• Homepage
  • Articoli
  • Marketing
  • Definizione della conformità: dove sono diretti la privacy e la sicurezza dei dati globali nel 2019

Definizione della conformità: dove sono diretti la privacy e la sicurezza dei dati globali nel 2019

Pubblicato: 2019-01-31

La scorsa primavera è stata più che frenetica per esperti di marketing, professionisti IT e avvocati, grazie al Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea, entrato in vigore a maggio 2018. Questa legislazione trasformativa ha sconvolto la privacy e la sicurezza dei dati, come sapevamo non solo nell'UE, ma in tutto il mondo, ritenendo le società responsabili del modo in cui gestiscono i dati dei clienti e sottolineando nuovamente il diritto delle persone di controllare le proprie informazioni.

Nei mesi successivi, abbiamo sentito casi dopo casi in cui giganti della tecnologia come Facebook e Google devono affrontare multe e altre azioni legali in relazione alla mancata divulgazione adeguata del modo in cui utilizzano i dati personali e altri errori di conformità. Inoltre, il GDPR ha avviato un'ondata di conversazioni e azioni incrementali sulla privacy e la sicurezza dei dati che chiariscono che il terreno in questo settore chiave è tutt'altro che risolto.

All'inizio del 2019, una delle grandi domande che i marchi grandi e piccoli devono affrontare in tutto il mondo è: cosa riserva il nuovo anno per la privacy e la sicurezza dei dati globali? E anche se non abbiamo una sfera di cristallo funzionante qui a Braze, abbiamo la cosa migliore dopo: il nostro vicepresidente senior dell'ufficio legale, consulente legale e segretario aziendale Susan Wiseman e consulente legale associato e direttore senior (EMEA) Marjorie Armitage, che sono stati in prima linea in questo spazio in evoluzione negli ultimi anni. Continua a leggere per vederli tracciare le loro previsioni per il prossimo anno:

1) L'enfasi sui diritti alla privacy dei consumatori si diffonderà al di fuori dell'UE

Molte persone legali ti diranno che il GDPR non è particolarmente nuovo quando si tratta dei suoi concetti legali fondamentali. Il regolamento è spesso vago e intenzionalmente così, parte di uno sforzo dei suoi redattori per consentire alla legislazione di rimanere flessibile e pertinente man mano che le tecnologie si evolvono. (Dopo tutto, la legislazione dell'UE che sostituisce il GDPR, la Direttiva sulla protezione dei dati, è in vigore da 23 anni, risalendo a quando gli smartphone erano solo un lampo negli occhi di Steve Jobs.) Ciò che distingue il GDPR dalla massa è il modo in cui che opera per proteggere i cittadini dei paesi dell'UE. Dipingendo la privacy e la sicurezza dei dati come una sorta di diritto umano fondamentale, la legislazione fa molto per garantire che le organizzazioni di altri paesi che si occupano dei dati personali dei cittadini dell'UE prendano seriamente questi problemi e la conformità.

In effetti, l'UE e un certo numero di altri paesi nel mondo hanno leggi rigorose per proteggere i dati personali. L'UE consente alle aziende di trasferire dati personali dall'UE a quegli altri paesi che hanno leggi altrettanto rigorose. L'UE si riferisce a questi paesi come giurisdizioni "adeguate". Ma se, ad esempio, sei una società di media con sede negli Stati Uniti, che è un paese attualmente non riconosciuto come adeguato dagli standard dell'UE, puoi comunque elaborare i dati personali dei tuoi clienti nell'UE, purché tu abbia concordato con il cliente che intende proteggere i dati personali in un modo che supera i requisiti della legge statunitense. Puoi farlo autocertificandoti al Privacy Shield o firmando clausole modello con il tuo cliente. Sia lo scudo per la privacy che le clausole modello servono a convalidare i trasferimenti di dati personali negli Stati Uniti; farlo senza un metodo riconosciuto dall'UE costituirebbe una violazione del diritto dell'UE.

Questi tipi di accordi sono cruciali perché può essere difficile per un paese raggiungere l'adeguatezza. Ad esempio, poiché negli Stati Uniti non esistono ancora leggi nazionali radicali in linea con il GDPR, le aziende con sede negli Stati Uniti sono in grado di elaborare i dati personali dell'UE solo se hanno firmato con i propri clienti le clausole modello o se si sono autocertificate al quadro dello scudo UE-USA per la privacy, che consente alle società dell'UE di trasferire i dati personali dei cittadini dell'UE alle società statunitensi (come Braze, ad esempio!)

2) Gli Stati Uniti probabilmente non elaboreranno una legge federale sulla privacy dei dati nel 2019, ma la legislazione statale riprenderà

Sebbene sia vero che gli Stati Uniti non hanno leggi nazionali che soddisfino gli standard richiesti dalle autorità per la protezione dei dati nell'UE, quando si tratta di privacy e sicurezza dei dati dei consumatori, stiamo lentamente ma inesorabilmente iniziando a vedere stato per stato entra in gioco la normativa.

L'anno scorso, la California è diventata il primo stato del paese ad approvare una nuova legislazione sulla privacy dei dati con la creazione del California Consumer Privacy Act. Questa legge è rivoluzionaria quando si tratta di requisiti statunitensi sulla privacy dei dati, garantendo ai consumatori il diritto all'accesso e alla cancellazione dei dati, nonché richiedendo alle società di aggiornare i contratti di elaborazione dei dati di terze parti per garantire la conformità in modi che ricordano le regole stabilite dal responsabile del trattamento/incaricato del trattamento nel GDPR, tra gli altri requisiti unici nel loro genere negli Stati Uniti

Quando l'applicazione del GDPR è entrata in vigore a maggio 2018, più di poche aziende statunitensi hanno scelto di affrontare questa nuova importante regolamentazione, beh... non affrontandola. Cioè, alcune organizzazioni che non avevano clienti nell'UE hanno scelto di non lavorare per la conformità al GDPR perché non avevano clienti nell'UE; nel frattempo, altre società che avevano clienti nell'UE hanno scelto di escluderli invece di cercare di seguire la nuova legge. Anche alcuni marchi in California, un importante hub tecnologico e multimediale negli Stati Uniti, sono caduti in questa barca: ricordi quando il Los Angeles Times ha cancellato completamente il loro sito Web nell'UE, tutto in modo da non dover rispettare il GDPR? Bene, ora quelle stesse aziende hanno meno di un anno per diventare conformi al California Consumer Privacy Act prima che l'applicazione inizi il 1 gennaio 2020.

Nel complesso, sarebbe molto opportuno che le aziende con sede negli Stati Uniti, grandi e piccole, nuove e affermate, iniziassero a muoversi verso una realtà in cui i diritti di privacy e sicurezza dei dati dei clienti sono un dato di fatto. Mentre la California è stato il primo stato ad approvare una legislazione sulla privacy dei dati completamente nuova sulla scia del GDPR, stiamo vedendo altri stati come Louisiana, Alabama, Colorado e Virginia adottare misure per rafforzare le leggi esistenti sulla privacy dei dati. (Inoltre, il Vermont ha precedentemente approvato una nuova legge che inasprisce la regolamentazione dei broker di dati e stabilisce standard minimi di sicurezza.)

Sebbene finora non ci siano segnali che il governo federale degli Stati Uniti prenderà provvedimenti per redigere una legge federale in stile GDPR quest'anno, il mosaico in espansione e la nuova e rafforzata legislazione sulla privacy dei dati su base stato per stato è un segnale chiave per le aziende che devono pensare seriamente a come stanno attualmente gestendo i dati. Se non lo fanno, rischiano di essere presi alla sprovvista quando una nuova legge nazionale entra in vigore o il ritmo delle leggi stato per stato rende impossibile fare affari negli Stati Uniti senza rivedere il modo in cui elaborano e gestiscono i dati dei consumatori.

È improbabile che questo Congresso degli Stati Uniti approvi presto una legge [sulla privacy a livello nazionale]. Tuttavia, la privacy è chiaramente nella mente delle persone. Anche negli Stati Uniti, c'è un maggiore slancio e un'enfasi sui diritti alla privacy e la necessità di una legislazione migliore e più ampia. Penso che invece di vedere una nuova e radicale legge federale sulla privacy, vedremo un gruppo di stati emanare leggi simili a quelle che la California ha fatto l'anno scorso con il CCPA.

Susan Wiseman, SVP of Legal, General Counsel e Corporate Secretary di Braze

3) La privacy by design diventerà la nuova normalità

"Privacy by design" significa garantire che i sistemi siano costruiti fin dall'inizio con l'intenzione di archiviare, proteggere, trasferire ed elaborare i dati personali utilizzando pratiche di sicurezza standard del settore e seguendo i desideri dei consumatori in relazione ai loro dati personali. Ma mentre il concetto esiste da un po' di tempo, il GDPR è il primo regolamento a includerlo come parte dei suoi requisiti di conformità. Anche se i parametri di ciò che si qualifica come privacy by design all'interno del GDPR sono alquanto vaghi, garantisce che le aziende conformi adottino misure per progettare i propri sistemi tenendo conto della sicurezza dei dati.

Garantire che la tua azienda soddisfi gli standard di "privacy by design" richiede attenzione e vigilanza quando si tratta di gestire le informazioni. Devi sapere da dove provengono i dati, quali individui e sistemi li stanno toccando e quando è possibile accedervi o utilizzarli. Tutto ciò è molto più semplice se crei sistemi e processi di gestione dei dati che integrano concetti solidi di privacy e sicurezza dei dati fin dall'inizio.

Il GDPR pone l'accento sul fornire ai consumatori una chiara comprensione di come i loro dati vengono utilizzati dalle organizzazioni (senza dover leggere un documento legale di grandi dimensioni), dando loro la possibilità di modificare semplicemente le preferenze dei dati in qualsiasi momento e il diritto di accesso e richiedere la cancellazione delle proprie informazioni ogni volta che lo desiderano. Anche la privacy per impostazione predefinita rientra in questo concetto, il che significa che se un cliente non ha aggiornato le proprie preferenze, l'impostazione predefinita dovrebbe essere il livello più alto di protezione e controllo dei dati. Come ben sanno gli esperti di marketing, questo tipo di restrizioni a volte può avere un impatto negativo sull'esperienza del cliente, ad esempio, gli utenti di un'app di ridesharing vivranno un'esperienza piuttosto frustrante se non forniscono l'accesso alla loro posizione. Ciò significa che spetta alle aziende utilizzare messaggi creativi (e conformi!) per far sì che i consumatori decidano che c'è un reale valore nel consentire a tali aziende di utilizzare i propri dati personali per supportare esperienze più pertinenti e di maggiore impatto.

Il GDPR è stato reso intenzionalmente ampio in termini di come appare la conformità nel tentativo di consentire alla tecnologia di evolversi. Alcuni aspetti della direttiva sulla protezione dei dati erano obsoleti nel giro di circa cinque anni a causa dell'esplosione di Internet, quindi i legislatori sono stati molto attenti ad assicurarsi che il GDPR fosse indipendente dalla tecnologia.

Marjorie Armitage, Associate General Counsel e Senior Director (EMEA) di Braze

4) Le aziende cercheranno sempre più la convalida di terze parti

La vaghezza intrinseca e intenzionale del GDPR è fondamentale per la legislazione e tale vaghezza è stata un grosso ostacolo per molte aziende che cercano di conformarsi alla legge. Ma per fortuna, quella stessa vaghezza ha anche consentito alle aziende di riunirsi per determinare l'aspetto della gestione conforme dei dati, lasciando allo stesso tempo spazio alla tecnologia per crescere ed evolversi. E poiché dimostrare che la tua azienda sta effettivamente facendo ciò che affermi quando si tratta di privacy dei dati è una componente chiave per la conformità al GDPR, i sistemi di convalida di terze parti diventeranno sempre più importanti per i marchi.

Che aspetto ha? Bene, in Braze la nostra attenzione nel garantire che diamo la priorità alla privacy e alla sicurezza dei dati ci ha portato a perseguire la convalida di terze parti dei nostri sistemi e processi: più recentemente, abbiamo completato con successo sia la certificazione SOC 2, Tipo 2 che ISO 27001 durante il Anno solare 2018. La certificazione ISO afferma che un'organizzazione ha eseguito una valutazione completa dei rischi per la sicurezza e ha creato un sistema di gestione della sicurezza delle informazioni (ISMS) che soddisfa i requisiti stabiliti nello standard globale di gestione della sicurezza delle informazioni ISO, garantendo che l'azienda ricevente abbia raggiunto gli standard del settore protocolli di sicurezza.

Questi standard sono determinati dalle parti interessate di tutto il mondo nell'ambito del processo di definizione degli standard globale dell'ISO. In effetti, la nostra Marjorie Armitage è attualmente co-presidente ad interim del sottogruppo di lavoro nel Regno Unito dell'organismo di standard europeo che lavora per determinare gli standard di privacy del settore relativi alla conformità al GDPR. E con l'aumento del numero di standard associati alle nuove normative sulla privacy dei dati, cerca le certificazioni per standard come questi che diventino una posta in gioco per le aziende che cercano di dimostrare la loro conformità sia ai consumatori che alle autorità di regolamentazione.

La responsabilità è sempre stata un principio chiave della protezione dei dati, ma alla fine il GDPR lo ha codificato nella legge. Devi essere in grado di dimostrare che sei conforme e che stai facendo tutto ciò che dici.

Marjorie Armitage, Associate General Counsel e Senior Director (EMEA) di Braze

Pensieri finali

La tecnologia ha consentito alle aziende di ottenere una visione più ricca e articolata dei propri clienti e dei loro comportamenti che mai, ma l'uso dei dati dettagliati sui clienti che alimentano tale comprensione può comportare rischi sia per i marchi che per i loro utenti. Parte dello sfruttamento efficace dei dati consiste nel garantire di disporre dei processi, degli strumenti e delle conoscenze necessarie per salvaguardare le informazioni che i clienti ti hanno affidato.

Questo è il mondo in cui ci troviamo e i rischi e le ricompense aumenteranno solo man mano che la tecnologia avanza e cambia il comportamento dei consumatori. Per approfondire le considerazioni chiave su GDPR, HIPAA e le ultime novità su come la sicurezza dei dati sta influenzando il coinvolgimento dei clienti, dai un'occhiata al Braze Security Roundup .