Il Gramm-Leach-Bliley Act(GLBA) è una legge federale statunitense che ha modernizzato i requisiti di conformità per i servizi finanziari.
Il documento delinea gli obblighi e le pratiche di condivisione delle informazioni relative ai dati personali dei clienti di prodotti finanziari, come prestiti, assicurazioni e consulenti finanziari.
In questo articolo spiego i requisiti del GLBA, il suo impatto sulle aziende e sui consumatori e le sanzioni previste in caso di violazione della legge.
- Che cos'è la legge Gramm-Leach-Bliley (GLBA)?
- Termini chiave e definizioni del GLBA
- Cosa prevede la legge Gramm-Leach-Bliley?
- Requisiti della legge Gramm-Leach-Bliley
- Qual è l'impatto del GLBA sui consumatori?
- Qual è l'impatto del GLBA sulle imprese?
- Chi deve rispettare il GLBA?
- Chi è esente dal GLBA?
- Come possono le aziende prepararsi al GLBA?
- Come viene applicato il GLBA?
- Multe e sanzioni ai sensi del Gramm-Leach-Bliley Act
- Altre leggi sulla privacy negli Stati Uniti
- In che modo Termly contribuisce alla conformità GLBA?
Che cos'è la legge Gramm-Leach-Bliley (GLBA)?
Il Gramm-Leach-Bliley Act, o GLBA, è una legge federale degli Stati Uniti che regolamenta le modalità di raccolta, elaborazione e salvaguardia delle informazioni personali dei clienti da parte dei servizi finanziari.
Il GLBA si applica ai seguenti tipi di entità:
- Consulenti finanziari
- Compagnie di assicurazione
- Società di consulenza sugli investimenti
- Prestiti di servizio
- Altri prodotti finanziari
In base al Titolo V, Sottotitolo A della Legge, le organizzazioni devono informare i clienti delle loro pratiche di trattamento dei dati attraverso un'informativa sulla privacy.
Devono inoltre fornire un meccanismo che consenta ai consumatori di rinunciare alla condivisione o alla divulgazione dei loro dati personali a terzi in determinate situazioni.
Quando è entrato in vigore il GLBA?
Il Gramm-Leach-Bliley Act è in vigore dal 1999.
Tuttavia, nel dicembre 2011, il Consumer Financial Protection Bureau(CFPB) ha emanato la Regulation P(12 CFR Part 1016), che ricodifica alcuni regolamenti precedenti emanati da altri organismi.
La Regulation P delinea i requisiti relativi ai problemi di privacy per i consumatori ai sensi del GLBA e il suo campo di applicazione comprende la maggior parte delle società che svolgono attività finanziarie (le cosiddette istituzioni finanziarie).
Si applica anche alle società che non svolgono attività finanziarie ma che ricevono informazioni personali dagli istituti finanziari.
Termini chiave e definizioni del GLBA
Per aiutarvi a rispettare il GLBA, ho incluso alcuni dei termini chiave e le loro definizioni così come appaiono nella legge:
Cosa prevede la legge Gramm-Leach-Bliley?
Il GLBA si applica alle imprese che svolgono attività finanziarie in misura significativa, secondo la definizione del §4(k) del Bank Holding Company Act del 1956, che la legge definisce istituzioni finanziarie.
Le attività di natura finanziaria includono generalmente, ma non solo, le seguenti:
- Prestare, scambiare, trasferire, investire per conto di terzi o custodire denaro o titoli. Queste attività riguardano i servizi offerti da prestatori, incassatori di assegni, servizi di bonifico e venditori di vaglia postali
- Fornire servizi di consulenza finanziaria, di investimento o economica. Queste attività comprendono i servizi offerti da consulenti di credito, pianificatori finanziari, preparatori fiscali, contabili e consulenti di investimento.
- Intermediazione di prestiti
- sottoscrivere, negoziare o fare mercato di titoli
- Assistenza ai prestiti
- Recupero crediti
- Fornitura di servizi di liquidazione immobiliare
- Consulenza alla carriera (di persone in cerca di occupazione nel settore dei servizi finanziari)
È da notare che anche la Regulation P, la normativa emanata dalla CFPB, rientra nell'ambito di questa definizione:
Terze parti che non sono istituti finanziari ma che ricevono informazioni personali non pubbliche da istituti finanziari con cui non sono affiliati.
Se la vostra azienda è impegnata in tali attività, dovreste avere un'informativa sulla privacy conforme ai requisiti descritti di seguito.
Requisiti della legge Gramm-Leach-Bliley
Il GLBA delinea diversi requisiti che i servizi finanziari devono rispettare e che verranno illustrati in dettaglio nella sezione seguente.
Regole sulla privacy
Il GLBA delinea una regola di notifica della privacy che tutte le istituzioni finanziarie coperte devono seguire.
Dovete informare i consumatori su:
- Quali dati vengono raccolti da loro
- Come viene condiviso
- Come è protetto
Inoltre, i clienti hanno il diritto di rinunciare alla condivisione di alcuni dei loro dati con determinate terze parti non affiliate e devono ricevere nuovamente l'avviso non appena questo cambia.
Più avanti, in questa guida, includerò dettagli più specifici su questi requisiti e su ciò che vi è esplicitamente contenuto.
Salvaguardia dei dati
I servizi finanziari ai sensi del GLBA devono disporre di un piano di sicurezza scritto con l'obiettivo di proteggere le informazioni personali dei clienti.
Il piano deve essere appropriato e considerare quanto segue:
- Le dimensioni dell'azienda
- l'ambito e la natura delle sue attività
- La sensibilità delle informazioni raccolte
Le entità devono eseguire regolarmente test e valutazioni del rischio per monitorare l'integrità dei controlli di sicurezza e garantire la sicurezza continua dei dati dei clienti.
Protezioni per i pretestuosi
Oltre a dotarsi di un piano di sicurezza, il GLBA richiede agli istituti di adottare misure di protezione contro l'accesso o la divulgazione non autorizzati dei dati, il cosiddetto pretexting.
La natura e il livello di protezione richiesti variano in base alle dimensioni e alla complessità del servizio finanziario.
Modelli di moduli per la privacy
Nel 2006, il Financial Services Regulatory Relief Act ha modificato il GLBA per consentire alle aziende di affidarsi ai Model Privacy Forms per soddisfare i requisiti di notifica e opt-out del GLBA.
Sebbene l'uso dei modelli di moduli per la privacy non sia un obbligo, la visualizzazione dei moduli sul sito web di un'azienda costituisce una conformità con le disposizioni in materia di avviso e di opt-out previste dalla legge.
Sono disponibili due tipi di moduli, che vi illustrerò brevemente:
- Avviso con metodo di opt-out
- Avviso senza metodo di opt-out
Avviso con metodo di opt-out
Ai sensi del GLBA, un avviso con un modulo di opt-out fornisce al cliente informazioni su come l'istituto finanziario tratta le sue informazioni non pubbliche.
Il modulo soddisfa i requisiti di informativa sulla privacy di cui alla Regulation P §1016.6 e i requisiti di opt-out di cui alla §1016.7.
Un esempio di questo modulo è riportato nella schermata seguente, tratta dal CFPB - Regulation P Appendices.
I moduli di opt-out danno al cliente il diritto di rinunciare alla divulgazione delle proprie informazioni per telefono o online.
Un istituto che consenta ai consumatori di rinunciare alla condivisione online deve fornire una pagina specifica di rinuncia sul proprio sito web e le scelte di rinuncia devono corrispondere alle risposte "Sì" nella colonna "Puoi limitare questa condivisione?" della tabella informativa.
Si noti che esiste un'altra versione di questo modulo, nota come Mail-In Opt-Out.
Avviso senza metodo di opt-out
Analogamente ai moduli di opt-out, è possibile utilizzare un avviso senza metodo di opt-out per soddisfare i requisiti di informativa sulla privacy del Regolamento P §1016.6.
Di seguito è riportata una schermata di questo modulo tratta dal CFPB - Regulation P Appendices.
Le eccezioni ai requisiti di opt-out sono descritte nei paragrafi da §1016.13 a §1016.15 della Regulation P, dove un'organizzazione non è tenuta a fornire un avviso e un metodo di opt-out.
Lo spiego in dettaglio più avanti in questa guida, ma queste eccezioni sono:
- Quando si comunica l'NPI a una terza parte non affiliata per l'esecuzione di servizi per l'istituto finanziario o per suo conto, compreso il marketing congiunto.
- Durante l'elaborazione e il servizio delle transazioni, in particolare l'elaborazione delle transazioni su richiesta del consumatore e laddove necessario per effettuare, amministrare o far rispettare una transazione.
- Quando si divulga l'NPI per le comunicazioni specifiche che gli istituti finanziari fanno normalmente, come la prevenzione di frodi effettive o potenziali o la conformità agli obblighi normativi.
Qual è l'impatto del GLBA sui consumatori?
Il Gramm-Leach-Bliley Act ha un impatto sui consumatori fornendo loro maggiore sicurezza, controllo e riservatezza sui loro dati finanziari personali.
I consumatori hanno il diritto di sapere quali dati vengono raccolti su di loro, quando i loro dati vengono condivisi con altre entità e di rinunciare a tale condivisione in determinate situazioni.
Inoltre, poiché richiede ai servizi finanziari di salvaguardare le informazioni, i consumatori possono confidare che gli istituti finanziari proteggano adeguatamente i loro dati.
A chi si applica il GLBA?
Il GLBA si applica a tutte le istituzioni finanziarie, alle entità collegate e agli individui che lavorano nel settore negli Stati Uniti.
Protegge le informazioni personali dei clienti di queste entità.
Anche le imprese situate al di fuori degli Stati Uniti che offrono servizi finanziari ai consumatori del Paese sono tenute a rispettare la legge.
Qual è l'impatto del GLBA sulle imprese?
Oltre ai requisiti di sicurezza e protezione dei dati, il GLBA ha un forte impatto sulle politiche di privacy delle aziende.
In che modo il GLBA influisce sulla mia politica sulla privacy?
Gli istituti finanziari devono soddisfare gli specifici requisiti di notifica previsti dalla sezione 502 della legge, che ha un impatto su alcune parti della vostra politica sulla privacy.
Come stabilito dal Regolamento P, un avviso sulla privacy deve includere i seguenti dettagli:
Chi deve rispettare il GLBA?
Qualsiasi istituto finanziario negli Stati Uniti deve rispettare il Gramm-Leach-Bliley Act, tra cui:
- Consulenza finanziaria o sugli investimenti
- Assicurazione
- Prodotti finanziari
- Prestiti di servizio
- Operatori ATM
- Recupero crediti
- Società di noleggio auto
Anche le organizzazioni al di fuori degli Stati Uniti che offrono servizi finanziari a persone fisiche nel Paese sono soggette alla legge.
Chi è esente dal GLBA?
Le transazioni business-to-business effettuate da entità non considerate servizi finanziari non rientrano tipicamente nell'ambito di applicazione del GLBA.
Inoltre, esistono alcune esenzioni ai requisiti di notifica della privacy menzionati in precedenza in questo articolo, che tratterò in dettaglio nelle sezioni seguenti.
Eccezione all'obbligo di comunicazione iniziale sulla privacy
Il GLBA prevede alcune eccezioni all'obbligo di notifica iniziale della privacy.
Siete esenti se non divulgate alcuna informazione personale non pubblica sul consumatore a terzi non affiliati.
In alternativa, come autorizzato dai §1016.14 e §1016.15, siete esenti se divulgate i dati, ma con l'eccezione che si tratta di transazioni:
- Su richiesta del consumatore
- Necessari per effettuare, amministrare o far rispettare una transazione
- Per ricevere un servizio da una terza parte non affiliata, compreso il marketing congiunto
Siete esenti anche se non avete un rapporto di clientela con il consumatore.
Eccezioni per consentire la consegna ritardata dell'avviso
Alcune eccezioni al GLBA consentono di ritardare la consegna dell'informativa sulla privacy ai clienti.
Ad esempio, è possibile fornire l'avviso iniziale sulla privacy entro un periodo di tempo ragionevole dopo l'instaurazione di un rapporto con il cliente, se l'instaurazione del rapporto con il cliente non è avvenuta su sua scelta.
In alternativa, è possibile fornire un avviso quando si instaura un rapporto con il cliente che ritarderebbe in modo sostanziale la transazione del cliente, e il cliente accetta di ricevere l'avviso in un momento successivo.
Eccezione all'obbligo di comunicazione annuale sulla privacy
Infine, ai sensi del GLBA, non siete tenuti a fornire un avviso annuale sulla privacy per due motivi principali.
In primo luogo, l'utente fornisce informazioni personali non pubbliche a terzi non affiliati in base alle disposizioni di cui al §1016.13, §1016.14 o §1016.15.
Come promemoria, queste disposizioni si riferiscono alle transizioni di trattamento:
- Su richiesta del consumatore
- Necessari per effettuare, amministrare o far rispettare una transazione
- Per ricevere un servizio da una terza parte non affiliata, compreso il marketing congiunto
In secondo luogo, non è necessario inviare un avviso annuale se non si sono modificate le politiche e le pratiche di divulgazione di informazioni personali non pubbliche rispetto a quelle precedentemente comunicate al cliente nell'ambito dell'avviso sulla privacy più recente.
Come possono le aziende prepararsi al GLBA?
Per preparare la vostra azienda alla conformità GLBA, adottate le seguenti misure:
- Primo passo: Esaminare la legge per capire in che modo la sua portata influisce sul vostro servizio finanziario.
- Secondo passo: Verificare quale ente normativo applica le disposizioni GLBA per la vostra azienda.
- Terzo passo: Aggiornare l'informativa sulla privacy per soddisfare tutti i requisiti di notifica.
- Quarto passo: Fornire ai clienti un metodo per rinunciare a determinati trattamenti dei dati.
- Quinto passo: Implementare metodi di sicurezza per proteggere le informazioni personali raccolte.
Come viene applicato il GLBA?
La Sezione 504 del Titolo V ha conferito l'autorità normativa a diverse agenzie federali di regolamentazione finanziaria per l'applicazione del GLBA.
Ogni ente normativo emette i propri regolamenti per far rispettare le disposizioni del GLBA, che comprendono:
- Consiglio dei Governatori del Sistema della Riserva Federale (FRS)
- Amministrazione nazionale delle cooperative di credito (NCUA)
- Ufficio del Controllore della valuta (OCC)
- Ufficio di vigilanza sui fondi pensione (OTS)
- Società federale di assicurazione dei depositi (FDIC)
- Commissione federale del commercio (FTC)
Nel 2011, tuttavia, il Dodd-Frank Act ha trasferito l'autorità di regolamentazione delle disposizioni sulla privacy (Titolo V del GLBA) al CFPB per armonizzare questo complesso sistema.
Rimangono alcune eccezioni, come la FTC, che mantiene l'autorità su specifici concessionari di autoveicoli.
Poiché diversi enti normativi emanano norme su diversi gruppi di istituti finanziari, è fondamentale confermare quale sia l'ente normativo a cui ci si deve attenere prima di consultare le norme pertinenti.
Ecco un elenco completo dell'ambito di applicazione di ciascuna autorità di regolamentazione e delle norme emanate per l'attuazione dei requisiti di notifica e opt-out del GLBA.
| Regolatore | Citazione del codice | Ambito di applicazione |
| Riserva Federale | 12 C.F.R. §216.1 | Banche statali, società di partecipazione bancaria e alcune loro filiali o affiliate non bancarie, filiali e agenzie non assicurate di banche estere, società di credito commerciale possedute o controllate da banche estere e società Edge and Agreement. |
| Società federale di assicurazione dei depositi (FDIC) | 12 C.F.R. §332 | Banche assicurate dalla FDIC (diverse dai membri del Federal Reserve System), filiali statali assicurate di banche estere e alcune filiali di tali entità. |
| Ufficio di vigilanza sui fondi pensione (OTS) | 12 C.F.R. §573 | Associazioni di risparmio i cui depositi sono assicurati dalla Federal Deposit Insurance Corporation e tutte le controllate di tali associazioni di risparmio, ma non le controllate che sono broker, dealer, persone che forniscono assicurazioni, società di investimento o consulenti di investimento. |
| Ufficio del Controllore della valuta (OCC) | 12 C.F.R. §40 | Banche nazionali, filiali federali e agenzie federali di banche estere, e qualsiasi filiale di tali entità, ad eccezione di un broker o dealer registrato ai sensi del Securities Exchange Act del 1934, di un consulente d'investimento registrato, di una società d'investimento registrata ai sensi dell'Investment Company Act del 1940, di una compagnia assicurativa soggetta alla supervisione di un'autorità statale di regolamentazione delle assicurazioni e di un'entità soggetta alla regolamentazione della Commodity Futures Trading Commission. |
| Commissione federale del commercio (FTC) | 16 C.F.R. §313 | Le persone descritte in 12 U.S.C. 5519 che si occupano prevalentemente di vendita e assistenza di veicoli a motore, di leasing e assistenza di veicoli a motore o di entrambi. |
| Commissione per i Titoli e gli Scambi (SEC) | 17 C.F.R. §248 | Broker, intermediari e società di investimento, nonché consulenti di investimento registrati presso la Commissione. Si applica anche a broker, dealer, società di investimento e consulenti di investimento stranieri registrati presso la Commissione. |
| Commissione per la negoziazione dei futures sulle materie prime (CFTC) | 17 C.F.R. §160 | Tutti i commercianti di futures, i commercianti al dettaglio di valuta estera, i consulenti per la negoziazione di materie prime, gli operatori di pool di materie prime, i broker introduttivi, i principali partecipanti agli swap e i commercianti di swap soggetti alla giurisdizione della Commissione, indipendentemente dal fatto che siano tenuti a registrarsi presso la Commissione. |
| Ufficio di protezione finanziaria dei consumatori (CFPB) |
12 C.F.R. §1016
(Regolamento P) |
Qualsiasi istituto finanziario e altra persona coperta o fornitore di servizi soggetta alla Sottotitolo A del Titolo V del GLBA, comprese le terze parti che non sono istituti finanziari ma ricevono informazioni personali non pubbliche da istituti finanziari con cui non sono affiliati. Questa parte non si applica a determinati concessionari di autoveicoli descritti nel 12 U.S.C. 5519 o a entità per le quali la Securities and Exchange Commission o la Commodity Futures Trading Commission hanno autorità di regolamentazione ai sensi delle sezioni 504(a)(1)(A)-(B) del GLB Act (15 U.S.C. 6804(a)(1)(A)-(B[/piccolo]. |
Multe e sanzioni ai sensi del Gramm-Leach-Bliley Act
Le multe previste dal GLBA sono significative e possono colpire singoli individui o intere organizzazioni.
Le organizzazioni che violano la legge possono essere multate fino a 100.000 dollari per violazione, mentre i funzionari o i direttori possono ricevere multe fino a 10.000 dollari per violazione.
Altre leggi sulla privacy negli Stati Uniti
Sebbene negli Stati Uniti non esista attualmente una legge federale sulla privacy, a livello statale sono in vigore i seguenti atti legislativi:
- Legge sulla privacy dei consumatori della California(CCPA)
- Legge sulla privacy del Colorado(CPA)
- Legge sulla privacy dei dati del Connecticut(CTDPA)
- Legge sulla privacy dei dati personali del Delaware(DPDPA)
- Carta dei diritti digitali della Florida(FDBR)
- Legge sulla protezione dei dati dei consumatori dell'Iowa(Iowa CDPA)
- Legge sulla privacy dei dati dei consumatori del Montana(MCDPA)
- Legge sulla privacy dei consumatori dell'Oregon(OCPA)
- Legge sulla protezione delle informazioni del Tennessee(TIPA)
- Legge sulla privacy e la sicurezza dei dati del Texas(TDPSA)
- Legge sulla privacy dei consumatori dello Utah(UCPA)
- Legge sulla protezione dei dati dei consumatori della Virginia(VCDPA)
Per ulteriori informazioni sulle leggi e le proposte di legge sulla privacy negli Stati Uniti, consultate il nostro tracker delle leggi sulla privacy degli Stati Uniti.
Il GLBA e le leggi sulla privacy degli Stati Uniti
Essendo una legge federale, il GLBA può entrare in conflitto con altre leggi statali statunitensi che cercano di regolamentare le stesse organizzazioni o informazioni personali.
La sezione 507 del GLBA si occupa specificamente di questo caso e stabilisce che il GLBA prevarrà sulle leggi statali se queste sono in contrasto con i requisiti del GLBA.
Una legge statale non è considerata incoerente se fornisce a una persona una protezione "maggiore di quella fornita" dalla Legge.
Ad esempio, il GLBA non prevale sul CCPA, in quanto impone alle aziende requisiti di privacy aggiuntivi rispetto alla protezione fornita dalla legge.
Analogamente, il GLBA consente agli Stati di esentare gli enti regolamentati dal GLBA dall'osservanza delle leggi statali sulla privacy.
Ad esempio, le leggi sulla privacy approvate in Virginia, Colorado, Utah e Connecticut esentano espressamente dalla conformità le entità regolamentate dal GLBA.
In che modo Termly contribuisce alla conformità GLBA?
Gli aggiornamenti richiedono tempo, ma Termly sta lavorando per aggiornare il nostro generatore di informativa sulla privacy e consentire agli utenti di soddisfare i requisiti di notifica della privacy delineati dal GLBA.
Una volta attivo, il sistema porrà semplici domande sulla vostra azienda e sulle sue attività di trattamento dei dati, per poi creare una politica unica basata sulle vostre risposte.
Potrete quindi collegarlo direttamente al vostro sito web o alla vostra app mobile e aggiornarlo secondo le necessità nella vostra dashboard Termly .
Tornate a trovarci presto per sapere quando l'aggiornamento del generatore di informativa sulla privacy sarà attivo!
Se rientrate nell'ambito di applicazione del Gramm-Leach-Bliley Act, è essenziale presentare ai vostri clienti una politica sulla privacy conforme e controlli appropriati per quanto riguarda la rinuncia alla condivisione dei loro dati personali.
È inoltre necessario sviluppare e implementare un piano scritto per mantenere i dati raccolti al sicuro da accessi non autorizzati o violazioni dei dati.
