Category: Privacy

Oriental had 10 days to Notify a Breach to Regulators. Could your business – and its vendors – do the same?

In May 2026, Evertec — a payment processor that handles data for banks across Puerto Rico — discovered that an unauthorized party accessed customer information through a third-party support platform, exposing card numbers and, in some cases, names, expiration dates, birth dates, and contact details. Oriental Bank confirmed some of its customers were affected, began notifying them through its mobile app, and started reissuing cards. Under Puerto Rico’s Data Breach Notification Act of 2005, once a breach like this is detected, the responsible parties have a non-extendable 10 days to inform DACO — Puerto Rico’s Department of Consumer Affairs — before the agency makes the matter public. Although 10 days might sound like enough time, take a few minutes to ask yourself: if a vendor you rely on got breached tomorrow, would you even find out in time to hit that deadline — and, does your business actually know who’s responsible for what, or would you be building that answer from scratch under pressure?

What Information is Covered under Puerto Rico’s Breach Notification Act?

If you or your business are Oriental Bank customers, you can go to their site to learn more about the incident and how to protect yourself.

Passed in 2005 to respond to identity theft cases, Law Number 111 of September 7, 2005, called Ley de Información al Ciudadano Sobre la Seguridad de Bancos de Información (translated literally as “Citizen Notification Act on the Security of Information Databases”) requires any entity that owns or holds a data bank (banco de información) containing personal information on Puerto Rico residents to notify those residents when the security of that system is breached. The law’s reach is broad by design: “entity” is defined to include virtually any corporation, partnership, or business operating in Puerto Rico, plus public and private educational institutions — which certainly isn’t limited to banks or financial services.

What counts as protected “personal information archive” under Law 111? 

Any record containing a name (or first initial plus surname) combined with any of the following, in a form that’s readable without a special cryptographic key — meaning a password alone doesn’t count as protection:

  • Social Security number.
  • Driver’s license, voter ID, or other official ID number.
  • Bank or financial account numbers of any kind (this is exactly what was exposed in the Evertec incident).
  • Usernames and passwords to public or private computer systems.
  • HIPAA-protected medical information.
  • Tax information.
  • Employment evaluations.

The Two-Tier Notification Chain

Law 111 sets up a structure that maps almost exactly what’s happening with Evertec and Oriental right now:

  • If your business resells or provides access to a digital data bank containing personal information on behalf of another entity, and that access is breached, you must notify the owner or custodian of that data — not the individual consumers directly.
  • If your business owns or holds the data itself, you must notify the affected residents directly once you learn (from your own systems or from a vendor) that a breach has occurred.

In the current case, Evertec — as the vendor providing the data processing — sits in the first category; Oriental Bank and other affected financial institutions, as the data owners with the direct customer relationship, sit in the second. That’s precisely the chain Law 111 anticipated: the vendor notifies the institution, the institution notifies the customer.

On the ground, this has looked like concrete remediation alongside notification: Oriental’s CEO has said the bank is proactively reissuing cards to affected customers, describing replacement as the most secure way to close out any risk, and has pointed customers to the bank’s mobile app as a direct channel to check whether their account was affected and what steps to take — including reviewing in-app notifications, using card lock/freeze controls, and monitoring transactions for anything unauthorized. 

Whatever the eventual full scope of the incident turns out to be, this is a useful real-world picture of what the response side of a Law 111 notification can look like in practice: a specific, accessible channel for customers to get answers, paired with an actual remediation step (card replacement) rather than notification alone.

The Deadlines Are Specific — and Short

  • Notification to affected residents must happen “as expeditiously as possible,” with allowance made for law enforcement’s need to secure evidence and for restoring system security.
  • Separately, and non-negotiably: the responsible parties must inform DACO (Puerto Rico’s Department of Consumer Affairs) within 10 days of detecting the breach — a deadline that Law 111 explicitly calls “non-extendable”.
  • Once DACO receives that information, it must make a public announcement within 24 hours.
  • The notice itself must be clear and conspicuous, describe the breach in general terms along with the type of sensitive information involved, and include a toll-free number or website for more information.
  • If direct notification would cost more than $100,000 or affect more than 100,000 people, the law allows substitute notice instead through a prominent posting at the business and on its website, plus notification to media outlets.

The Penalty — Up to $5,000 in fines, but Unlimited in the Courts

Under Article 10 of Law 111, DACO’s Secretary can impose fines of $500 to $5,000 per violation. However, this article also states that these fines don’t replace a consumer’s right to separately sue for damages in court. For a breach affecting thousands of cardholders like this one, the administrative fine will probalby be the least of their worries, as the aggregate exposure from private litigation is where the real financial risks will lie.

Why Should You Care about this?

  • This isn’t just a “big bank” law. Any business — for example, a medical office, a law firm, a retailer, a school — that holds a customer or client database containing names paired with social security numbers, account numbers, or login credentials is required to comply with Law 111.
  • Vendor breaches legally are your breaches. If a payment processor, cloud host, or vendor you use gets breached, Law 111’s chain means the notification obligation to your own customers may land on you, not just the vendor — so knowing which of your vendors hold this kind of data matters before an incident, not after.
  • The 10-day DACO clock is unforgiving. “Non-extendable” means exactly that. A business that doesn’t already have an incident-response plan mapping out who does what within that window is racing the clock for the first time during the worst possible moment.
  • Password protection alone doesn’t exempt you. Law 111 specifically requires something beyond a password — real encryption — before data falls outside the notification requirement. A lot of small businesses assume “password-protected” is enough. It isn’t, under this statute.

Is Your Business Prepared to Handle a Breach? Here Are a Few Things You Can Start Doing Today

  • Know exactly which of your vendors hold PR-resident personal data, and draft vendor contracts that require them to notify you immediately – ideally within 24 hours – of any breach. You will not be able to meet the 10-day DACO deadline if you’re the last to know.
  • Have a breach-notification plan ready before you need it — template notices, a designated point of contact, and a clear internal escalation path so the 10-day window isn’t spent figuring out who’s in charge.
  • Actually encrypt sensitive data, not just password-protect it — encryption is what takes a breach outside this law’s notification trigger in the first place.
  • Don’t assume “no evidence of misuse” ends the matter and avoids liability  — the notification duty is triggered by unauthorized access itself, not by proof that the data was actually misused.

The Bottom Line

The Evertec/Oriental situation is an unfortunate illustration of exactly the chain Puerto Rico lawmakers anticipated back in 2005: a vendor breach flowing through to bank notifications, DACO oversight, and public disclosure. Whatever the outcome of that specific case, the broader lesson holds for any business handling personal data of Puerto Rican residents: this law applies whether or not you’re a bank, the clock starts the moment you detect the breach, and “we didn’t know because our vendor didn’t tell us fast enough” isn’t a defense allowed by the law.

If you want to make sure your business complies with U.S. and Puerto Rico privacy and data-security laws — including having a breach-notification plan that actually meets Law 111’s deadlines — you can book an appointment with us today. We’re ready to help you map your data, your vendors, and your obligations before an incident forces you to learn them the hard way.

[2026-07-13]

Oriental Tuvo 10 Días para Notificar a los Reguladores Una Violación de Seguridad. ¿Podrían Tu Negocio — y Tus Proveedores — Hacer lo Mismo?

En mayo de 2026, Evertec — una procesadora de pagos que maneja datos de bancos para todo Puerto Rico — descubrió que una parte no autorizada accedió a información de clientes a través de una plataforma de soporte de un tercero, exponiendo números de tarjetas y, en algunos casos, nombres, fechas de expiración, fechas de nacimiento y datos de contacto. Oriental Bank confirmó que algunos de sus clientes fueron afectados, comenzó a notificarles a través de su aplicación móvil, y empezó a reemplazar tarjetas. Bajo la Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información de Puerto Rico de 2005, una vez se detecta una violación de seguridad como esta, las partes responsables tienen un plazo improrrogable de 10 días para informar al DACO — el Departamento de Asuntos del Consumidor de Puerto Rico — antes de que la agencia haga pública la situación. 

Aunque 10 días pueden sonar como tiempo suficiente, toma hoy unos minutos para preguntarte: si un proveedor del cual dependes sufriera mañana un hackeo o filtración de tus récords, ¿te enterarías a tiempo para cumplir con este plazo? Y, ¿tu negocio realmente sabe quién es responsable de qué, o estarías respondiendo a esta crisis bajo presión y sin saber que te requiere la ley?

Nota: Si tu o tu negocio son clientes de Oriental Bank, puedes ir a su página para conocer más del incidente e informarte sobre como proteger tus cuentas.

¿Qué Cubre Realmente la Ley de Notificación de Violaciones de Seguridad de Puerto Rico?

La Ley Número 111 del 7 de septiembre de 2005, llamada la “Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información”, aprobada para responder a casos de robos de identidad, exige que toda entidad que sea dueña o custodia de un banco de información que contenga datos personales de residentes de Puerto Rico notifique a dichos residentes cuando la seguridad de ese sistema sea violada. El alcance de la ley es muy amplio: “entidad” se define para incluir prácticamente cualquier corporación, sociedad o negocio que opere en Puerto Rico, además de instituciones educativas públicas y privadas — ciertamente no se limita a bancos o servicios financieros.

¿Qué considera la Ley 111 como un “archivo de información personal” protegido? 

Cualquier expediente que contenga un nombre (o primera inicial más apellido) combinado con cualquiera de los siguientes datos, de forma legible sin necesidad de una clave criptográfica especial — es decir, una contraseña por sí sola no cuenta como protección.

Esto puede incluir:

  • Número de Seguro Social.
  • Número de licencia de conducir, tarjeta electoral u otra identificación oficial.
  • Números de cuentas bancarias o financieras de cualquier tipo (esto es exactamente la información expuesta en el incidente de Evertec).
  • Nombres de usuario y contraseñas de sistemas informáticos públicos o privados.
  • Información médica protegida por HIPAA.
  • Información contributiva.
  • Evaluaciones laborales.

La Cadena de Notificación de Dos Niveles

La Ley 111 establece una estructura que se asemeja casi exactamente a lo que está ocurriendo ahora mismo con Evertec y Oriental:

  • Si tu negocio revende o provee acceso a un banco de información digital que contiene información personal en nombre de otra entidad, y ese acceso es violado, debes notificar al dueño o custodio de esos datos — no directamente a los consumidores individuales.
  • Si tu negocio es dueño o custodio de los datos, debes notificar directamente a los residentes afectados una vez te enteres (por tus propios sistemas o por un proveedor) de que ha ocurrido una violación de seguridad.

En este caso, Evertec — como el proveedor que provee el procesamiento de datos — se ubica en la primera categoría; Oriental Bank y otras instituciones financieras afectadas, como los dueños de los datos y de la relación directa con el cliente, se ubican en la segunda. Esa es precisamente la cadena que la Ley 111 anticipó: el proveedor notifica a la institución, la institución notifica al cliente.

En la práctica, este proceso ha transcurrido de forma concurrente: el CEO de Oriental ha dicho que el banco está reemplazando proactivamente las tarjetas de los clientes afectados, describiendo el reemplazo como la forma más segura de cerrar cualquier riesgo, y ha señalado a los clientes la aplicación móvil del banco como un canal directo para verificar si su cuenta fue afectada y qué pasos seguir — incluyendo revisar las notificaciones dentro de la aplicación, usar los controles de bloqueo/congelamiento de tarjetas, y monitorear las transacciones en busca de cualquier cargo no autorizado.

Sea cual sea el alcance total que finalmente tenga este incidente, el mismo ofrece un panorama útil y real de cómo puede verse en la práctica el lado de la respuesta de una notificación bajo la Ley 111: un canal específico y accesible para que los clientes obtengan respuestas, junto con un paso de remediación real (el reemplazo de tarjetas) en lugar de solamente notificarles la situación.

La Ley 111 Contiene Requisitos Específicos — y Acciones Inmediatas

  • La notificación a los residentes afectados debe realizarse “de la manera más expedita posible”, tomando en cuenta la necesidad de las agencias del orden público de asegurar evidencia y de restaurar la seguridad del sistema.
  • Las partes responsables deben informar a DACO (el Departamento de Asuntos del Consumidor de Puerto Rico) dentro de los 10 días de haber detectado la violación — un plazo que la Ley 111 califica como “improrrogable”.
  • Una vez DACO recibe dicha información, debe hacer un anuncio público dentro de las 24 horas siguientes.
  • La notificación en sí debe ser clara y conspicua, describir la violación de seguridad en términos generales junto con el tipo de información sensitiva involucrada, e incluir un número de teléfono libre de cargos o un sitio web para más información.
  • Si la notificación directa cuesta más de $100,000 o afecta más de 100,000 personas, la Ley 111 permite en su lugar una notificación sustituta mediante un anuncio prominente en el negocio y en su página web, además de notificación a los medios de comunicación.

La Penalidad — Hasta $5,000 en Multas, Pero Ilimitada en los Tribunales

Bajo el Artículo 10 de la Ley 111, el Secretario del DACO puede imponer multas de $500 a $5,000 por cada violación. Sin embargo, este artículo también establece que estas multas no sustituyen el derecho del consumidor a demandar por separado por daños en los tribunales. Para una violación de seguridad que afecte a miles de tarjetahabientes como esta, la multa administrativa probablemente será la menor de sus preocupaciones, ya que la exposición agregada de litigios privados es donde realmente residirá el riesgo financiero.

¿Por Qué Debe Importarte Esto?

  • La Ley 111 no aplica solamente a los “bancos grandes”. Cualquier negocio — por ejemplo, un consultorio médico, un bufete de abogados, un comercio minorista, una escuela — que mantenga una base de datos de clientes con nombres combinados con números de Seguro Social, números de cuenta o credenciales de acceso, está obligado a cumplir con la Ley 111.
  • Las violaciones de seguridad de tus proveedores son, legalmente, tus violaciones. Si un procesador de pagos, un proveedor de servicios en la nube, o cualquier proveedor que utilices sufre una violación de seguridad, la cadena de la Ley 111 implica que la obligación de notificar a tus propios clientes puede recaer sobre ti, no sólo sobre el proveedor — por lo que saber cuáles de tus proveedores manejan este tipo de información importa antes de un incidente, no después.
  • El reloj de 10 días de DACO no perdona. “Improrrogable” significa exactamente eso. Un negocio que no tenga ya un plan de respuesta a incidentes que establezca quién hace qué dentro de ese plazo, estará compitiendo contra el reloj por primera vez en el peor momento posible.
  • La protección con contraseña por sí sola no te exime. La Ley 111 específicamente requiere algo más allá de una contraseña — en fin, protección encriptada — antes de que los datos queden fuera del requisito de notificación. Muchos negocios pequeños asumen que “protegido con contraseña” es suficiente. La Ley 111 claramente establece que ese no es el caso.

¿Está Tu Negocio Preparado para Manejar una Violación de Seguridad? Aquí Hay Algunas Cosas Que Puedes Empezar a Hacer Hoy.

  • Conoce exactamente cuáles de sus proveedores manejan información personal de residentes de PR, y redacta contratos con proveedores que les exijan notificar de inmediato — idealmente dentro de 24 horas — de cualquier violación de seguridad. No podrás cumplir con el plazo de 10 días de DACO si eres es el último en enterarte.
  • Ten un plan de notificación de violaciones de seguridad listo antes de necesitarlo — el plan debe contener modelos de notificaciones, un punto de contacto designado, y una ruta clara de escalamiento interno para que el plazo de 10 días no se gaste investigando quién está a cargo de qué.
  • Encripta y protege toda información sensitiva – la protección con contraseña no es suficiente. El cifrado será su mejor defensa para cumplir con la Ley 111 y proteger tu negocio.
  • No asumas que decir que “no hay evidencia de uso indebido” termina el asunto y evita responsabilidad — el deber de notificar se activa por el acceso no autorizado en sí, no por la existencia de prueba que concluya que los datos fueron usados indebidamente.

En Resumen

La situación de Evertec/Oriental es una lamentable ilustración de exactamente la cadena que los legisladores de Puerto Rico anticiparon en el 2005: una violación de seguridad de un proveedor que fluye hacia notificaciones bancarias, supervisión del DACO, y divulgación pública. Sea cual sea el resultado de este caso específico, la lección más amplia se mantiene para cualquier negocio que maneje información personal de residentes de Puerto Rico: esta ley aplica seas o no un banco, el reloj comienza en el momento que detectas la violación de seguridad, y “no lo sabíamos porque nuestro proveedor no nos avisó a tiempo” no es una defensa permitida por ley.

Si deseas asegurarte de que tu negocio cumpla con las leyes de privacidad y seguridad de datos de Estados Unidos y Puerto Rico — incluyendo tener un plan de notificación de violaciones de seguridad que cumpla con los plazos de la Ley 111 — puedes reservar una cita con nosotros hoy. Te ayudaremos a mapear tus datos, tus proveedores, y establecer tus obligaciones antes de que un incidente te obligue a aprenderlas de la forma más difícil.

[2026-07-13]