SB 1386, noto anche come Security Breach Law, è una legge della California che regola la notifica ai clienti di violazioni della sicurezza che rappresentano un rischio per la sicurezza delle informazioni private. La legge del 2003 è un atto legislativo fondamentale che ha modificato le leggi precedenti nel tentativo di combattere i crescenti livelli di furto di identità informatizzato. SB 1386 obbliga qualsiasi azienda che richiede o conserva informazioni private, come numeri di conto o numeri di patente di guida, a notificare ai residenti della California qualsiasi violazione della sicurezza che ponga un rischio ragionevole per i dati personali.
L’obiettivo di SB 1386 è in parte garantire che le aziende prendano adeguate precauzioni nella protezione dei dati privati. Proprio come una persona non metterebbe oggetti di valore in una cassaforte di un’azienda nota per le serrature scadenti, nemmeno una persona dovrebbe mettere importanti dati personali nelle mani di un’azienda che non adotta misure eque per garantire che non possano essere rubati e utilizzati per persona furto d’identità. I critici suggeriscono che la legge richiede ingiustamente che le vittime, ovvero le imprese, di un crimine come l’hacking annuncino pubblicamente la loro vittimizzazione. I sostenitori, d’altra parte, suggeriscono che le vere vittime sono coloro i cui dati sono stati compromessi e che la legge impedisce alle aziende di preservare la propria reputazione nascondendo violazioni della sicurezza a rischio per la sicurezza dei dipendenti o dei clienti.
Sebbene il furto di identità sia stato a lungo un elemento criminale, l’anonimato di Internet ha offerto ai ladri un’opportunità molto maggiore di utilizzare i dati personali rubati. La legge è stata creata in risposta a studi delle forze dell’ordine che hanno notato un marcato aumento dei livelli di furto di identità da quando l’uso di database computerizzati e accessibili da Internet è diventato popolare. Rendendo le aziende responsabili della sicurezza dei dati dei dipendenti o dei clienti, SB 1386 ha compiuto un grande passo avanti nel cambiamento del concetto di valore dei dati personali.
SB 1386 richiede specificamente che tre tipi di società informino rapidamente i clienti di una violazione: quelle che hanno dipendenti o clienti in California, società in outsourcing che lavorano con dipendenti o clienti in California o quelle che raccolgono e detengono informazioni informatiche sui residenti in California. La legge copre il comportamento di tutte le organizzazioni, comprese le imprese private, le scuole e gli uffici pubblici.
Una violazione richiede la segnalazione se vi è la ragionevole convinzione che le informazioni possano essere state compromesse. Le informazioni qualificabili per la segnalazione includono il nome e il cognome o l’iniziale e il cognome di qualsiasi cliente o dipendente in combinazione con dati personali quali patente di guida, tessera di previdenza sociale, numero di conto bancario, informazioni sulla carta di credito o di debito o password di sicurezza . Se si sospetta una violazione, qualsiasi persona con inserimento nel database deve essere tempestivamente informata tramite e-mail, telefonata, lettera o post ben visibile sul sito Web dell’azienda. Il mancato rispetto di SB 1386 può portare a una causa civile.