In che modo la legge SHIELD di New York influisce sulla privacy dei nostri dati privati?
In qualche modo comprensibilmente, l'attuale pandemia di coronavirus significa che al momento non molte persone pensano alla sicurezza dei dati. Tuttavia, il virus verrà presto sconfitto (si spera) e dovremo tornare alle nostre vite normali. Ecco perché, nonostante il blocco, il 21 marzo è entrato ufficialmente in vigore lo SHIELD Act di New York. Vediamo come potrebbe avere un impatto sul mondo della sicurezza informatica.
Table of Contents
Cos'è lo SHIELD Act?
SHIELD è l'acronimo di Stop Hacks e Improve ELectronic Data security ed è stato firmato a luglio 2019. È stato accettato dallo Stato di New York, ma è importante notare che interessa tutte le organizzazioni che elaborano le informazioni personali dei newyorkesi. Soprannominata come estensione della vigente legge sulla notifica della violazione dei dati, alcune delle sue disposizioni sono state in vigore negli ultimi mesi, ma non è stato fino a fine marzo che le ultime sono state ufficializzate.
L'obiettivo è garantire che le aziende facciano di più per proteggere i dati personali dei consumatori e bisogna dire che non è il primo atto di questo tipo. Il GDPR dell'Unione Europea (o Regolamento generale sulla protezione dei dati) è stato implementato a maggio 2018 e un mese dopo, la California ha firmato il proprio California Consumer Privacy Act (CCPA). Esperti legali affermano che i cambiamenti introdotti da SHIELD sono simili a quelli dell'UE e dello Stato d'oro.
In che modo l'atto SHIELD cambierà il modo in cui le aziende gestiscono i nostri dati?
Secondo il blog legale e sulla privacy AdLawAccess.com, puoi separare le disposizioni di SHIELD in tre categorie.
Le aziende dovrebbero innanzitutto pensare a implementare iniziative amministrative che includano la designazione di uno o più dipendenti che saranno responsabili del programma di sicurezza dell'azienda, l'organizzazione di sessioni di formazione in modo che il personale sia meglio preparato per elaborare i dati in modo sicuro, al passo con le attuali tendenze della cibersicurezza, e valutare i rischi che rappresentano.
Da un punto di vista tecnico, le aziende devono valutare e cercare di mitigare i rischi associati alla propria infrastruttura di rete e ai prodotti software che utilizzano. Si consiglia inoltre di pensare alla progettazione dei loro meccanismi di elaborazione dei dati e al piano di risposta agli incidenti nel caso in cui si verifichi il peggio.
Ultimo ma non meno importante, le organizzazioni devono implementare alcune garanzie fisiche, che includono meccanismi che rilevano e impediscono l'accesso non autorizzato e garantiscono lo smaltimento sicuro dei dati privati.
Il nuovo atto apporta anche alcune modifiche ai requisiti per le aziende che hanno subito incidenti di cibersicurezza e amplia alcune definizioni consolidate dalle leggi vigenti. La legge impone che l'entità dei cambiamenti che le organizzazioni devono prendere dipende dalla dimensione della loro attività.
SHIELD funzionerà davvero?
È probabile che le imprese prendano atto della nuova legge. New York è un'importante area economica e ci saranno poche organizzazioni che vorrebbero smettere di fare affari al suo interno. Alcuni troveranno inevitabilmente impossibile rispettare le nuove regole e probabilmente decideranno di ritirarsi dallo stato, ma la maggior parte cercherà di migliorare le proprie difese e implementare migliori pratiche di sicurezza non solo per i loro utenti con sede a New York, ma per tutti. Sicuramente, questa deve essere una buona notizia. Risolverà tutti i nostri problemi, però?
Ci sono persone che mettono in dubbio la validità di leggi come GDPR, CCPA e SHIELD e non hanno completamente ragione. I nuovi atti hanno consentito agli utenti un accesso più facile alle informazioni su come vengono gestiti i loro dati e hanno anche costretto le aziende a rafforzare i propri meccanismi di protezione. Coloro che hanno fallito hanno dovuto affrontare multe piuttosto pesanti.
Sfortunatamente, nulla di tutto ciò ha fermato il flusso infinito di violazioni e perdite di dati. In realtà, le aziende continuano a fare errori sciocchi e i risultati a volte sono piuttosto devastanti. Quindi, no, SHIELD non è una panacea. Speriamo che le aziende sviluppino strategie di sicurezza più solide, ma non le renderanno immuni da incidenti di sicurezza informatica. Anche le aziende dovrebbero rendersene conto e dovrebbero vedere quali misure aggiuntive possono adottare per proteggere i propri utenti. Prima lo fanno, meglio è.
