skip to Main Content

Protezione dei dati, New York rafforza gli obblighi di notifica

(Via Cyber Affairs)

Le aziende negli Stati Uniti saranno ora tenute a informare i newyorkesi il più rapidamente possibile quando le loro informazioni vengono compromesse in un incidente di sicurezza, in base a una legge che il governatore Andrew Cuomo ha firmato nei giorni scorsi.

La legge sulla protezione dei dati a misura di consumatore aggiorna le attuali norme della Grande Mela per coprire i dati biometrici e obbliga le imprese ad avvisare i consumatori quando il loro indirizzo e-mail, combinato con le password corrispondenti o domande e risposte di sicurezza, viene compromesso. A giugno, il legislatore statale aveva approvato lo Stop Hacks and Improve Electronic Data Security Act (o Shield Act).

La legge, che entrerà in vigore nel marzo 2020, riporta CyberScoop, impone alle aziende di informare le persone “nel tempo più opportuno possibile e senza ritardi irragionevoli”, un periodo di tempo che generalmente significa 30 giorni, ha dichiarato il senatore Kevin Thomas, che ha reintrodotto lo Shield Act dopo che non era riuscito a passare nel 2017.

Se l’incidente colpisce più di 500 residenti a New York, l’azienda interessata è tenuta a fornire una dichiarazione scritta al procuratore generale dello Stato. Un altro atto legislativo richiede inoltre che le agenzie di monitoraggio del credito al consumo offrano servizi di prevenzione del furto di identità ai clienti resi vulnerabili a causa di una violazione di tale società, una chiara reazione alla violazione dei dati Equifax del 2017 che ha colpito oltre 147 milioni di persone.

Lo Shield Act espande anche i requisiti di notifica a qualsiasi persona o entità in possesso di informazioni private sui residenti dello stato di New York, indipendentemente dalla loro posizione. La legge esistente a New York e in altri stati si applica in genere solo alle organizzazioni che operano all’interno dei confini statali. In tal senso, lo Shield prende in prestito alcuni aspetti dal Regolamento generale sulla protezione dei dati dell’Unione europea, il Gdpr, una legge fondamentale sulla privacy che impone alle imprese di notificare alle autorità di regolamentazione dell’Ue un incidente di sicurezza entro 72 ore, indipendentemente dal luogo in cui hanno sede.

Fonte: Cyber Affairs

Back To Top