SB 1386, también conocida como Ley de Violación de Seguridad, es una ley de California que regula la notificación al cliente de violaciones de seguridad que representan un riesgo para la seguridad de la información privada. La ley de 2003 es una pieza legislativa histórica que enmendó leyes anteriores en un intento por combatir los crecientes niveles de robo de identidad computarizado. SB 1386 obliga legalmente a cualquier empresa que solicite o mantenga información privada, como números de cuenta o números de licencia de conducir, a notificar a los residentes de California sobre cualquier violación de seguridad que presente un riesgo razonable para los datos personales.
El objetivo de la SB 1386 es, en parte, garantizar que las empresas tomen las precauciones adecuadas para proteger los datos privados. Así como una persona no pondría objetos de valor en una caja fuerte de una empresa conocida por sus cerraduras deficientes, tampoco debería una persona poner datos personales importantes en manos de una empresa que no toma medidas justas para garantizar que no puedan ser robados y utilizados para persona de robo de identidad. Los críticos sugieren que la ley exige injustamente que las víctimas, es decir, las empresas, de un delito como la piratería, anuncien públicamente su victimización. Los defensores, por otro lado, sugieren que las verdaderas víctimas son aquellos cuyos datos se han visto comprometidos y que la ley impide que las empresas preserven su reputación ocultando brechas de seguridad que pongan en riesgo la seguridad de los empleados o clientes.
Aunque el robo de identidad ha sido durante mucho tiempo un elemento delictivo, el anonimato de Internet ha brindado a los ladrones una oportunidad mucho mayor de hacer uso de los datos personales robados. La ley fue creada en respuesta a estudios de aplicación de la ley que notaron un marcado aumento en los niveles de robo de identidad desde que se popularizó el uso de bases de datos computarizadas y accesibles a Internet. Al responsabilizar a las empresas de la seguridad de los datos de los empleados o clientes, SB 1386 dio un gran paso hacia el cambio del concepto del valor de los datos personales.
La SB 1386 requiere específicamente que tres tipos de empresas informen rápidamente a los clientes sobre una infracción: las que tienen empleados o clientes en California, las empresas subcontratadas que trabajan con empleados o clientes en California, o las que recopilan y mantienen información computarizada sobre los residentes de California. La ley cubre el comportamiento de todas las organizaciones, incluidas las empresas privadas, las escuelas y las oficinas públicas.
Una infracción requiere informar si existe una creencia razonable de que la información puede haber sido comprometida. La información que califica para el informe incluye el nombre y apellido o la inicial y el apellido de cualquier cliente o empleado en combinación con datos personales como una licencia de conducir, tarjeta de Seguro Social, número de cuenta bancaria, información de tarjeta de crédito o débito o contraseñas de seguridad. . Si se sospecha de una infracción, cualquier persona con entrada en la base de datos debe ser notificada de inmediato por correo electrónico, llamada telefónica, carta o publicación destacada en el sitio web de la empresa. El incumplimiento de la SB 1386 puede resultar en una demanda civil.