Schneiderman Anuncia Acuerdo Con La Compañía De Servicios De Salud Que Ilegalmente Retardó Notificación De Violación De Datos De Más De 220.000 Pacientes

La compañía violó el derecho comercial general que requiere que las empresas den un aviso de incumplimiento tan pronto como sea posible
CoPilot Provider Support Services, Inc. debe pagar $130,000 en penalizaciones y reformar su programa de cumplimiento legal 
Schneiderman: Los proveedores de servicios de salud tienen el deber de proteger los registros de pacientes de la forma más segura posible y de dar aviso cuando ocurre una violación 

NUEVA YORK - El Fiscal General Eric T. Schneiderman anunció hoy un acuerdo con CoPilot Provider Support Services, Inc. ("CoPilot"), una corporación de Nueva York que presta servicios de apoyo a la industria de la salud después de que la compañía violó la Ley General de Negocios al esperar más de un año para dar aviso de una violación de datos que expuso 221.178 registros de pacientes. CoPilot ha acordado pagar $130,000 en multas y mejorar su programa de notificación de este tipo de violaciones y cumplimiento legal.

"Los proveedores de servicios de salud tienen el deber de proteger los expedientes de los pacientes con la mayor seguridad posible y dar aviso cuando ocurre una violación", dijo el Fiscal General Schneiderman. "Esperar más de un año para dar aviso es inaceptable. Mi oficina seguirá haciendo rendir cuentas a las empresas por su responsabilidad de proteger la información privada de los clientes".

El sitio web de CoPilot -www.monovischcp.com- es utilizado por los médicos para ayudar a determinar si la cobertura de seguro está disponible para ciertos medicamentos. El 26 de octubre de 2015, una persona no autorizada obtuvo acceso a datos confidenciales de reembolso de pacientes de CoPilot a través de la interfaz de administración de sitios web, PHPMyAdmin. El intruso descargó registros relacionados con el reembolso de 221.178 pacientes, incluyendo su nombre, sexo, fecha de nacimiento, dirección, número de teléfono e información de la tarjeta de seguro médico. De los pacientes afectados, 25.561 eran residentes de Nueva York; 11.372 de los registros de los pacientes de Nueva York también incluían números de seguridad social.

A mediados de febrero de 2016, el Buró Federal de Investigaciones abrió una investigación a petición de CoPilot, centrándose en un ex empleado de CoPilot a quien CoPilot creía era el intruso.

El 18 de enero de 2017, CoPilot comenzó a notificar formalmente a los consumidores afectados en Nueva York. Las notificaciones se emitieron más de un año después de que CoPilot se enterara de la violación de los datos de los pacientes. Aunque CoPilot afirmó que el retraso en la notificación se debía a una investigación en curso por parte de las fuerzas del orden, el FBI nunca determinó que la notificación al consumidor comprometería la investigación y nunca le ordenó a CoPilot que retrasara las notificaciones de las víctimas. La Ley General de Negocios § 899-aa obliga a las compañías a dar aviso de una violación tan pronto como sea posible, y una compañía no puede presumir que la notificación retrasada es justificada sólo porque una agencia policial está investigando.

De acuerdo con el acuerdo, CoPilot ha acordado pagar $130,000 en multas. También ha acordado cumplir con las leyes de protección de los consumidores y seguridad de datos de Nueva York, Ley Ejecutiva § 63 (12) y Ley General de Negocios § 899-aa, y actualizar políticas y procedimientos relevantes para asegurar el cumplimiento con la Ley General de Negocios § 899-aa. Su programa de cumplimiento legal debe incluir la capacitación de todos los oficiales, gerentes y empleados de CoPilot en cuanto a sus roles y responsabilidades para asegurar que CoPilot cumpla con la Ley General de Negocios § 899-aa y provea notificaciones oportunas a los consumidores afectados en caso de incumplimiento. Todos los oficiales y gerentes de CoPilot deben revisar las obligaciones del acuerdo.

El acuerdo también establece que CoPilot no debe demorar la notificación de una violación de datos a los consumidores, a menos que explícitamente dirigido por escrito por un funcionario autorizado de la ley que investiga el incidente para el enjuiciamiento penal, en el que la notificación del incidente podría impedir la investigación. En tal caso, CoPilot debe solicitar una fecha en la que se puede proporcionar una notificación, y si no se presenta una fecha, mantenerse en contacto con la agencia policial hasta que se proporcione la aprobación para la notificación de conformidad con la Ley General de Negocios § 899-aa.

Este caso fue manejado por el Jefe Adjunto Clark Russell la Oficina de Internet y Tecnología y el Fiscal Adjunto Jordan Adler, bajo la supervisión de la Jefa de la Oficina Kathleen McGee. La Oficina de Internet y Tecnología es supervisada por la Fiscal Ejecutiva Adjunta de Justicia Económica Manisha M. Sheth.