño.Entre las Líneas En Campana v (examine más sobre estas cuestiones en la presente plataforma online de ciencias sociales y humanidades). Blizzard Entertainment Inc., el tribunal confirmó una reclamación de enriquecimiento injusto (o enriquecimiento injustificado) porque Blizzard había vendido a sabiendas un juego a un consumidor, a pesar del hecho de que la compañía había sido pirateada varias veces en los últimos cinco años y no había tomado medidas adicionales para mejorar su seguridad. Cuando la información de los consumidores fue robada, el tribunal sostuvo que el proveedor sabía que había una gran probabilidad de una violación. (Tal vez sea de interés más investigación sobre el concepto).
Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):
Una Conclusión
Por lo tanto, la empresa estaba pasando inadvertidamente al demandante el costo (o coste, como se emplea mayoritariamente en España) de actualizar su propia seguridad de la información.
Aunque estas son vías potenciales para argumentar para que un tribunal encuentre una posición, no siempre son eficaces:
Los tribunales pueden negarse a buscar el deber de una relación basada en la violación de un estatuto cuando el estatuto no tenía la intención de proteger al demandante contra un tipo particular de daño.Entre las Líneas En Willingham, mencionado anteriormente, el tribunal también encontró que los demandantes no cumplían con el deber de notificación de incumplimiento a pesar de que existía un estatuto de divulgación de incumplimiento de Georgia aplicable porque los demandantes no eran residentes de Georgia y, por lo tanto, no eran la clase para la cual se promulgó el estatuto..
📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras: Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.Y en Dittman v. Univ. de Pitts. Medicina. Ctr., Un Tribunal Superior de Pensilvania confirmó un hallazgo de que el Centro Médico de la Universidad de Pittsburgh no tenía el deber de ley común de proteger la información confidencial de 64,000 empleados. Llamando a las UPMC “víctimas de la misma actividad delictiva”, el Tribunal Superior llegó al extremo de decir: “Nos parece innecesario exigir a los empleadores que incurran en costos (o costes, como se emplea mayoritariamente en España) potencialmente significativos para aumentar las medidas de seguridad cuando no existe una forma real de prevenir las violaciones. ”
Violación de Datos
Claramente, los entendimientos previos del deber legal adquieren un nuevo color cuando asignamos la culpa en el contexto de violación de datos. No es necesario que haya malicia para que exista un daño significativo en las violaciones de datos (para obtener más información sobre los tipos de daños que pueden sobrevivir a un desafío permanente, consulte la información sobre litigio por violación de datos). Y hasta qué punto las entidades deben un deber a los individuos en este nuevo contexto es todavía mal definido. La combinación de una fragmentación de las relaciones transaccionales tradicionales, y una proliferación de datos cada vez más íntimos, crean un complejo panorama de responsabilidad.
Autor: Williams
▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.