Ahorro

FTC acusa a empresa de servicios de emergencia en viajes

La Comisión Federal del Comercio presentó cargos contra la compañía por la incapacidad de la misma en la protección de datos confidenciales del consumidor.

Por Fernando Hernández

-
Imagen: Pexels.com

Imagen: Pexels.com

Una empresa con sede en Nevada que brinda servicios de emergencia en viajes debe implementar un programa integral de seguridad de la información como parte de un acuerdo con la Comisión Federal de Comercio sobre las acusaciones de que la empresa no tomó medidas razonables para proteger la información confidencial del consumidor, como los registros médicos.

En una queja contra SkyMed International, Inc., la FTC (Comisión Federal del Comercio, por sus siglas en inglés) alegó que la compañía no tomó medidas razonables para proteger la información personal que recopiló de las personas que se habían inscrito en su plan de membresía de viaje de emergencia y, como resultado, la compañía dejó de estar segura.

Se habla de una base de datos en la nube que contiene 130 mil registros de miembros. La base de datos no segura, expuesta por un investigador de seguridad, podría ser ubicada y accesible por cualquier persona en Internet y contenía información personal almacenada en texto sin formato, como nombres, fechas de nacimiento, domicilios, información de salud y números de cuenta de membresía, según la queja.

La FTC también alegó que SkyMed no evaluó los riesgos de dichos datos mediante la realización de pruebas de penetración y otras medidas, y no supervisó su red en busca de acceso no autorizado, según sitio oficial de la FTC.

“Las personas que compraron servicios de protección de viajes confiaban en SkyMed con su información de salud personal, y SkyMed tenía la obligación de mantener esa información segura”, dijo Andrew Smith, director de la Oficina de Protección al Consumidor de la FTC.

"La seguridad de la información médica personal es una prioridad clave para la FTC, y tomaremos medidas contra las empresas que no implementen programas sólidos de protección de datos".

Después de ser informado de los datos no seguros, SkyMed notificó a los titulares de planes actuales y anteriores que había investigado la infracción y encontró que "no había información médica o relacionada con pagos visible y no había indicios de que la información se haya utilizado incorrectamente".

Sin embargo, la FTC alegó que SkyMed no examinó la información real almacenada en la base de datos, no identificó a los consumidores afectados e investigó si otros usuarios no autorizados habían accedido a la base de datos. En cambio, después de confirmar que los datos estaban en línea y eran de acceso público, SkyMed eliminó la base de datos.

La FTC también alegó que SkyMed engañó a los consumidores al mostrar durante casi cinco años un sello de "Cumplimiento de HIPAA" en cada página de su sitio web, lo que daba la impresión de que sus políticas de privacidad habían sido revisadas y cumplían con los requisitos de seguridad y privacidad de la Portabilidad de la Información de Salud y Ley de Responsabilidad (HIPAA).

Ninguna agencia gubernamental u otro tercero había revisado las prácticas de información de SkyMed para cumplir con la HIPAA.

Según el acuerdo propuesto, SkyMed tiene prohibido tergiversar cómo protege los datos personales, las circunstancias y la respuesta a una violación de datos, y si la empresa ha sido respaldada o participa en algún programa de privacidad o seguridad patrocinado por el gobierno.

La empresa también deberá enviar un aviso a los consumidores afectados detallando los datos expuestos por la violación de datos.

Como parte del programa obligatorio de seguridad de la información, la empresa debe identificar y documentar los posibles riesgos internos y externos y diseñar, implementar y mantener salvaguardas para proteger la información personal que recopila de esos riesgos.

Además, SkyMed debe obtener evaluaciones bienales de su programa de seguridad de la información por parte de un tercero, que la FTC tiene autoridad para aprobar, para examinar la efectividad del programa de seguridad de la información de SkyMed, identificar cualquier brecha o debilidad y monitorear los esfuerzos para abordar estos problemas.

El acuerdo también requiere que un ejecutivo senior de SkyMed certifique anualmente que la compañía está cumpliendo con los requisitos del acuerdo.

La Comisión votó 5-0 para emitir la denuncia administrativa propuesta y aceptar el acuerdo de consentimiento con la empresa.

La FTC publicará una descripción del paquete del acuerdo de consentimiento en el Registro Federal. El acuerdo estará sujeto a comentarios públicos durante 30 días después de su publicación en el Registro Federal, después de lo cual la Comisión decidirá si la orden de consentimiento propuesta es definitiva.

Las instrucciones para presentar comentarios aparecerán en el aviso publicado. Una vez procesados, los comentarios se publicarán en Regulations.gov.

¿Se ha acogido a alguna ley que lo defienda como consumidor?

Si. 0%
No. 0%

Recibe todas las noticias en tu e-mail

Información de ahorro, crédito y finanzas personales.

Debes completar tu e-mail Debes completar un e-mail correcto.
Ya estás suscrito a nuestro newsletter. Pronto recibirás noticias en tu correo.

Suscribirse implica aceptar los Términos y Condiciones

Sigue leyendo

Ranking

Más de Ahorro