A proposito di compliance e di governance, sullla gestione dei dati guardare cosa stanno facendo gli Stati Uniti può aiutare a capire meglio contesto ed evoluzioni.
Il punto di partenza delle riflessioni degli esperti è un disegno di legge sulle responsabilità in caso di violazione dei dati, recentemente proposto al Congresso degli Stati Uniti.
Le aziende dovrebbero giocare di anticipo rispetto a disposizioni che, pare molto presto, diventeranno una legge federale vera e propria. Quali saranno, dunque, i cambiamenti che potrebbero trovare impreparate le aziende che trattano dati sensibili? Gli osservatori danno qualche indicazione strategica, mettendo sul tavolo materia giuridica rispetto al trattamento dei dati.
Si parla di DATA, nel senso di Data Accountability and Trust Act
La Data Accountability and Trust Act (DATA), ovvero la responsabilità dei dati, in realtà è una proposta di legge che è stata pensata ben sei anni fa. Nel 2015 questa proposta di legge è tornata un auge, con iniziative del Senato e della Camera degli Stati Uniti che sono state sollecitate da più parti per approvare il disegno di legge e tramutarlo in legge federale.
Non è ancora del tutto certo che questo disegno di legge diventerà legge, ma i ben informati sono sicuri che questo avverrà molto presto, magari con modifiche e passaggi diversi che saranno valutate dal Congresso degli Stati Uniti. Detto questo, le aziende devono prepararsi ad affrontare nuovi requisiti normativi sul trattamento dei dati sensibili, e quindi questo potrebbe voler dire una nuova valutazione delle pratiche attuate fino ad oggi per la tutela della privacy di clienti e/o dipendenti.
In generale, la legge dovrebbe richiedere alle organizzazioni di proteggere le informazioni personali e informare le persone in caso di una violazione della sicurezza. Le categorie di informazioni personali prese in esame sono:
- Numeri di previdenza sociale
- Numeri di licenza
- Numeri di passaporto
- Altri numeri di identificazione unici emesso dal governo
- Dati biometrici, tra cui le impronte digitali, impronte vocali, immagini della retina e dell’iride
- Numeri di conto finanziari, compresi i numeri delle carte di credito
- Nomi utente e le password agli account on-line
- Nomi in combinazione con almeno due dei seguenti elementi: indirizzo / numero di telefono, il nome da nubile della madre e la data di nascita
La maggior parte delle aziende hanno già in atto politiche di sicurezza delle informazioni e di notifica delle violazioni dei dati a causa delle disposizioni di legge già esistenti. Se l’azienda attua già una politica del genere, questo sarebbe un buon momento per rivedere e assicurarsi di avere un inventario completo delle informazioni sensibili che vengono trattate. È anche auspicabile documentare i controlli di sicurezza sviluppati per proteggere tali informazioni, in previsione dell’arrivo di nuovi requisiti normativi. Se il Congresso degli Stati Uniti approverà una legge nazionale sulla violazione dei dati, è probabile che assegnerà la responsabilità di controllo alla Federal Trade Commission (FTC). Molto probabilmente sarà concesso a questa agenzia governativa l’autorità di promulgare norme di sicurezza e valutare multe per le aziende che non ottempereranno a tali disposizione.
La buona notizia è che i nuovi regolamenti che verranno promulgati dalla Federal Trade Commission, probabilmente, dovranno passare attraverso un lungo processo di scrittura e di valutazione delle norme federali già in vigore. Questa procedura, dovrebbe lasciare agio alle aziende di prepararsi, visto che, molto probabilmente, questi nuovi regolamenti non diventeranno esecutivi per almeno un anno.