Sommario:
Negli Stati Uniti esistono diverse leggi di notifica delle violazioni dei dati federali e statali, sebbene non esista una legge federale completa. Nel maggio 2011, l'amministrazione Obama ha presentato al Congresso una proposta completa sulla cibersicurezza che include un obbligo federale di notifica della violazione dei dati. Ciò potrebbe migliorare notevolmente la sicurezza informatica, ma a gennaio 2012 non era stata approvata alcuna legge federale sulla notifica delle violazioni dei dati. Qui diamo uno sguardo alla sicurezza dei dati e alla legislazione che viene istituita per affrontare le violazioni. (Per la lettura di base, consultare I principi di base della sicurezza IT.)
Fare un caso federale
A livello federale degli Stati Uniti, esistono leggi e linee guida che richiedono la notifica di violazione per specifici tipi di dati: la legge sulla portabilità e la responsabilità dell'assicurazione sanitaria (HIPAA) e la legge sulla tecnologia dell'informazione sanitaria per la salute economica e clinica (HITECH) per le informazioni sull'assistenza sanitaria, il Gramm-Leach-Bliley Act per le informazioni finanziarie e le linee guida dell'Office of Management and Budget (OMB) per le informazioni personali detenute dalle agenzie federali.
Secondo la legge HITECH, i fornitori di servizi sanitari coperti dall'HIPAA devono informare i pazienti "tempestivamente" quando le loro informazioni sanitarie sono state violate. Il Dipartimento della sanità e dei servizi umani (HHS) e i media devono essere informati nei casi in cui le violazioni colpiscono più di 500 persone. I fornitori di informazioni sanitarie personali hanno requisiti di notifica delle violazioni simili, ma devono informare la Federal Trade Commission, piuttosto che HHS.
Secondo le linee guida emesse dalle autorità di regolamentazione bancarie federali ai sensi del Gramm-Leach-Bliley Act, quando una banca o un altro istituto finanziario viene a conoscenza di una violazione dei dati, dovrebbe condurre un'indagine per determinare la probabilità che le informazioni siano state o saranno utilizzate in modo improprio. Se la banca determina che si è verificato un uso improprio o è ragionevolmente possibile, dovrebbe informare i clienti interessati il più presto possibile.
L'avviso del cliente può essere ritardato se le forze dell'ordine stabiliscono che la notifica interferirà con un'indagine penale e fornirà alla banca una richiesta scritta per il ritardo. La banca dovrebbe informare i propri clienti non appena la notifica non interferirà più con l'indagine. Tuttavia, la notifica non può essere ritardata a causa di imbarazzo o inconveniente per la banca.
Secondo la guida OMB, le agenzie federali sono tenute a segnalare tutte le violazioni dei dati che coinvolgono informazioni di identificazione personale entro un'ora dalla scoperta / rilevazione. Tuttavia, le agenzie hanno la facoltà di segnalare violazioni dei dati al di fuori dell'agenzia. Possono ritardare la notifica per le forze dell'ordine, la sicurezza nazionale o le esigenze delle agenzie.
sognando la California
A livello statale, esiste un mosaico di 46 leggi statali (e del Distretto di Columbia) sulla notifica della violazione dei dati. La California ha promulgato la prima legge di notifica della violazione dei dati nel 2002 ed è stata utilizzata come modello per molte altre leggi statali.
Secondo la legge della California, le aziende devono divulgare una violazione dei dati ai clienti "il più presto possibile, senza ritardi irragionevoli" per iscritto. Se la persona notificante o l'azienda in grado di dimostrare che la notifica costerebbe più di $ 250.000 o interesserebbe più di 500.000 persone, allora potrebbe essere utilizzato un avviso sostitutivo sotto forma di pubblicazione di un sito Web e notifica ai principali media statali. Lo statuto esonera dalla notifica qualsiasi violazione dei dati in cui le informazioni personali sono state crittografate.
Tuttavia, la California, a differenza di molti altri stati, non include sanzioni per la mancata comunicazione tempestiva ai consumatori di una violazione dei dati. La Conferenza nazionale delle legislazioni statali mantiene un elenco delle leggi di notifica delle violazioni dei dati statali e collegamenti a tali leggi.
Europa o busto
In Europa, l'Unione Europea ha approvato un obbligo di notifica di violazione dei dati in una modifica del 2009 della sua Direttiva sulla privacy elettronica. Gli stati membri dell'Unione Europea dovevano implementare la modifica nel diritto nazionale fino al 25 maggio 2011.
L'emendamento impone ai "fornitori di servizi di comunicazione elettronica accessibili al pubblico" di notificare alle autorità nazionali una violazione delle informazioni personali che potrebbe comportare una perdita economica sostanziale e un danno sociale per i clienti "non appena" vengono a conoscenza della violazione. Inoltre, i clienti interessati devono essere informati della violazione "senza indugio". La notifica dovrebbe includere informazioni sulle misure adottate dalla società, nonché le azioni raccomandate per i clienti interessati.
Nel 2012 sono attese modifiche alla direttiva sulla protezione dei dati dell'UE, incluso l'obbligo per tutte le società, non solo i fornitori di servizi di comunicazione elettronica, di avvisare le autorità nazionali e i clienti interessati entro 24 ore dalla violazione delle informazioni personali.
La legge sulla protezione dei dati del Regno Unito, che precede la direttiva sulla privacy elettronica dell'UE, prevede una serie completa di requisiti per la protezione dei dati delle aziende, sebbene non contenga un obbligo di notifica della violazione dei dati.
L'Ufficio dell'Information Commissioner's Office (ICO) del Regno Unito, che è incaricato di attuare la legge, ha affermato che le aziende dovrebbero segnalare all'ICO gravi violazioni dei dati, definite come violazioni che potrebbero causare potenziali danni alle persone. L'agenzia ha affermato che si aspetterebbe che le società del Regno Unito lo notifichino in merito a violazioni di informazioni personali non crittografate su 1.000 o più persone. L'ICO ha affermato che non è sua responsabilità informare i consumatori interessati, ma può raccomandare all'azienda di rendere pubblica la violazione "laddove è chiaramente nell'interesse delle persone interessate o vi è una forte argomentazione di interesse pubblico a farlo".
Violazioni dei dati e rapporti
In risposta a violazioni dei dati altamente pubblicizzate e pressioni pubbliche, i legislatori e i regolatori americani ed europei stanno prendendo in considerazione i requisiti che tutte le società segnalano violazioni dei dati alle autorità nazionali e ai consumatori interessati. Tuttavia, a partire da gennaio 2012, nessuno di questi sforzi ha portato a leggi e regolamenti esaustivi sulla notifica della violazione dei dati negli Stati Uniti o nell'Unione europea.
