BUFALO – La Fiscal General Barbara D. Underwood anunció hoy un acuerdo con The Arc of Erie County, una organización sin fines de lucro con sede en Búfalo que brinda servicios a personas con discapacidades de desarrollo y sus familias, después de descubrir que la compañía expuso información personal sensible de los clientes en Internet durante años.
El acuerdo requiere que The Arc of Erie County realice un análisis exhaustivo de los riesgos de seguridad y vulnerabilidades de todos los equipos electrónicos y sistemas de datos, revise sus políticas y procedimientos, y pague una multa de $200,000.
“El trabajo de Arc of Erie County sirve a nuestros neoyorquinos más vulnerables, y eso conlleva la responsabilidad de protegerlos y proteger su información personal confidencial”, dijo la fiscal General Underwood. “Este acuerdo debería proporcionar un modelo para todas las organizaciones benéficas en la protección de la información personal de sus comunidades en línea”.
El Arc of Erie County, anteriormente conocida como Heritage Centers, es un capítulo de The Arc New York, una organización nacional que apoya a las personas con discapacidades en el desarrollo intelectual. La compañía mantiene una dirección comercial principal en Búfalo, y atiende a clientes en toda el área de Western New York.
A principios de febrero de 2018, The Arc of Erie County recibió una notificación del público de que la información personal de sus clientes estaba expuesta en su sitio web, incluidos nombres completos, números de seguridad social, género, raza, códigos de diagnóstico primario, IQ, información de seguros, direcciones, números de teléfono, fechas de nacimiento y edades.
En un informe posterior, un investigador forense descubrió que la información estaba disponible públicamente en Internet desde julio de 2015 hasta febrero de 2018 y afectó a 3,751 clientes que residían en Nueva York. El informe confirmó que, al buscar en Internet con cualquier aplicación de búsqueda, una página de resultados incluiría enlaces a hojas de cálculo con la información confidencial de los clientes. La página web abierta estaba pensada solo para uso interno y se suponía que estaba protegida por un requisito de inicio de sesión. El informe también encontró que personas desconocidas fuera del país accedieron a los enlaces con la información confidencial en muchas ocasiones. No hubo evidencia de malware u otro software malicioso en el sistema ni ninguna comunicación continua con direcciones IP externas.
Alrededor del 9 de marzo de 2018, The Arc of Erie County notificó formalmente a los clientes afectados en Nueva York que la organización había divulgado inadvertidamente su información confidencial. También proporcionó a los clientes perjudicados una suscripción gratuita de un año a LifeLock para protegerse contra el robo de identidad. La organización también publicó un enlace a la información sobre la violación en su sitio web y un aviso en Búfalo News el 14 de marzo de 2018.
De conformidad con la Ley Federal de Responsabilidad de Portabilidad del Seguro Médico, modificada por la Ley de Tecnología de Información de Salud para la Salud Económica y Clínica («HIPAA»), se requiere que The Arc of Erie County proteja la información de salud de los pacientes, incluidos los números de la seguridad social, utilizar las salvaguardias administrativas, físicas y técnicas apropiadas.
El acuerdo requiere que The Arc of Erie County implemente un Plan de Acción Correctivo que incluya un análisis exhaustivo de los riesgos de seguridad y vulnerabilidades de todos los equipos electrónicos y sistemas de datos y envíe un informe de dichos hallazgos a la Oficina de la Fiscal General dentro de los 180 días del acuerdo. La organización también debe revisar sus políticas y procedimientos sobre la base de los resultados de la evaluación y notificar a la Oficina de la Fiscal General de cualquier medida que tome. Si no se toman medidas, la compañía debe proporcionar una explicación detallada por escrito de por qué no es necesaria ninguna acción. Finalmente, la organización pagará una multa de $200,000 al Estado.
Este caso fue manejado por el Jefe Adjunto de la Oficina de Internet y Tecnología Clark Russell, bajo la supervisión de la Jefa del Buró, Kim Berger. La Oficina de Internet y Tecnología es supervisada por la Fiscal Adjunta Ejecutiva de Justicia Económica, Manisha M. Sheth.
