domenica 22 maggio 2011

Data Breach Notification: la proposta americana

Qualche giorno fa l'amministrazione Obama ha proposto una regolamentazione delle iniziative che devono essere messe in campo dagli enti (privati e non) che subiscono un "Data breach", ossia un incidente di sicurezza che ha comportato la perdita o il furto di dati personali. Questa proposta ha suscitato alcune perplessità e, in generale, non é stata vista con favore da alcuni analisti.

Le maggiori critiche che sono state rivolte a questa proposta sono legate a una generale vaghezza che non aiuta a contestualizzare i termini e le prescrizioni ed ad alcuni punti poco convincenti tra cui:

- il tetto massimo ai risarcimenti é stato fissato nella modesta cifra di 1 milione di dollari (assolutamente ridolo per alcuni "Data Breach" che, come nel caso di Epsilon, possono contare milioni di dati rubati)
- gli indirizzi email non sono direttamente inclusi tra i dati tutelati da questa norma (ed anche in questo caso il data breach di Epsilon sarebbe escluso dall'applicazione di questa norma)
- i tempi previsti per la notificazione del Data Breach alla Federal Trade Commission e agli utenti sono fissati in 60 giorni che possono diventare 90 su richiesta dell'ente che ha subito il Data Breach (tempi decisamente lunghi che possono in alcuni casi rendere totalmente inutile la notifica agli interessati. L'Europa, ad esempio, sta pensando di attestarsi su un termine misurabile in alcuni giorni)
- l'utilizzo della cifratura sui dati rubati rende nullo il rischio e quindi implica la non applicabilità delle norme di garanzia (certamente è una posizione un po' forte che rende molto modesto l'impatto di questa proposta soprattutto in assenza di una norma molto chiara).

Questa situazione mi fa scattare alcune riflessioni legate al nostro paese.

Germania, Spagna, Inghilterra e Irlanda hanno già una legislazione che impone la notifica di eventi di Data Breach, l'Unione Europea ha già disposto che un norma di questa genere sia quanto prima introdotta nell'ambito della revisione della legislazione sulla privacy, ENISA a gennaio di quest'anno ha prodotto un bel report su questo argomento. 

Insomma ci sono le condizioni ideali per avviare una riflessione seria sul da farsi. 

Il Garante italiano è, da sempre, un soggetto molto attivo che ha proposto diverse norme a tutela dei dati personali, su questo argomento dovrebbe fare un'azione molto forte perché anche nel nostro paese venga approvata una norma di questo tipo. Possibilmente migliore di quella americana ed in linea con le prescrizioni europee. 

Ce ne sarebbero davvero tutte le ragioni, e poi, con il cloud che avanza, questo tipo di norme sono uno dei necessari complementi per la effettiva fruizione dei servizi di trattamento di personali con relativa fiducia.

In conclusione, la norma americana sicuramente presenta delle lacune ed è migliorabile sotto molti aspetti ma dal nostro punto di vista è sicuramente una fonte di ispirazione che dovrebbe essere colta.

Nessun commento:

Posta un commento

http://www.wikio.it