Definirea conformității: unde se îndreaptă confidențialitatea și securitatea datelor globale în 2019

Publicat: 2019-01-31

Primăvara trecută a fost mai mult decât puțin agitată pentru marketeri, profesioniști IT și avocați deopotrivă, datorită Regulamentului general privind protecția datelor (GDPR) al Uniunii Europene , care a devenit aplicabil în mai 2018. Această legislație de transformare a zdruncinat confidențialitatea și securitatea datelor așa cum știam. aceasta – nu doar în UE, ci în întreaga lume – prin responsabilizarea companiilor pentru modul în care gestionează datele clienților și subliniind din nou dreptul persoanelor de a-și controla propriile informații.

În lunile care au trecut, am auzit cazuri după caz ​​în care giganții tehnologici precum Facebook și Google se confruntă cu amenzi și alte acțiuni legale în legătură cu nedezvăluirea adecvată a modului în care folosesc datele personale și alte deficiențe în conformitate. În plus, GDPR a început un val de conversații și acțiuni incrementale în jurul confidențialității și securității datelor, care arată clar că terenul în acest domeniu cheie este departe de a fi stabilit.

Pe măsură ce 2019 începe, una dintre marile întrebări cu care se confruntă mărcile mari și mici din întreaga lume este: ce rezervă noul an pentru confidențialitatea și securitatea datelor la nivel global? Și, deși nu avem o minge de cristal funcțională aici, la Braze, avem următorul lucru cel mai bun: vicepreședintele nostru Juridic, consilierul general și secretarul corporativ Susan Wiseman și consilierul general asociat și directorul principal (EMEA) Marjorie Armitage, care s-au aflat în prima linie a acestui spațiu în evoluție în ultimii ani. Citiți mai departe pentru a-i vedea că își planifică previziunile pentru anul care vine:

1) Accentul pe drepturile la confidențialitatea consumatorilor se va răspândi în afara UE

Mulți oameni din domeniul juridic vă vor spune că GDPR nu este deosebit de nou când vine vorba de conceptele sale legale de bază. Reglementarea este adesea vagă și în mod intenționat – parte dintr-un efort al redactorilor săi de a permite legislației să rămână flexibilă și relevantă pe măsură ce tehnologiile evoluează. (La urma urmei, legislația UE pe care o înlocuiește GDPR, Directiva privind protecția datelor, a fost în vigoare de 23 de ani, datând de când smartphone-urile erau doar o sclipire în ochii lui Steve Jobs.) Ceea ce face ca GDPR să iasă în evidență din mulțime este modul că lucrează pentru a proteja cetățenii țărilor UE. Votând confidențialitatea și securitatea datelor ca un fel de drept uman de bază, legislația face mult pentru a se asigura că organizațiile din alte țări care se ocupă de datele personale ale cetățenilor UE iau în serios aceste probleme – și respectarea acestora.

De fapt, UE și o serie de alte țări din lume au legi stricte pentru protejarea datelor cu caracter personal. UE permite companiilor să transfere date cu caracter personal din UE către acele alte țări care au legi la fel de stricte. UE se referă la aceste țări drept jurisdicții „adecvate”. Dar dacă, de exemplu, sunteți o companie media cu sediul în Statele Unite – care este o țară care nu este recunoscută în prezent ca adecvată de standardele UE – puteți procesa în continuare datele personale de la clienții dvs. din UE, atâta timp cât aveți a fost de acord cu clientul dumneavoastră că veți proteja datele personale într-un mod care depășește cerințele legii SUA. Puteți face acest lucru prin autocertificare la Scutul de confidențialitate sau prin semnarea Clauzelor model cu clientul dvs. Atât Scutul de confidențialitate, cât și Clauzele model servesc la validarea transferurilor de date cu caracter personal către SUA; a face acest lucru fără o metodă recunoscută de UE ar fi o încălcare a dreptului UE.

Aceste tipuri de acorduri sunt cruciale, deoarece poate fi dificil pentru o țară să atingă adecvarea. De exemplu, deoarece Statele Unite nu au încă legi naționale extinse care să se alinieze la GDPR, firmele din SUA pot procesa datele cu caracter personal ale UE numai dacă au semnat cu clienții clauzele model sau dacă au autocertificat. la Cadrul UE-SUA Privacy Shield – care face posibil ca companiile din UE să transfere datele personale ale cetățenilor UE către companiile din SUA (cum ar fi Braze, de exemplu!)

2) Statele Unite probabil nu vor elabora o lege federală privind confidențialitatea datelor în 2019, dar legislația de stat va relua

Deși este adevărat că SUA nu au nicio lege națională care să îndeplinească standardele cerute de autoritățile de protecție a datelor din UE, când vine vorba de confidențialitatea și securitatea datelor consumatorilor, începem încet, dar sigur, să vedem fiecare stat cu stat. legislația intră în joc.

Anul trecut, California a devenit primul stat din țară care a adoptat o nouă legislație privind confidențialitatea datelor odată cu crearea Actului California privind confidențialitatea consumatorilor. Această lege este revoluționară atunci când vine vorba de cerințele de confidențialitate a datelor din SUA, garantând consumatorilor dreptul de acces și ștergere a datelor, precum și impunând companiilor să actualizeze contractele de prelucrare a datelor de la terți pentru a asigura conformitatea în moduri care amintesc de regulile operatorului/procesorului stabilite. în GDPR, printre alte cerințe de prim rang în SUA

Când aplicarea GDPR a intrat în vigoare în mai 2018, mai mult de câteva companii din SUA au ales să se ocupe de această nouă reglementare majoră, ei bine... să nu se ocupe de ea. Adică, unele organizații care nu aveau clienți în UE au ales să nu lucreze pentru respectarea GDPR pentru că nu aveau clienți în UE; Între timp, alte companii care aveau clienți în UE au ales să-i excludă în loc să încerce să respecte noua lege. Unele mărci din California, un important centru tehnologic și media din SUA, au căzut și ele în această barcă – vă amintiți când Los Angeles Times și-a desființat site-ul complet în UE, totul pentru a nu trebui să respecte GDPR? Ei bine, aceleași companii au la dispoziție mai puțin de un an pentru a se conforma cu Legea privind confidențialitatea consumatorilor din California înainte ca aplicarea să înceapă la 1 ianuarie 2020.

În general, ar trebui foarte mult companiilor din SUA – mari și mici, noi și consacrate – să înceapă să se îndrepte către o realitate în care drepturile de confidențialitate și securitate a datelor clienților sunt date. În timp ce California a fost primul stat care a adoptat o legislație complet nouă privind confidențialitatea datelor în urma GDPR, vedem că alte state precum Louisiana, Alabama, Colorado și Virginia iau măsuri pentru a consolida legile existente privind confidențialitatea datelor. (În plus, Vermont a adoptat anterior o nouă lege care înăsprește reglementarea brokerilor de date și stabilește standarde minime de securitate.)

Deși până acum nu există niciun semn că guvernul federal al SUA va lua măsuri pentru a elabora o lege federală în stil GDPR în acest an, mozaicurile în expansiune și legislația nouă și consolidată privind confidențialitatea datelor, de la stat la stat, este un semn cheie pentru companii. că trebuie să se gândească serios la modul în care gestionează în prezent datele. Dacă nu o fac, riscă să fie uimiți atunci când fie o nouă lege la nivel național intră în vigoare, fie ritmul legilor de la stat la stat face imposibilă desfășurarea afacerilor în SUA fără a revizui modul în care procesează și gestionează datele consumatorilor.

Este puțin probabil ca acest Congres al SUA să adopte o lege [întreaga țară a confidențialității] în curând. Cu toate acestea, intimitatea este în mod clar în mintea oamenilor. Chiar și în SUA, există un impuls și un accent crescut pe drepturile la confidențialitate și necesitatea unei legislații mai bune și mai multe. Cred că, în loc să vedem o nouă lege federală privind confidențialitatea, vom vedea o grămadă de state care adoptă legi similare cu ceea ce a făcut California anul trecut cu CCPA.

Susan Wiseman, vicepreședinte al departamentului juridic, consilier general și secretar corporativ la Braze

3) Confidențialitatea prin design va deveni noua normalitate

„Confidențialitate prin proiectare” înseamnă asigurarea faptului că sistemele sunt construite de la început cu intenția de a stoca, proteja, transfera și procesa datele cu caracter personal folosind practici de securitate standard din industrie și urmând dorințele consumatorilor cu privire la datele lor personale. Dar, deși conceptul există de ceva vreme, GDPR este primul regulament care îl include ca parte a cerințelor sale de conformitate. Chiar dacă parametrii a ceea ce se califică drept confidențialitate prin proiectare în cadrul GDPR sunt oarecum vagi, se asigură că companiile care se conformează iau măsuri pentru a-și proiecta sistemele având în vedere siguranța datelor.

Asigurarea faptului că compania dvs. a îndeplinit standardele de „confidențialitate prin proiectare” necesită atenție și vigilență atunci când vine vorba de gestionarea informațiilor. Trebuie să știi de unde provin datele, ce persoane și sisteme le ating și când pot și nu pot fi accesate sau utilizate. Toate acestea sunt mult mai ușor dacă construiți sisteme și procese de gestionare a datelor care integrează concepte puternice de confidențialitate și securitate a datelor chiar de la început.

GDPR pune accent pe oferirea consumatorilor o înțelegere clară a modului în care datele lor sunt utilizate de către organizații (fără a fi nevoie să citească un document legal masiv), oferindu-le posibilitatea de a-și schimba pur și simplu preferințele de date în orice moment și dreptul de a accesa și solicita ștergerea informațiilor lor ori de câte ori doresc. În mod implicit, confidențialitatea se încadrează în acest concept, ceea ce înseamnă că, dacă un client nu și-a actualizat preferințele, setarea implicită ar trebui să fie cele mai înalte niveluri de protecție și control a datelor. După cum bine știu specialiștii în marketing, aceste tipuri de restricții pot avea un impact negativ uneori asupra experienței clienților - de exemplu, utilizatorii unei aplicații de partajare vor avea o experiență destul de frustrantă dacă nu oferă acces la locația lor. Aceasta înseamnă că este obligația companiilor să folosească mesaje creative (și conforme!) pentru a-i determina pe consumatorii cazului să decidă că există o valoare reală în a permite acelor companii să-și folosească datele personale pentru a susține experiențe mai relevante și mai de impact.

GDPR a fost extins intenționat în ceea ce privește cum arată conformitatea, într-un efort de a permite tehnologiei să evolueze. Anumite aspecte ale Directivei privind protecția datelor au fost depășite în aproximativ cinci ani, pe măsură ce internetul a explodat, așa că legiuitorii au fost foarte atenți să se asigure că GDPR este independent de tehnologie.

Marjorie Armitage, consilier general asociat și director principal (EMEA) la Braze

4) Companiile vor căuta din ce în ce mai mult validarea de la terți

Vagitatea inerentă și intenționată a GDPR este esențială pentru legislație, iar această vagitate a fost un obstacol major pentru multe companii care doresc să respecte legea. Dar, din fericire, aceeași neclaritate a permis și companiilor să se reunească pentru a determina cum arată gestionarea conformă a datelor, permițând totodată spațiu pentru dezvoltarea și evoluția tehnologiei. Și pentru că demonstrarea faptului că compania dvs. face de fapt ceea ce pretindeți atunci când vine vorba de confidențialitatea datelor este o componentă cheie a conformității GDPR, sistemele de validare ale terților vor deveni din ce în ce mai importante pentru mărci.

Cum arată asta? Ei bine, la Braze, concentrarea noastră de a ne asigura că acordăm prioritate confidențialității și securității datelor ne-a determinat să urmărim validarea de către terți a sistemelor și proceselor noastre – cel mai recent, am finalizat cu succes atât certificarea SOC 2, Tip 2, cât și ISO 27001 în timpul anul calendaristic 2018. Certificarea ISO afirmă că o organizație a efectuat o evaluare cuprinzătoare a riscurilor de securitate și a creat un Sistem de management al securității informațiilor (ISMS) care respectă cerințele stabilite în standardul global de management al securității informațiilor ISO, asigurând că corporația destinatară a atins standardul din industrie. protocoale de securitate.

Aceste standarde sunt determinate de părțile interesate din întreaga lume în cadrul procesului global de stabilire a standardelor ISO. De fapt, propria noastră Marjorie Armitage este în prezent co-președinte interimar al subgrupului de lucru din Regatul Unit al organismului european de standardizare care lucrează pentru a determina standardele de confidențialitate din industrie legate de conformitatea cu GDPR. Și pe măsură ce numărul standardelor asociate cu noile reglementări privind confidențialitatea datelor crește, căutați certificări pentru standarde ca acestea, care să devină mize de masă pentru companiile care doresc să-și demonstreze conformitatea atât consumatorilor, cât și autorităților de reglementare.

Responsabilitatea a fost întotdeauna un principiu cheie al protecției datelor, dar GDPR l-a codificat în cele din urmă în lege. Trebuie să fiți capabil să demonstrați că sunteți conform și că faceți tot ce spuneți.

Marjorie Armitage, consilier general asociat și director principal (EMEA) la Braze

Gânduri finale

Tehnologia a făcut posibil ca companiile să obțină o perspectivă bogată și mai nuanțată asupra clienților și a comportamentului lor decât oricând, dar utilizarea datelor detaliate despre clienți, care stimulează această înțelegere, poate prezenta riscuri atât pentru mărci, cât și pentru utilizatorii lor. O parte a valorificării eficiente a datelor este să vă asigurați că aveți procesele, instrumentele și cunoștințele de care aveți nevoie pentru a proteja informațiile pe care clienții dvs. v-au încredințat-o.

Aceasta este lumea în care ne aflăm, iar riscurile și recompensele vor deveni mai mari pe măsură ce tehnologia avansează și comportamentul consumatorilor se schimbă. Pentru a aprofunda considerentele cheie cu privire la GDPR, HIPAA și cele mai recente în ceea ce privește modul în care securitatea datelor afectează implicarea clienților, consultați Brevetul de securitate Braze .