Oltre oceano gli istituti finanziari devono da qualche giorno fare i conti con la Securities and Exchange Commission (SEC) che ha annunciato l’adozione di nuove norme a tutela delle informazioni personali non pubbliche dei consumatori.
Le modifiche alla disciplina vigente interessano gli intermediari finanziari (compresi i portali di finanziamento), le società di investimento, i consulenti per gli investimenti registrati e gli agenti di trasferimento.
Il regolamento “S-P” varato dalla SEC nel 2000 è stato così aggiornato per affrontare l’uso crescente della tecnologia e i rischi corrispondenti che negli ultimi tempi hanno creato non pochi problemi.
Gary Gensler, presidente della SEC, ha dichiarato ufficialmente che “Negli ultimi 24 anni, la natura, la portata e l’impatto delle violazioni dei dati si sono trasformati in modo sostanziale”.
Ha tenuto a precisare che “Queste modifiche al Regolamento S-P apporteranno aggiornamenti critici a una norma adottata per la prima volta nel 2000 e contribuiranno a proteggere la privacy dei dati finanziari dei clienti. L’idea di base per le aziende coperte è che, se hai una violazione, devi notificarla. Questo è positivo per gli investitori”.
Le modifiche apportate dalla Securities and Exchange Commission impongono ai destinatari delle novità lo sviluppo, l’implementazione e il costante aggiornamento di politiche e procedure scritte nel quadro della capacità di risposta agli incidenti informatici.
In termini pratici le istituzioni finanziarie devono organizzarsi per rilevare, rispondere e recuperare dall’accesso o dall’utilizzo non autorizzato delle informazioni dei clienti.
Il “programma” di risposta deve includere procedure che obblighino, con alcune limitate eccezioni, gli istituti interessati a fornire avvisi alle persone le cui informazioni sensibili sui clienti sono state o è ragionevolmente probabile che siano state consultate o utilizzate senza autorizzazione.
Le modifiche richiedono che un istituto interessato fornisca notifica non appena possibile, ma non oltre 30 giorni, dopo essere venuto a conoscenza del fatto che si è verificato o è ragionevolmente probabile che si sia verificato un incidente che comporta l’accesso o l’utilizzo non autorizzato delle informazioni del cliente.
La disciplina vigente in Europa in materia di tutela delle informazioni (il GDPR e le normative nazionali a completamento) prevedono già simili doveri, ma l’elemento innovativo statunitense è che l’avviso deve includere dettagli sull’incidente, sui dati violati e su come le persone interessate possono rispondere alla violazione per proteggersi.
Negli USA non si potrà essere “vaghi” sull’accaduto ma sarà necessario scendere nei dovuti particolari nel raccontare alle Autorità e agli interessati cosa davvero è successo…
Le modifiche d’oltreoceano entreranno in vigore 60 giorni dopo la pubblicazione nel Registro federale.
Adeguarsi non è facile e tanto meno immediato.
Per conformarsi alle modifiche le entità più grandi avranno 18 mesi dopo la data di pubblicazione nel Registro federale, mentre quelle più piccole potranno provvedere entro 24 mesi.
