Normative sulla privacy dei dati: il 2018 è stato l’anno del GDPR. Ma l’evoluzione delle regole emanate dai vari legislatori aggiorna e amplia le prospettive di gestione e di conformità della privacy, contribuendo a riformulare perimetri e strategie. Le aziende che operano su una scala globale devono far lavorare non poco le business unit dei legal per capire come comportarsi nei confronti della quantità di informazioni sensibili che ogni giorno si trovano a dover gestire.
Che cos’è il CCPA e perché è bene conoscerlo
Ne è un esempio il California Consumer Privacy Act (CCPA), una normativa nazionale relativa alla protezione dei dati che disciplina il modo in cui le aziende di tutto il mondo sono autorizzate a trattare le informazioni personali dei cittadini residenti in California. Entrato in vigore il 1° gennaio 2020, il CCPA è l’ultima delle normative sulla privacy dei dati.
Si applica a tutte le società a scopo di lucro nel mondo che vendono le informazioni personali di oltre 50mila residenti californiani, hanno un fatturato annuo superiore a 25 milioni di dollari oppure ottengono dalla vendita delle informazioni personali dei residenti californiani oltre il 50% del loro fatturato annuale. In estrema sintesi, se un’azienda condivide il marchio (ovvero ha denominazione, marchio di servizio o marchio commerciale condiviso) con un’altra società che sia soggetta al CCPA, anche la prima azienda è tenuta a conformarsi al CCPA.
Nello specifico, il legislatore specifica con estremo dettaglio l’azione di:
- Vendere
- Cedere
- Rivelare
- Divulgare
- Diffondere
- Rendere disponibili
- Trasmettere o diversamente comunicare in forma orale, per iscritto, oppure con mezzi elettronici o di diversa natura
le informazioni personali di un consumatore da parte dell’azienda a un’altra azienda o di una terza parte, a fronte di un corrispettivo monetario o altro tipo di onere.
Normative sulla privacy: un processo a ciclo continuo
Come sottolineano gli esperti, il processo per raggiungere la conformità al GDPR per tutte le organizzazioni è stato impegnativo ma anche molto prezioso. La regolamentazione della Privacy ha alzato l’attenzione ai temi di sicurezza che prima non erano mai stati presi in seria considerazione. Avere visibilità e massima trasparenza informativa in merito ai flussi di dati gestiti dal marketing, ai processi di generazione dei lead e ai dettagli sugli accordi contrattuali legati alle sponsorizzazioni di eventi e conferenze è entrato a far parte di una regolamentazione più virtuosa ma anche più strutturata.
Il proliferare delle normative sulla privacy ha un forte impatto su governance, gestione del rischio e parametri di conformità. Di conseguenza ogni azienda deve formalizzare un proprio programma sulla privacy, dedicando risorse per continuare a integrare la privacy in tutti numerosi processi legati ai flussi di dati aziendali. Alcune aziende, più lungimiranti, stanno cercando di guardare oltre.
Ragionare oltre la mera gestione dei dati sensibili
L’evoluzione delle normative viene usata come base per costruire o rafforzare programmi di governance dei dati finalizzati a tranquillizzare i clienti, sempre più preoccupati per il modo in cui i loro dati vengono gestiti. In effetti, gli esperti di conformità attribuiscono al GDPR e ad altre normative sulla privacy emergenti una forte influenza su tutta la gestione dei dati nel suo complesso.
Le aziende che gestiscono molti dati o che trattano molti dati sensibili dei clienti stanno rivedendo l’intero processo fisico e digitale, ripensando modalità di archiviazione e di elaborazione.
Nel do ut des informativo le aziende devono ripensare la governance
Sia il GDPR che il CCPA cercano di arginare ciò che le aziende possono e non possono fare con le informazioni personali. Molti esperti si aspettano una crescita di normative sulla privacy che porteranno a nuove linee guida in merito agli standard di sicurezza per le organizzazioni di tutti i settori. Il tutto considerando come la maggior parte delle organizzazioni trovi già difficile soddisfare i requisiti esistenti. Figuriamoci di quelli futuri, che saranno sempre più rigorosi.
Un recente sondaggio dell’International Association of Privacy Professionals (IAPP) ha rilevato che la maggior parte delle organizzazioni non soddisfa attualmente tutti i requisiti di privacy dei dati legali. Il “Rapporto annuale sulla governance della privacy IAPP-EY 2019”, pubblicato nel settembre scorso, ha rilevato che, tra i 370 professionisti della privacy intervistati le cui organizzazioni rientrano nella giurisdizione GDPR, solo il 9% ha dichiarato di essere pienamente conforme alla legge. Circa il 36% ha dichiarato di essere molto conforme, il 42% moderatamente conforme e il 12% in qualche modo conforme. Solo l’1% ha ammesso di non essere affatto conforme.
Andare ben oltre gli standard minimi
Il problema è che le organizzazioni considerano le normative sulla privacy e sulla sicurezza dei dati come un esercizio di tipo check-the-box anziché come un’opportunità per stabilire un programma completo di governance dei dati. Mirare a soddisfare solo gli standard minimi, però, non è affatto strategico. Tuttavia, gli esperti della privacy hanno affermato che la nuova legislazione sulla privacy dei dati, unita alla preoccupazione dei consumatori su come le loro informazioni personali sono utilizzate dalle organizzazioni sta spingendo le organizzazioni più all’avanguardia a migliorare, sviluppando veri e propri standard etici relativi all’uso dei dati sensibili, cercando di anticipare la futura evoluzione normativa. Questo non solo consente loro di sapere sempre dove sono custoditi i loro dati e quali sono le politiche di riferimento ma anche di permettergli di adattare rapidamente le regole e rispondere in modo appropriato alle progressive modifiche normative.
Progettare governance dei dati migliore e a ciclo continuo
Certo è che, anche quando ci sono tutte le buone intenzioni, lo sviluppo di un programma di gestione dei dati forte e allo stesso tempo agile è tutt’altro che facile. Per cominciare, molte organizzazioni non hanno ancora una buona conoscenza di quali dati esistono e dove risiedono all’interno della loro azienda.
Si tratta di un esercizio davvero impegnativo e complesso perché i dati hanno la tendenza a disperdersi nelle organizzazioni. Sono molte le aziende che si illudono di avere tutte le informazioni consolidate all’interno di un database centrale per poi scoprire che i dipendenti scaricano regolarmente le informazioni sui loro dischi rigidi per facilitare il loro accesso ai dati.
Molte organizzazioni fanno ancora fatica a capire quali requisiti legali vadano applicati, quali siano le migliori pratiche da adottare o come bilanciare la privacy dei dati e i programmi di sicurezza con i rischi e le limitazioni endemiche delle risorse. Questo esercizio è ulteriormente complicato da un ambiente normativo e giuridico che cambia costantemente.
Nel frattempo, la maggior parte delle organizzazioni continua a lottare con gli aspetti più complessi delle normative sulla privacy, cercando di capire quale sia il modo in cui va gestita la domanda dei singoli clienti che chiedono di rivedere o eliminare le informazioni che li riguardano.
Gli analisti ribadiscono da più parti che la governance dei dati va vista come una disciplina in continua evoluzione. La sfida è quella di bilanciare i requisiti normativi, le migliori pratiche, i rischi e le risorse disponibili.
