Registros De Clientes - Obligaciones Derivadas De Transacciones Particulares - Derecho Civil - CA

Section § 1798.80

Esta sección de la ley proporciona definiciones importantes para entender las leyes relacionadas con la privacidad en California. Explica qué se considera un 'negocio', abarcando entidades como empresas e instituciones financieras que manejan registros. Los 'registros' son, en esencia, cualquier forma de almacenamiento de información, excluyendo los directorios de acceso público. Un 'cliente' aquí es alguien que proporciona información personal a un negocio para comprar productos u obtener servicios. Una 'persona' se refiere a un ser humano real. Finalmente, la 'información personal' incluye detalles que pueden identificar a alguien, como nombres, números de seguro social y datos de salud, pero no los registros públicos. Estas definiciones ayudan a aclarar quién y qué está cubierto por las normas de privacidad.

Las siguientes definiciones se aplican a este título:

(a) “Negocio” significa una empresa unipersonal, sociedad, corporación, asociación u otro grupo, independientemente de su forma de organización y opere o no con fines de lucro, incluyendo una institución financiera organizada, constituida o que posea una licencia o certificado de autorización conforme a la ley de este estado, de cualquier otro estado, de los Estados Unidos o de cualquier otro país, o la matriz o la subsidiaria de una institución financiera. El término incluye una entidad que elimina registros.

(b) “Registros” significa cualquier material, independientemente de su forma física, en el que la información se registra o conserva por cualquier medio, incluyendo palabras escritas o habladas, representadas gráficamente, impresas o transmitidas electromagnéticamente. “Registros” no incluye directorios de acceso público que contengan información que una persona ha consentido voluntariamente que se difunda o liste públicamente, como nombre, dirección o número de teléfono.

(c) “Cliente” significa una persona que proporciona información personal a un negocio con el propósito de comprar o arrendar un producto u obtener un servicio del negocio.

(d) “Persona” significa una persona natural.

(e) “Información personal” significa cualquier información que identifica, se relaciona con, describe o es capaz de asociarse con una persona en particular, incluyendo, entre otros, su nombre, firma, número de seguro social, características físicas o descripción, dirección, número de teléfono, número de pasaporte, número de licencia de conducir o de tarjeta de identificación estatal, número de póliza de seguro, educación, empleo, historial laboral, número de cuenta bancaria, número de tarjeta de crédito, número de tarjeta de débito o cualquier otra información financiera, información médica o información de seguro de salud. “Información personal” no incluye información de acceso público que se pone legalmente a disposición del público en general a partir de registros gubernamentales federales, estatales o locales.

definición de negocio definición de registros definición de cliente ...

Section § 1798.81

Esta ley exige a las empresas destruir de forma segura los registros de clientes que contengan información personal una vez que ya no sean necesarios. Pueden hacerlo triturando, borrando o modificando la información para que no pueda ser leída ni comprendida.

Una empresa deberá tomar todas las medidas razonables para desechar, o disponer el desecho, de los registros de clientes bajo su custodia o control que contengan información personal cuando los registros ya no deban ser conservados por la empresa mediante (a) la trituración, (b) el borrado, o (c) la modificación de cualquier otra forma de la información personal en dichos registros para hacerla ilegible o indescifrable por cualquier medio.

eliminación de registros de clientes seguridad de la información personal trituración de documentos ...

Section § 1798.81

Esta ley exige a las empresas que poseen información personal sobre residentes de California que la mantengan segura. Si una empresa tiene este tipo de información, debe implementar medidas de seguridad razonables para protegerla de ser mal utilizada, robada o alterada. Si comparten la información con otra empresa, deben asegurarse de que esa empresa también la mantenga segura. La información personal puede incluir cosas como su nombre con un número de seguro social, información médica o combinaciones de correo electrónico y contraseña. Algunas entidades, como los proveedores de atención médica bajo leyes de privacidad específicas, no tienen que seguir esta regla porque ya están cubiertas por otras regulaciones.

(a)

(1) Es la intención de la Legislatura asegurar que la información personal sobre los residentes de California esté protegida. Con ese fin, el propósito de esta sección es alentar a las empresas que poseen, licencian o mantienen información personal sobre los californianos a proporcionar seguridad razonable para dicha información.

(2) Para los fines de esta sección, los términos “poseer” y “licenciar” incluyen la información personal que una empresa retiene como parte de la cuenta interna de clientes de la empresa o con el propósito de usar esa información en transacciones con la persona a quien se refiere la información. El término “mantener” incluye la información personal que una empresa mantiene pero que no posee ni licencia.

(b) Una empresa que posee, licencia o mantiene información personal sobre un residente de California deberá implementar y mantener procedimientos y prácticas de seguridad razonables, apropiados a la naturaleza de la información, para proteger la información personal del acceso no autorizado, destrucción, uso, modificación o divulgación.

(c) Una empresa que divulga información personal sobre un residente de California conforme a un contrato con un tercero no afiliado que no está sujeto a la subdivisión (b) deberá exigir por contrato que el tercero implemente y mantenga procedimientos y prácticas de seguridad razonables, apropiados a la naturaleza de la información, para proteger la información personal del acceso no autorizado, destrucción, uso, modificación o divulgación.

(d) Para los fines de esta sección, los siguientes términos tienen los siguientes significados:

(1) “Información personal” significa cualquiera de los siguientes:

(A) El nombre o la inicial del nombre de pila de un individuo y el apellido del individuo en combinación con uno o más de los siguientes elementos de datos, cuando ni el nombre ni los elementos de datos estén cifrados o redactados:

(i) Número de seguro social.

(ii) Número de licencia de conducir, número de tarjeta de identificación de California, número de identificación fiscal, número de pasaporte, número de identificación militar u otro número de identificación único emitido en un documento gubernamental comúnmente utilizado para verificar la identidad de un individuo específico.

(iii) Número de cuenta o número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requeridos que permitirían el acceso a la cuenta financiera de un individuo.

(iv) Información médica.

(v) Información de seguro de salud.

(vi) Datos biométricos únicos generados a partir de mediciones o análisis técnicos de características del cuerpo humano, como una huella dactilar, imagen de retina o iris, utilizados para autenticar a un individuo específico. Los datos biométricos únicos no incluyen una fotografía física o digital, a menos que se utilicen o almacenen con fines de reconocimiento facial.

(vii) Datos genéticos.

(B) Un nombre de usuario o dirección de correo electrónico en combinación con una contraseña o pregunta y respuesta de seguridad que permitirían el acceso a una cuenta en línea.

(2) “Información médica” significa cualquier información individualmente identificable, en formato electrónico o físico, con respecto al historial médico del individuo o al tratamiento o diagnóstico médico por parte de un profesional de la salud.

(3) “Información de seguro de salud” significa el número de póliza de seguro de un individuo o el número de identificación del suscriptor, cualquier identificador único utilizado por una aseguradora de salud para identificar al individuo, o cualquier información en la solicitud y el historial de reclamaciones de un individuo, incluidos los registros de apelaciones.

(4) “Información personal” no incluye la información disponible públicamente que se pone legalmente a disposición del público en general a partir de registros gubernamentales federales, estatales o locales.

(5) “Datos genéticos” significa cualquier dato, independientemente de su formato, que resulte del análisis de una muestra biológica de un individuo, o de otra fuente que permita obtener información equivalente, y que se refiera a material genético. El material genético incluye, entre otros, ácidos desoxirribonucleicos (ADN), ácidos ribonucleicos (ARN), genes, cromosomas, alelos, genomas, alteraciones o modificaciones del ADN o ARN, polimorfismos de nucleótido único (SNP), datos no interpretados que resultan del análisis de la muestra biológica u otra fuente, y cualquier información extrapolada, derivada o inferida de los mismos.

(e) Las disposiciones de esta sección no se aplican a ninguno de los siguientes:

(1) Un proveedor de atención médica, plan de servicios de atención médica o contratista regulado por la Ley de Confidencialidad de la Información Médica (Parte 2.6 (que comienza con la Sección 56) de la División 1).

(2) Una institución financiera según se define en la Sección 4052 del Código Financiero y sujeta a la Ley de Privacidad de la Información Financiera de California (División 1.4 (que comienza con la Sección 4050) del Código Financiero).

(3) Una entidad cubierta regida por las normas de privacidad y seguridad médica emitidas por el Departamento de Salud y Servicios Humanos federal, Partes 160 y 164 del Título 45 del Código de Regulaciones Federales, establecidas de conformidad con la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA).

(4) Una entidad que obtiene información bajo un acuerdo conforme al Artículo 3 (que comienza con la Sección 1800) del Capítulo 1 de la División 2 del Código de Vehículos y está sujeta a los requisitos de confidencialidad del Código de Vehículos.

(5) Una empresa que está regulada por leyes estatales o federales que brindan mayor protección a la información personal que la proporcionada por esta sección con respecto a los temas abordados por esta sección. El cumplimiento de dicha ley estatal o federal se considerará cumplimiento de esta sección con respecto a esos temas. Este párrafo no exime a una empresa del deber de cumplir con cualquier otro requisito de otras leyes estatales y federales con respecto a la protección y privacidad de la información personal.

protección de información personal seguridad razonable acceso no autorizado ...

Section § 1798.81

Las agencias de informes de crédito al consumidor en California que manejan datos personales deben corregir rápidamente las vulnerabilidades de seguridad en sus sistemas informáticos, especialmente si existe un riesgo significativo de una violación de datos. Si saben que hay una actualización de software disponible, deben empezar a trabajar en ella en un plazo de tres días hábiles y completarla en 90 días. Mientras tanto, deben usar otras medidas de seguridad para proteger los datos. Incluso si no hay una actualización de software disponible, estas agencias aún deben abordar urgentemente las brechas de seguridad de alto riesgo. También deben asegurarse de que cualquier tercero que maneje datos personales en su nombre siga protocolos de seguridad estrictos. El Fiscal General es el responsable de hacer cumplir esta ley.

(a) Una agencia de informes de crédito al consumidor, según se define en 15 U.S.C. Sec. 1681a(p), que posea, licencie o mantenga información personal sobre un residente de California, o un tercero que mantenga información personal sobre un residente de California en nombre de una agencia de informes de crédito al consumidor, que sepa, o razonablemente deba saber, que un sistema informático que posee, opera o mantiene, y para el cual controla los protocolos de seguridad, está sujeto a una vulnerabilidad de seguridad que representa un riesgo significativo, según se define en la subdivisión (c), para la seguridad de los datos informatizados que contienen información personal, según se define en la subdivisión (h) de la Sección 1798.82, deberá hacer todo lo siguiente:

(1) Si una agencia de informes de crédito al consumidor sabe o razonablemente debe saber que hay una actualización de software disponible para abordar la vulnerabilidad descrita en la subdivisión (a), la agencia deberá iniciar las pruebas, la planificación y la evaluación necesarias de sus sistemas para la implementación de dicha actualización de software en el tiempo más expedito posible y sin demoras irrazonables, de acuerdo con las mejores prácticas de la industria, pero en cualquier caso a más tardar tres días hábiles después de tener conocimiento, o después del momento en que razonablemente debería haber tenido conocimiento, de la vulnerabilidad y de la actualización de software disponible. La actualización de software deberá completarse en el tiempo más expedito posible y sin demoras irrazonables, de acuerdo con las mejores prácticas de la industria, pero en cualquier caso a más tardar 90 días después de tener conocimiento, o después del momento en que razonablemente debería haber tenido conocimiento, de la vulnerabilidad y de la actualización de software disponible.

(2) Hasta que se complete la actualización de software descrita en el párrafo (1), la agencia de informes de crédito al consumidor deberá, de acuerdo con las mejores prácticas de la industria, emplear controles compensatorios razonables para reducir el riesgo de una violación causada por la vulnerabilidad del sistema informático descrita en la subdivisión (a).

(b) Independientemente de si hay una actualización de software disponible, la agencia de informes de crédito al consumidor, de acuerdo con las mejores prácticas de la industria, deberá hacer todo lo siguiente:

(1) Identificar, priorizar y abordar las vulnerabilidades de seguridad de mayor riesgo con la mayor rapidez posible para reducir la probabilidad de que se exploten las vulnerabilidades que representan el mayor riesgo de seguridad.

(2) Probar y evaluar el impacto de los controles compensatorios y las actualizaciones de software y cómo afectan la vulnerabilidad del sistema a las amenazas a la seguridad de los datos informatizados.

(3) Exigir, por contrato, que el tercero implemente y mantenga medidas de seguridad apropiadas para la información personal. La contratación con un tercero para mantener información personal sobre residentes de California no eximirá a la agencia de crédito al consumidor de los requisitos de esta sección.

(c) Tal como se utiliza en esta sección, “riesgo significativo” significa una puntuación de vulnerabilidad, calculada utilizando un sistema de medición estándar que se acepta como una mejor práctica para la industria, para determinar que el riesgo podría razonablemente resultar en una violación de la seguridad del sistema, según se define en la subdivisión (g) de la Sección 1798.82, de información personal, según se define en la subdivisión (h) de la Sección 1798.82.

(d) Tal como se utiliza en esta sección, “controles compensatorios” significa controles que la agencia cree razonablemente que evitarán que la vulnerabilidad del sistema informático descrita en la subdivisión (a) sea explotada mientras se prueba, evalúa y desarrolla un plan de implementación para la actualización de software, y que han sido probados y confirmados adecuadamente para compensar suficientemente el riesgo de violación causado por la vulnerabilidad del sistema informático descrita en la subdivisión (a).

(e) Nada en esta sección reducirá las responsabilidades y obligaciones de una agencia de informes de crédito al consumidor o de un tercero bajo este título, incluyendo, entre otros, la Sección 1798.81.5.

(f) El Fiscal General tiene autoridad exclusiva para hacer cumplir esta sección.

agencia de informes de crédito al consumidor información personal vulnerabilidad de seguridad ...

Section § 1798.82

Si usted tiene un negocio en California y sus datos personales son hackeados, debe informar rápidamente a los residentes de California afectados. Esta divulgación debe ser oportuna, pero puede retrasarse si las fuerzas del orden están involucradas. La notificación debe explicar lo sucedido, los tipos de datos comprometidos y ofrecer soluciones para proteger a las personas afectadas. Si la violación de datos afecta a más de 500 residentes del estado, también debe alertar al Fiscal General. La información personal se define como elementos como números de seguro social, licencias de conducir o detalles de inicio de sesión. Si usted tiene una política de seguridad preexistente que cumple o supera los requisitos del estado, seguirla aún lo mantiene en cumplimiento.

(a) Una persona o empresa que realiza negocios en California, y que posee o licencia datos informatizados que incluyen información personal, deberá divulgar una violación de la seguridad del sistema tras el descubrimiento o notificación de la violación de la seguridad de los datos a un residente de California (1) cuya información personal no cifrada fue, o se cree razonablemente que fue, adquirida por una persona no autorizada, o (2) cuya información personal cifrada fue, o se cree razonablemente que fue, adquirida por una persona no autorizada y la clave de cifrado o credencial de seguridad fue, o se cree razonablemente que fue, adquirida por una persona no autorizada y la persona o empresa que posee o licencia la información cifrada tiene una creencia razonable de que la clave de cifrado o credencial de seguridad podría hacer que esa información personal sea legible o utilizable. La divulgación se realizará en el tiempo más expedito posible y sin demoras irrazonables, de acuerdo con las necesidades legítimas de las fuerzas del orden, según lo dispuesto en el apartado (c), o cualquier medida necesaria para determinar el alcance de la violación y restaurar la integridad razonable del sistema de datos.

(b) Una persona o empresa que mantiene datos informatizados que incluyen información personal que la persona o empresa no posee, deberá notificar al propietario o licenciatario de la información la violación de la seguridad de los datos inmediatamente después del descubrimiento, si la información personal fue, o se cree razonablemente que fue, adquirida por una persona no autorizada.

(c) La notificación requerida por esta sección podrá retrasarse si una agencia de las fuerzas del orden determina que la notificación obstaculizará una investigación criminal. La notificación requerida por esta sección se realizará sin demora una vez que la agencia de las fuerzas del orden determine que no comprometerá la investigación.

(d) Una persona o empresa a la que se le exige emitir una notificación de violación de seguridad de conformidad con esta sección deberá cumplir con todos los siguientes requisitos:

(1) La notificación de violación de seguridad deberá estar redactada en lenguaje sencillo, deberá titularse “Aviso de Violación de Datos”, y deberá presentar la información descrita en el párrafo (2) bajo los siguientes encabezados: “Qué Sucedió”, “Qué Información Estuvo Involucrada”, “Qué Estamos Haciendo”, “Qué Puede Hacer” y “Para Más Información”. Se podrá proporcionar información adicional como suplemento al aviso.

(A) El formato del aviso deberá estar diseñado para llamar la atención sobre la naturaleza y la importancia de la información que contiene.

(B) El título y los encabezados del aviso deberán mostrarse de forma clara y visible.

(C) El texto del aviso y cualquier otro aviso proporcionado de conformidad con esta sección no deberá ser inferior a 10 puntos.

(D) Para un aviso por escrito descrito en el párrafo (1) del apartado (j), el uso del formulario modelo de notificación de violación de seguridad prescrito a continuación o el uso de los encabezados descritos en este párrafo con la información descrita en el párrafo (2), redactado en lenguaje sencillo, se considerará que cumple con este apartado.

[NOMBRE DE LA INSTITUCIÓN / LOGOTIPO] _____ _____ Fecha: [insertar fecha]

AVISO DE VIOLACIÓN DE DATOS

¿Qué Sucedió?

¿Qué Información Estuvo Involucrada?

Qué Estamos Haciendo.

Qué Puede Hacer.

Otra Información Importante.

[insertar otra información importante]

Para Más Información.

Llame al [número de teléfono] o visite [sitio web de internet]

(E) Para un aviso electrónico descrito en el párrafo (2) del apartado (j), el uso de los encabezados descritos en este párrafo con la información descrita en el párrafo (2), redactado en lenguaje sencillo, se considerará que cumple con este apartado.

(2) La notificación de violación de seguridad descrita en el párrafo (1) deberá incluir, como mínimo, la siguiente información:

(A) El nombre y la información de contacto de la persona o empresa informante sujeta a esta sección.

(B) Una lista de los tipos de información personal que fueron o se cree razonablemente que fueron objeto de una violación.

(C) Si la información es posible de determinar en el momento en que se proporciona el aviso, entonces cualquiera de los siguientes: (i) la fecha de la violación, (ii) la fecha estimada de la violación, o (iii) el rango de fechas dentro del cual ocurrió la violación. La notificación también deberá incluir la fecha del aviso.

(D) Si la notificación se retrasó como resultado de una investigación de las fuerzas del orden, si esa información es posible de determinar en el momento en que se proporciona el aviso.

(E) Una descripción general del incidente de violación, si esa información es posible de determinar en el momento en que se proporciona el aviso.

(F) Los números de teléfono gratuitos y las direcciones de las principales agencias de informes de crédito si la violación expuso un número de seguro social o un número de licencia de conducir o tarjeta de identificación de California.

(G) Si la persona o empresa que proporciona la notificación fue la fuente de la violación, se ofrecerán servicios apropiados de prevención y mitigación de robo de identidad, si los hubiera, sin costo para la persona afectada durante no menos de 12 meses, junto con toda la información necesaria para aprovechar la oferta a cualquier persona cuya información fue o pudo haber sido violada si la violación expuso o pudo haber expuesto información personal definida en los subpárrafos (A) y (B) del párrafo (1) del apartado (h).

(3) A discreción de la persona o empresa, la notificación de violación de seguridad también podrá incluir cualquiera de los siguientes:

(A) Información sobre lo que la persona o empresa ha hecho para proteger a las personas cuya información ha sido violada.

(B) Consejos sobre los pasos que las personas cuya información ha sido violada pueden tomar para protegerse.

(C) En violaciones que involucren datos biométricos, instrucciones sobre cómo notificar a otras entidades que utilizaron el mismo tipo de datos biométricos como autenticador para que ya no confíen en los datos para fines de autenticación.

(e) Una entidad cubierta bajo la Ley federal de Portabilidad y Responsabilidad del Seguro Médico de 1996 (42 U.S.C. Sec. 1320d y ss.) se considerará que ha cumplido con los requisitos de notificación del apartado (d) si ha cumplido completamente con la Sección 13402(f) de la Ley federal de Tecnología de la Información de Salud para la Salud Económica y Clínica (Ley Pública 111-5). Sin embargo, nada en este apartado se interpretará como eximente a una entidad cubierta de cualquier otra disposición de esta sección.

(f) Una persona o empresa a la que se le exige emitir una notificación de violación de seguridad de conformidad con esta sección a más de 500 residentes de California como resultado de una única violación del sistema de seguridad, deberá enviar electrónicamente una única copia de muestra de esa notificación de violación de seguridad, excluyendo cualquier información de identificación personal, al Fiscal General. Una única copia de muestra de una notificación de violación de seguridad no se considerará dentro del Artículo 1 (que comienza con la Sección 7923.600) del Capítulo 1 de la Parte 5 de la División 10 del Título 1 del Código de Gobierno.

(g) Para los fines de esta sección, “violación de la seguridad del sistema” significa la adquisición no autorizada de datos informatizados que compromete la seguridad, confidencialidad o integridad de la información personal mantenida por la persona o empresa. La adquisición de buena fe de información personal por parte de un empleado o agente de la persona o empresa para los fines de la persona o empresa no es una violación de la seguridad del sistema, siempre que la información personal no se utilice ni esté sujeta a una divulgación no autorizada adicional.

(h) Para los fines de esta sección, “información personal” significa cualquiera de los siguientes:

(1) El nombre o la inicial del nombre y el apellido de un individuo en combinación con uno o más de los siguientes elementos de datos, cuando el nombre o los elementos de datos no estén cifrados:

(A) Número de seguro social.

(B) Número de licencia de conducir, número de tarjeta de identificación de California, número de identificación fiscal, número de pasaporte, número de identificación militar u otro número de identificación único emitido en un documento gubernamental comúnmente utilizado para verificar la identidad de un individuo específico.

(C) Número de cuenta o número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad, código de acceso o contraseña requeridos que permitirían el acceso a la cuenta financiera de un individuo.

(D) Información médica.

(E) Información de seguro de salud.

(F) Datos biométricos únicos generados a partir de mediciones o análisis técnicos de características del cuerpo humano, como una huella dactilar, retina o imagen del iris, utilizados para autenticar a un individuo específico. Los datos biométricos únicos no incluyen una fotografía física o digital, a menos que se utilicen o almacenen para fines de reconocimiento facial.

(G) Información o datos recopilados mediante el uso u operación de un sistema automatizado de reconocimiento de matrículas, según se define en la Sección 1798.90.5.

(H) Datos genéticos.

(2) Un nombre de usuario o dirección de correo electrónico, en combinación con una contraseña o pregunta y respuesta de seguridad que permitirían el acceso a una cuenta en línea.

(i)

(1) Para los fines de esta sección, “información personal” no incluye información disponible públicamente que se pone legalmente a disposición del público en general a partir de registros gubernamentales federales, estatales o locales.

(2) Para los fines de esta sección, “información médica” significa cualquier información relativa al historial médico de un individuo, su condición mental o física, o su tratamiento o diagnóstico médico por parte de un profesional de la salud.

(3) Para los fines de esta sección, “información de seguro de salud” significa el número de póliza de seguro de salud o el número de identificación de suscriptor de un individuo, cualquier identificador único utilizado por una aseguradora de salud para identificar al individuo, o cualquier información en el historial de solicitudes y reclamaciones de un individuo, incluidos los registros de apelaciones.

(4) Para los fines de esta sección, “cifrado” significa hecho inutilizable, ilegible o indescifrable para una persona no autorizada mediante una tecnología o metodología de seguridad generalmente aceptada en el campo de la seguridad de la información.

(5) “Datos genéticos” significa cualquier dato, independientemente de su formato, que resulte del análisis de una muestra biológica de un individuo, o de otra fuente que permita obtener información equivalente, y que concierna al material genético. El material genético incluye, entre otros, ácidos desoxirribonucleicos (ADN), ácidos ribonucleicos (ARN), genes, cromosomas, alelos, genomas, alteraciones o modificaciones del ADN o ARN, polimorfismos de un solo nucleótido (SNPs), datos no interpretados que resultan del análisis de la muestra biológica u otra fuente, y cualquier información extrapolada, derivada o inferida de los mismos.

(j) Para los fines de esta sección, “aviso” podrá proporcionarse mediante uno de los siguientes métodos:

(1) Aviso por escrito.

(2) Aviso electrónico, si el aviso proporcionado es consistente con las disposiciones relativas a los registros y firmas electrónicos establecidas en la Sección 7001 del Título 15 del Código de los Estados Unidos.

(3) Aviso sustituto, si la persona o empresa demuestra que el costo de proporcionar el aviso excedería los doscientos cincuenta mil dólares ($250,000), o que la clase afectada de personas sujetas a notificación excede las 500,000, o la persona o empresa no tiene suficiente información de contacto. El aviso sustituto consistirá en todo lo siguiente:

(A) Aviso por correo electrónico cuando la persona o empresa tiene una dirección de correo electrónico para las personas sujetas.

(B) Publicación visible, por un mínimo de 30 días, del aviso en la página del sitio web de internet de la persona o empresa, si la persona o empresa mantiene uno. Para los fines de este subpárrafo, la publicación visible en el sitio web de internet de la persona o empresa significa proporcionar un enlace al aviso en la página de inicio o primera página significativa después de ingresar al sitio web de internet que esté en un tipo de letra más grande que el texto circundante, o en un tipo, fuente o color contrastante con el texto circundante del mismo tamaño, o separado del texto circundante del mismo tamaño por símbolos u otras marcas que llamen la atención sobre el enlace.

(4) En el caso de una violación de la seguridad del sistema que involucre información personal definida en el párrafo (2) del apartado (h) para una cuenta en línea, y ninguna otra información personal definida en el párrafo (1) del apartado (h), la persona o empresa podrá cumplir con esta sección proporcionando la notificación de violación de seguridad en formato electrónico o de otro tipo que dirija a la persona cuya información personal ha sido violada a cambiar rápidamente la contraseña y la pregunta o respuesta de seguridad de la persona, según corresponda, o a tomar otras medidas apropiadas para proteger la cuenta en línea con la persona o empresa y todas las demás cuentas en línea para las cuales la persona cuya información personal ha sido violada utiliza el mismo nombre de usuario o dirección de correo electrónico y contraseña o pregunta o respuesta de seguridad.

(5) En el caso de una violación de la seguridad del sistema que involucre información personal definida en el párrafo (2) del apartado (h) para las credenciales de inicio de sesión de una cuenta de correo electrónico proporcionada por la persona o empresa, la persona o empresa no deberá cumplir con esta sección proporcionando la notificación de violación de seguridad a esa dirección de correo electrónico, sino que podrá, en su lugar, cumplir con esta sección proporcionando un aviso por otro método descrito en este apartado o mediante un aviso claro y visible entregado al residente en línea cuando el residente esté conectado a la cuenta en línea desde una dirección de Protocolo de Internet o ubicación en línea desde la cual la persona o empresa sabe que el residente accede habitualmente a la cuenta.

(k) Para los fines de esta sección, “clave de cifrado” y “credencial de seguridad” significan la clave o proceso confidencial diseñado para hacer que los datos sean utilizables, legibles y descifrables.

(l) No obstante el apartado (j), una persona o empresa que mantiene sus propios procedimientos de notificación como parte de una política de seguridad de la información para el tratamiento de la información personal y que es consistente con los requisitos de tiempo de esta parte, se considerará que cumple con los requisitos de notificación de esta sección si la persona o empresa notifica a las personas sujetas de acuerdo con sus políticas en caso de una violación de la seguridad del sistema.

notificación de violación de datos información personal clave de cifrado ...

Section § 1798.83

Esta ley, conocida como la ley "Shine the Light" (Revela la Luz), exige que las empresas con una relación comercial con un cliente divulguen qué información personal compartieron con terceros para fines de marketing, si el cliente lo solicita. Obliga a las empresas a proporcionar una lista de categorías de información y los nombres de los terceros receptores. Las empresas deben hacer público cómo los clientes pueden realizar estas solicitudes, a menudo a través de su sitio web. Sin embargo, las empresas con menos de 20 empleados o aquellas con una política de no compartir datos personales para fines de marketing están exentas. Algunos tipos de divulgaciones, como las realizadas bajo servicios contractuales o compartidas por empresas afiliadas, no se consideran divulgaciones de marketing según esta ley.

(a) Salvo que se disponga lo contrario en la subdivisión (d), si una empresa tiene una relación comercial establecida con un cliente y, en el año calendario inmediatamente anterior, ha divulgado información personal que corresponde a cualquiera de las categorías de información personal establecidas en el párrafo (6) de la subdivisión (e) a terceros, y si la empresa sabe o razonablemente debería saber que los terceros utilizaron la información personal para sus fines de marketing directo, dicha empresa deberá, previa recepción de una solicitud por escrito o por correo electrónico, o, si la empresa opta por recibir solicitudes por números de teléfono o fax gratuitos, una solicitud telefónica o por fax del cliente, proporcionar toda la siguiente información al cliente de forma gratuita:

(1) Por escrito o por correo electrónico, una lista de las categorías establecidas en el párrafo (6) de la subdivisión (e) que corresponden a la información personal divulgada por la empresa a terceros para los fines de marketing directo de estos durante el año calendario inmediatamente anterior.

(2) Por escrito o por correo electrónico, los nombres y direcciones de todos los terceros que recibieron información personal de la empresa para los fines de marketing directo de estos durante el año calendario anterior y, si la naturaleza del negocio de los terceros no puede determinarse razonablemente a partir del nombre de los terceros, ejemplos de los productos o servicios comercializados, si son conocidos por la empresa, suficientes para dar al cliente una indicación razonable de la naturaleza del negocio de los terceros.

(b)

(1) Una empresa obligada a cumplir con esta sección deberá designar una dirección postal, una dirección de correo electrónico o, si la empresa opta por recibir solicitudes por teléfono o fax, un número de teléfono o fax gratuito, a los cuales los clientes podrán enviar solicitudes de conformidad con la subdivisión (a). Una empresa obligada a cumplir con esta sección deberá, a su elección, hacer al menos una de las siguientes acciones:

(A) Notificar a todos los agentes y gerentes que supervisan directamente a los empleados que tienen contacto regular con los clientes sobre las direcciones o números designados o los medios para obtener dichas direcciones o números, e instruir a esos empleados que los clientes que pregunten sobre las prácticas de privacidad de la empresa o el cumplimiento de esta sección por parte de la empresa deberán ser informados de las direcciones o números designados o los medios para obtener las direcciones o números.

(B) Añadir a la página de inicio de su sitio web un enlace a una página titulada “Sus Derechos de Privacidad” o añadir las palabras “Sus Derechos de Privacidad” al enlace de la página de inicio a la política de privacidad de la empresa. Si la empresa opta por añadir las palabras “Sus Derechos de Privacidad” al enlace a la política de privacidad de la empresa, las palabras “Sus Derechos de Privacidad” deberán tener el mismo estilo y tamaño que el enlace a la política de privacidad de la empresa. Si la empresa no muestra un enlace a su política de privacidad en la página de inicio de su sitio web, o no tiene una política de privacidad, las palabras “Sus Derechos de Privacidad” deberán escribirse con un tipo de letra más grande que el texto circundante, o con un tipo, fuente o color contrastante con el texto circundante del mismo tamaño, o destacarse del texto circundante del mismo tamaño mediante símbolos u otras marcas que llamen la atención sobre el lenguaje. La primera página del enlace deberá describir los derechos de un cliente de conformidad con esta sección y deberá proporcionar la dirección postal designada, la dirección de correo electrónico, según sea necesario, o el número de teléfono o fax gratuito, según corresponda. Si la empresa opta por añadir las palabras “Sus Derechos de Privacidad de California” al enlace de la página de inicio a la política de privacidad de la empresa de una manera que cumpla con esta subdivisión, y la primera página del enlace describe los derechos de un cliente de conformidad con esta sección, y proporciona la dirección postal designada, la dirección de correo electrónico, según sea necesario, o el número de teléfono o fax gratuito, según corresponda, la empresa no necesitará responder a las solicitudes que no se reciban en una de las direcciones o números designados.

(C) Poner a disposición fácilmente las direcciones o números designados, o los medios para obtener las direcciones o números designados, a solicitud de un cliente en cada lugar de negocio en California donde la empresa o sus agentes tengan contacto regular con los clientes.

La respuesta a una solicitud de conformidad con esta sección recibida en una de las direcciones o números designados deberá proporcionarse en un plazo de 30 días. Las solicitudes recibidas por la empresa en una dirección o número distinto de los designados deberán proporcionarse en un plazo razonable, a la luz de las circunstancias relacionadas con la forma en que se recibió la solicitud, pero sin exceder los 150 días a partir de la fecha de recepción.

(2) Una empresa que esté obligada a cumplir con esta sección y con la Sección 6803 del Título 15 del Código de los Estados Unidos podrá cumplir con esta sección proporcionando al cliente la divulgación requerida por la Sección 6803 del Título 15 del Código de los Estados Unidos, pero solo si dicha divulgación también cumple con esta sección.

(3) Una empresa que esté obligada a cumplir con esta sección no está obligada a proporcionar información asociada con individuos específicos y puede proporcionar la información requerida por esta sección en formato estandarizado.

(c)

(1) Una empresa que esté obligada a cumplir con esta sección no está obligada a hacerlo en respuesta a una solicitud de un cliente más de una vez durante el transcurso de cualquier año calendario. Una empresa con menos de 20 empleados a tiempo completo o parcial está exenta de los requisitos de esta sección.

(2) Si una empresa que está obligada a cumplir con esta sección adopta y divulga al público, en su política de privacidad, una política de no divulgar información personal de los clientes a terceros para los fines de marketing directo de estos a menos que el cliente primero acepte afirmativamente dicha divulgación, o de no divulgar la información personal de los clientes a terceros para los fines de marketing directo de estos si el cliente ha ejercido una opción que impide que esa información sea divulgada a terceros para esos fines, siempre que la empresa mantenga y divulgue dichas políticas, la empresa podrá cumplir con la subdivisión (a) notificando al cliente su derecho a impedir la divulgación de información personal y proporcionándole un medio gratuito para ejercer ese derecho.

(d) Las siguientes son algunas de las divulgaciones que no se consideran divulgaciones de información personal por parte de una empresa para fines de marketing directo de un tercero a los efectos de esta sección:

(1) Divulgaciones entre una empresa y un tercero de conformidad con contratos o acuerdos relacionados con cualquiera de los siguientes:

(A) El procesamiento, almacenamiento, gestión u organización de información personal, o la prestación de servicios en nombre de la empresa durante la cual se divulga información personal, si el tercero que procesa, almacena, gestiona u organiza la información personal no utiliza la información para fines de marketing directo de un tercero y no divulga la información a terceros adicionales para sus fines de marketing directo.

(B) Comercialización de productos o servicios a clientes con los que la empresa tiene una relación comercial establecida donde, como parte de la comercialización, la empresa no divulga información personal a terceros para los fines de marketing directo de estos.

(C) Mantenimiento o servicio de cuentas, incluidas cuentas de crédito y divulgaciones relativas a la denegación de solicitudes de crédito o el estado de las solicitudes de crédito y el procesamiento de facturas o reclamaciones de seguros para el pago.

(D) Información de registro público relacionada con el derecho, título o interés en bienes inmuebles o información relacionada con las características de la propiedad, según se define en la Sección 408.3 del Código de Ingresos y Tributación, obtenida de una agencia o entidad gubernamental o de un servicio de listado múltiple, según se define en la Sección 1087, y no proporcionada directamente por el cliente a una empresa en el curso de una relación comercial establecida.

(E) Ofrecer conjuntamente un producto o servicio de conformidad con un acuerdo por escrito con el tercero que recibe la información personal, siempre que se cumplan todos los siguientes requisitos:

(i) El producto o servicio ofrecido es un producto o servicio de, y es proporcionado por, al menos una de las empresas que es parte del acuerdo por escrito.

(ii) El producto o servicio es ofrecido, respaldado o patrocinado conjuntamente por, e identifica de forma clara y conspicua para el cliente, a las empresas que divulgan y reciben la información personal divulgada.

(iii) El acuerdo por escrito establece que el tercero que recibe la información personal está obligado a mantener la confidencialidad de la información y tiene prohibido divulgar o utilizar la información para fines distintos a la ejecución de la oferta conjunta o el servicio de un producto o servicio que sea objeto del acuerdo por escrito.

(2) Divulgaciones a o de una agencia de informes de crédito sobre el historial de pagos de un cliente u otra información relativa a transacciones o experiencias entre la empresa y un cliente si esa información va a ser reportada en, o utilizada para generar, un informe de consumidor según se define en la subdivisión (d) de la Sección 1681a del Título 15 del Código de los Estados Unidos, y el uso de esa información está limitado por la Ley Federal de Informes de Crédito Justos (15 U.S.C. Sec. 1681 y ss.).

(3) Divulgaciones de información personal por parte de una empresa a una institución financiera tercera únicamente con el propósito de que la empresa obtenga el pago de una transacción en la que el cliente pagó a la empresa por bienes o servicios con un cheque, tarjeta de crédito, tarjeta de cargo o tarjeta de débito, si el cliente busca la información requerida por la subdivisión (a) de la empresa que obtiene el pago, independientemente de si la empresa que obtiene el pago sabe o razonablemente debería saber que la institución financiera tercera ha utilizado la información personal para sus fines de marketing directo.

(4) Divulgaciones de información personal entre un agente con licencia y su principal, si la información personal divulgada es necesaria para completar, efectuar, administrar o hacer cumplir transacciones entre el principal y el agente, independientemente de si el agente con licencia o el principal también utilizan la información personal para fines de marketing directo, si esa información personal es utilizada por cada uno de ellos únicamente para comercializar productos y servicios directamente a clientes con quienes ambos han establecido relaciones comerciales como resultado de la relación principal y agente.

(5) Divulgaciones de información personal entre una institución financiera y una empresa que tiene un programa de tarjeta de crédito de marca privada, tarjeta de afinidad, contrato de venta a plazos minorista o tarjeta de marca compartida con la institución financiera, si la información personal divulgada es necesaria para que la institución financiera mantenga o preste servicios a cuentas en nombre de la empresa con la que tiene un programa de tarjeta de crédito de marca privada, tarjeta de afinidad, contrato de venta a plazos minorista o tarjeta de marca compartida, o para completar, efectuar, administrar o hacer cumplir transacciones de clientes o transacciones entre la institución y la empresa, independientemente de si la institución o la empresa también utilizan la información personal para fines de marketing directo, si esa información personal se utiliza únicamente para comercializar productos y servicios directamente a clientes con quienes tanto la empresa como la institución financiera han establecido relaciones comerciales como resultado del programa de tarjeta de crédito de marca privada, tarjeta de afinidad, contrato de venta a plazos minorista o tarjeta de marca compartida.

(e) A los efectos de esta sección, los siguientes términos tienen los siguientes significados:

(1) “Cliente” significa un individuo residente de California que proporciona información personal a una empresa durante la creación o a lo largo de la duración de una relación comercial establecida si la relación comercial es principalmente para fines personales, familiares o domésticos.

(2) “Fines de marketing directo” significa el uso de información personal para solicitar o inducir una compra, alquiler, arrendamiento o intercambio de productos, bienes, propiedades o servicios directamente a individuos por medio de correo postal, teléfono o correo electrónico para sus fines personales, familiares o domésticos. La venta, alquiler, intercambio o arrendamiento de información personal a cambio de una contraprestación a empresas es un fin de marketing directo de la empresa que vende, alquila, intercambia u obtiene una contraprestación por la información personal. “Fines de marketing directo” no incluye el uso de información personal (A) por organizaciones benéficas o religiosas bona fide exentas de impuestos para solicitar contribuciones caritativas, (B) para recaudar fondos y comunicarse con individuos sobre política y gobierno, (C) por un tercero cuando el tercero recibe información personal únicamente como consecuencia de haber obtenido a cambio de una contraprestación la propiedad permanente de cuentas que podrían contener información personal, o (D) por un tercero cuando el tercero recibe información personal únicamente como consecuencia de una única transacción en la que, como parte de la transacción, la información personal tuvo que ser divulgada para efectuar la transacción.

(3) “Divulgar” significa revelar, liberar, transferir, difundir o comunicar de cualquier otra forma oralmente, por escrito o por medios electrónicos o de cualquier otro tipo a cualquier tercero.

(4) “Empleados que tienen contacto regular con los clientes” significa empleados cuyo contacto con los clientes no es incidental a sus deberes laborales principales, y cuyas funciones no implican predominantemente garantizar la seguridad o la salud de los clientes de la empresa. Incluye, entre otros, a los empleados cuyas funciones laborales principales son como cajero, dependiente, servicio al cliente, ventas o promoción. No incluye, a modo de ejemplo, a los empleados cuyas funciones laborales principales consisten en la preparación o servicio de alimentos o bebidas, el mantenimiento y reparación de las instalaciones o equipos de la empresa, la participación directa en la operación de un vehículo motorizado, aeronave, embarcación, atracción de feria, maquinaria pesada o equipo similar, seguridad, o la participación en una actuación o concurso teatral, literario, musical, artístico o atlético.

(5) “Relación comercial establecida” significa una relación formada por una comunicación voluntaria y bidireccional entre una empresa y un cliente, con o sin intercambio de contraprestación, con el propósito de comprar, alquilar o arrendar bienes inmuebles o personales, o cualquier interés en ellos, u obtener un producto o servicio de la empresa, si la relación es continua y no ha sido expresamente terminada por la empresa o el cliente, o si la relación no es continua, pero se establece únicamente por la compra, alquiler o arrendamiento de bienes inmuebles o personales de una empresa, o la compra de un producto o servicio, y no han transcurrido más de 18 meses desde la fecha de la compra, alquiler o arrendamiento.

(6)

(A) Las categorías de información personal que deben divulgarse de conformidad con el párrafo (1) de la subdivisión (a) son todas las siguientes:

(i) Nombre y dirección.

(ii) Dirección de correo electrónico.

(iii) Edad o fecha de nacimiento.

(iv) Nombres de los hijos.

(v) Direcciones de correo electrónico u otras direcciones de los hijos.

(vi) Número de hijos.

(vii) La edad o el género de los hijos.

(viii) Estatura.

(ix) Peso.

(x) Raza.

(xi) Religión.

(xii) Ocupación.

(xiii) Número de teléfono.

(xiv) Educación.

(xv) Afiliación a partido político.

(xvi) Condición médica.

(xvii) Medicamentos, terapias o productos o equipos médicos utilizados.

(xviii) El tipo de producto que el cliente compró, arrendó o alquiló.

(xix) Bienes inmuebles comprados, arrendados o alquilados.

(xx) El tipo de servicio prestado.

(xxi) Número de seguro social.

(xxii) Número de cuenta bancaria.

(xxiii) Número de tarjeta de crédito.

(xxiv) Número de tarjeta de débito.

(xxv) Saldo de cuenta bancaria o de inversión, tarjeta de débito o tarjeta de crédito.

(xxvi) Historial de pagos.

(xxvii) Información relativa a la solvencia crediticia, activos, ingresos o pasivos del cliente.

(B) Si una lista, descripción o agrupación de nombres o direcciones de clientes se deriva utilizando cualquiera de estas categorías, y se divulga a un tercero para fines de marketing directo de una manera que permite al tercero identificar, determinar o extrapolar cualquier otra información personal de la cual se derivó la lista, y esa información personal, cuando fue divulgada, identificó, describió o se asoció con un individuo, las categorías establecidas en esta subdivisión que corresponden a la información personal utilizada para derivar la lista, descripción o agrupación se considerarán información personal a los efectos de esta sección.

(7) “Información personal”, tal como se utiliza en esta sección, significa cualquier información que, cuando fue divulgada, identificó, describió o pudo asociarse con un individuo e incluye todo lo siguiente:

(A) Nombre y dirección de un individuo.

(B) Dirección de correo electrónico.

(D) Nombres de los hijos.

(E) Direcciones de correo electrónico u otras direcciones de los hijos.

(F) Número de hijos.

(G) La edad o el género de los hijos.

(H) Estatura.

(I) Peso.

(J) Raza.

(K) Religión.

(L) Ocupación.

(M) Número de teléfono.

(N) Educación.

(O) Afiliación a partido político.

(P) Condición médica.

(Q) Medicamentos, terapias o productos o equipos médicos utilizados.

(R) El tipo de producto que el cliente compró, arrendó o alquiló.

(S) Bienes inmuebles comprados, arrendados o alquilados.

(T) El tipo de servicio prestado.

(U) Número de seguro social.

(V) Número de cuenta bancaria.

(W) Número de tarjeta de crédito.

(X) Número de tarjeta de débito.

(Y) Saldo de cuenta bancaria o de inversión, tarjeta de débito o tarjeta de crédito.

(Z) Historial de pagos.

(AA) Información relativa a la solvencia crediticia, activos, ingresos o pasivos.

(8) “Tercero” o “terceros” significa uno o más de los siguientes:

(A) Una empresa que es una entidad legal separada de la empresa que tiene una relación comercial establecida con un cliente.

(B) Una empresa que tiene acceso a una base de datos compartida entre empresas, si la empresa está autorizada a utilizar la base de datos para fines de marketing directo, a menos que el uso de la base de datos esté exento de ser considerado una divulgación para fines de marketing directo de conformidad con la subdivisión (d).

(C) Una empresa no afiliada por una propiedad común o control corporativo común con la empresa obligada a cumplir con la subdivisión (a).

(f)

(1) Las divulgaciones de información personal para fines de marketing directo entre terceros afiliados que comparten el mismo nombre de marca están exentas de los requisitos del párrafo (1) de la subdivisión (a) a menos que la información personal divulgada corresponda a una de las siguientes categorías, en cuyo caso se deberá informar al cliente de aquellas categorías enumeradas en esta subdivisión que corresponden a las categorías de información personal divulgada para fines de marketing directo y los terceros receptores de información personal divulgada para fines de marketing directo de conformidad con el párrafo (2) de la subdivisión (a):

(A) Número de hijos.

(B) La edad o el género de los hijos.

(D) Estatura.

(E) Peso.

(F) Raza.

(G) Religión.

(H) Número de teléfono.

(I) Condición médica.

(J) Medicamentos, terapias o productos o equipos médicos utilizados.

(K) Número de seguro social.

(L) Número de cuenta bancaria.

(M) Número de tarjeta de crédito.

(N) Número de tarjeta de débito.

(O) Saldo de cuenta bancaria o de inversión, tarjeta de débito o tarjeta de crédito.

(2) Si una lista, descripción o agrupación de nombres o direcciones de clientes se deriva utilizando cualquiera de estas categorías, y se divulga a un tercero o terceros que comparten el mismo nombre de marca para fines de marketing directo de una manera que permite al tercero identificar, determinar o extrapolar la información personal de la cual se derivó la lista, y esa información personal, cuando fue divulgada, identificó, describió o se asoció con un individuo, cualquier otra información personal que corresponda a las categorías establecidas en esta subdivisión utilizada para derivar la lista, descripción o agrupación se considerará información personal a los efectos de esta sección.

(3) Si una empresa divulga información personal para fines de marketing directo a terceros afiliados que comparten el mismo nombre de marca, la empresa que divulga información personal para fines de marketing directo entre terceros afiliados que comparten el mismo nombre de marca podrá cumplir con los requisitos del párrafo (2) de la subdivisión (a) proporcionando el número total de empresas afiliadas que comparten el mismo nombre de marca.

(g) Las disposiciones de esta sección son separables. Si alguna disposición de esta sección o su aplicación se declara inválida, dicha invalidez no afectará a otras disposiciones o aplicaciones que puedan surtir efecto sin la disposición o aplicación inválida.

(h) Esta sección no se aplica a una institución financiera que esté sujeta a la Ley de Privacidad de la Información Financiera de California (División 1.2 (que comienza con la Sección 4050) del Código Financiero) si la institución financiera cumple con las Secciones 4052, 4052.5, 4053, 4053.5 y 4054.6 del Código Financiero, tal como se leían esas secciones cuando fueron promulgadas el 28 de agosto de 2003, y según las enmiendas posteriores de la Legislatura o por iniciativa.

(i) Esta sección entrará en vigor el 1 de enero de 2005.

divulgación de información personal marketing de terceros solicitud del cliente ...

Section § 1798.83

Esta sección busca prevenir la discriminación por edad asegurando que los sitios web de la industria del entretenimiento no utilicen indebidamente la información de edad o fecha de nacimiento de una persona. Si usted paga por un servicio de empleo en uno de estos sitios, puede solicitar que no muestren ni compartan sus datos de edad en línea. Deben cumplir con esta solicitud en un plazo de cinco días si usted pide la eliminación de esta información de los sitios web que controlan. Sin embargo, si el sitio permite a los usuarios subir contenido sin revisarlo previamente, no estarán infringiendo la ley hasta que usted les pida que eliminen su información de edad.

(a) El propósito de esta sección es asegurar que la información obtenida en un sitio web de Internet con respecto a la edad de un individuo no sea utilizada para promover la discriminación laboral o por edad.

(b) Un proveedor comercial de servicios de empleo en línea para la industria del entretenimiento que celebre un acuerdo contractual para proporcionar servicios de empleo a un individuo a cambio de un pago de suscripción no deberá, a solicitud del suscriptor, hacer ninguna de las siguientes acciones:

(1) Publicar o hacer pública la fecha de nacimiento o la información de edad del suscriptor en un perfil en línea del suscriptor.

(2) Compartir la fecha de nacimiento o la información de edad del suscriptor con cualquier sitio web de Internet con el propósito de publicación.

(c) Un proveedor comercial de servicios de empleo en línea para la industria del entretenimiento sujeto a la subdivisión (b) deberá, dentro de los cinco días, eliminar de la vista pública en un perfil en línea del suscriptor la fecha de nacimiento y la información de edad del suscriptor en cualquier sitio web de Internet asociado bajo su control, previa solicitud específica del suscriptor que nombre los sitios web de Internet. Un proveedor comercial de servicios de empleo en línea para la industria del entretenimiento que permita a los miembros del público cargar o modificar contenido de Internet en su propio sitio web de Internet o en cualquier sitio web de Internet bajo su control sin revisión previa por parte de dicho proveedor no se considerará en violación de esta sección a menos que el suscriptor le haya solicitado primero que elimine la información de edad.

(d) Para los fines de esta sección, se aplican las siguientes definiciones:

(1) “Proveedor comercial de servicios de empleo en línea para la industria del entretenimiento” significa una persona o empresa que posee, licencia o de otra manera tiene información computarizada, incluyendo, pero no limitada a, información de edad y fecha de nacimiento, sobre individuos empleados en la industria del entretenimiento, incluyendo televisión, películas y videojuegos, y que pone dicha información a disposición del público o de posibles empleadores.

(2) “Pago” significa una tarifa a cambio de anuncios, o cualquier otra forma de compensación o beneficio.

(3) “Proporcionar servicios de empleo” significa publicar currículums, fotografías u otra información sobre un suscriptor cuando uno de los propósitos es proporcionar información individualmente identificable sobre el suscriptor a un posible empleador.

(4) “Suscriptor” significa una persona natural que celebra un acuerdo contractual con un proveedor comercial de servicios de empleo en línea para la industria del entretenimiento para recibir servicios de empleo a cambio de un pago de suscripción.

discriminación por edad sitio web de Internet entretenimiento comercial en línea ...

Section § 1798.84

En California, nadie puede renunciar a sus derechos bajo esta ley, ya que hacerlo va en contra del orden público y no está permitido. Si una empresa incumple las normas, el cliente afectado puede demandar por daños y perjuicios. Si la infracción es intencional o imprudente, el cliente puede obtener hasta $3,000 por infracción; de lo contrario, la multa máxima es de $500. Si el problema no fue intencional y la empresa corrige su error en un plazo de 90 días, puede usar esto como defensa. Los tribunales pueden ordenar a las empresas que dejen de infringir la ley. Las empresas no serán demandadas si destruyen adecuadamente los registros desechados con datos personales. Los clientes que ganen un caso pueden reclamar los honorarios de su abogado. Todos los derechos y recursos de esta sección se suman a otros disponibles por ley.

(a) Cualquier renuncia a una disposición de este título es contraria al orden público y es nula e inexigible.

(b) Cualquier cliente perjudicado por una infracción de este título podrá iniciar una acción civil para recuperar daños y perjuicios.

(c) Además, por una infracción dolosa, intencional o imprudente de la Sección 1798.83, un cliente podrá recuperar una sanción civil que no exceda los tres mil dólares ($3,000) por infracción; en caso contrario, el cliente podrá recuperar una sanción civil de hasta quinientos dólares ($500) por infracción de la Sección 1798.83.

(d) A menos que la infracción sea dolosa, intencional o imprudente, una empresa de la que se alegue que no ha proporcionado toda la información requerida por la subdivisión (a) de la Sección 1798.83, que ha proporcionado información inexacta, que no ha proporcionado ninguna de la información requerida por la subdivisión (a) de la Sección 1798.83, o que no ha proporcionado información en el plazo requerido por la subdivisión (b) de la Sección 1798.83, podrá alegar como defensa completa en cualquier acción legal o de equidad que, posteriormente, proporcionó, con respecto a la información que se alegó como extemporánea, toda la información, o información precisa, a todos los clientes a quienes se les proporcionó información incompleta o inexacta, respectivamente, dentro de los 90 días siguientes a la fecha en que la empresa supo que no había proporcionado la información, información oportuna, toda la información, o la información precisa, respectivamente.

(e) Cualquier empresa que infrinja, proponga infringir o haya infringido este título podrá ser objeto de una orden judicial.

(f)

(1) No procederá una causa de acción contra una empresa por deshacerse de registros abandonados que contengan información personal, triturando, borrando o modificando de otro modo la información personal en los registros para hacerla ilegible o indescifrable por cualquier medio.

(2) La Legislatura constata y declara que cuando los registros que contienen información personal son abandonados por una empresa, a menudo terminan en posesión de una empresa de almacenamiento o de un propietario comercial. Es la intención de la Legislatura en el párrafo (1) crear una protección legal para dicho custodio de registros que se deshaga adecuadamente de los registros de conformidad con el párrafo (1).

(g) Un demandante victorioso en cualquier acción iniciada bajo la Sección 1798.83 también tendrá derecho a recuperar sus honorarios razonables de abogado y costas.

(h) Los derechos y recursos disponibles bajo esta sección son acumulativos entre sí y con cualquier otro derecho y recurso disponible conforme a la ley.

orden público acción civil daños y perjuicios ...