SB 1386, cunoscută și sub numele de Legea privind încălcarea securității, este o lege din California care reglementează notificarea clienților cu privire la încălcările de securitate care prezintă un risc pentru securitatea informațiilor private. Legea din 2003 este o piesă de referință a legislației care a modificat legile anterioare în încercarea de a combate nivelurile tot mai mari de furt computerizat de identitate. SB 1386 face ca orice companie care solicită sau menține informații private, cum ar fi numere de cont sau numere de permis de conducere, să fie obligată din punct de vedere legal să notifice rezidenții din California cu privire la orice încălcare a securității care prezintă un risc rezonabil pentru datele personale.
Scopul SB 1386 este parțial de a se asigura că companiile iau măsuri de precauție adecvate în protejarea datelor private. Așa cum o persoană nu ar pune obiecte de valoare într-un seif de la o companie cunoscută pentru încuietori slabe, nici o persoană nu ar trebui să pună date personale importante în mâinile unei companii care nu ia măsuri corecte pentru a se asigura că nu pot fi furate și utilizate pentru persoana furtului de identitate. Criticii sugerează că legea cere în mod nedrept ca victimele, adică companiile, ale unei infracțiuni precum hacking-ul să-și anunțe public victimizarea. Susținătorii, pe de altă parte, sugerează că adevăratele victime sunt acelea ale căror date au fost compromise și că legea împiedică companiile să-și păstreze reputația prin ascunderea breșelor de securitate cu risc pentru siguranța angajaților sau clienților.
Deși furtul de identitate a fost mult timp un element criminal, anonimatul internetului le-a oferit hoților o oportunitate mult mai mare de a utiliza datele personale furate. Legea a fost creată ca răspuns la studiile de aplicare a legii care au observat o creștere semnificativă a nivelurilor de furt de identitate de când a devenit populară utilizarea bazelor de date computerizate, accesibile pe internet. Făcând companiile responsabile pentru siguranța datelor angajaților sau clienților, SB 1386 a făcut un pas mare spre schimbarea conceptului de valoare a datelor personale.
SB 1386 cere în mod specific ca trei tipuri de companii să informeze rapid clienții cu privire la o încălcare: cele care au angajați sau clienți în California, companii externalizate care lucrează cu angajați sau clienți din California sau cele care adună și dețin informații computerizate despre rezidenții din California. Legea acoperă comportamentul tuturor organizațiilor, inclusiv al întreprinderilor private, al școlilor și al birourilor publice.
O încălcare necesită raportare dacă există o convingere rezonabilă că informațiile ar fi putut fi compromise. Informațiile care se califică pentru raport includ numele și prenumele sau inițiala și numele oricărui client sau angajat în combinație cu date personale, cum ar fi permisul de conducere, cardul de securitate socială, numărul de cont bancar, informațiile despre cardul de credit sau de debit sau parolele de securitate . Dacă se suspectează o încălcare, orice persoană cu intrare în baza de date trebuie să fie notificată prompt prin e-mail, apel telefonic, scrisoare sau postare vizibilă pe site-ul companiei. Nerespectarea SB 1386 poate duce la un proces civil.