Le aziende trattano i dati personali degli utenti per diversi motivi vantaggiosi, come il miglioramento dell'esperienza del cliente, lo sviluppo del prodotto e la ricerca di marketing.
Tuttavia, per utilizzare i dati in modo sostenibile, le aziende devono dare priorità alla privacy dei dati, che si riferisce al controllo che le persone hanno sui loro dati e ai sistemi di elaborazione e sicurezza che le aziende implementano.
In questa guida spiego cosa devono sapere i titolari di aziende sulla privacy dei dati, quali sono i passi da compiere per diventare un'azienda che conosce la privacy e sentiamo un esperto di privacy che ci spiega perché è importante.
- Che cos'è la privacy dei dati?
- Quali leggi regolano la privacy dei dati e come?
- Quali sono i vantaggi dell'allineamento alle leggi sulla privacy dei dati?
- Quali sono alcuni esempi di rischi per la privacy dei dati?
- Come possono le aziende proteggere la privacy degli utenti?
- In che modo Termly aiuta le aziende a proteggere la privacy degli utenti?
- Come possono gli utenti proteggere la loro privacy online?
- Riassunto
Che cos'è la privacy dei dati?
La privacy dei dati, per definizione, è il rapporto tra le entità che raccolgono, elaborano e utilizzano i dati personali e i controlli e le scelte degli individui sulle modalità di utilizzo di tali informazioni.
Le aziende che danno priorità alla privacy dei dati sono tipicamente:
- Conoscere, conoscere e seguire adeguatamente tutte le leggi sulla protezione dei dati applicabili alla propria attività.
- Pubblicare le politiche legali necessarie, come le politiche sulla privacy e sui cookie, per informare correttamente i visitatori del sito web sulle attività di trattamento dei dati.
- Utilizzare banner di consenso e moduli di richiesta di accesso ai dati (DSAR) per dare ai propri utenti la possibilità di scegliere come trattare le loro informazioni.
- Implementare la mappatura dei dati (inventari dei dati) in modo da sapere dove vengono archiviate tutte le informazioni personali raccolte e chi vi ha accesso.
- Formare i propri dipendenti a tutti i livelli, compresi gli amministratori, sulle migliori pratiche in materia di privacy dei dati e sicurezza informatica.
- Avere un team o un dipendente dedicato, responsabile dell'implementazione delle migliori pratiche in materia di privacy dei dati.
La privacy dei dati aiuta a garantire che le aziende raccolgano, conservino ed elaborino le informazioni personali in modo sicuro, trasparente e onesto.
Incoraggia le aziende a pensare e a costruire le migliori pratiche per la privacy in tutti gli aspetti delle loro procedure interne fin dalle fondamenta.
Qual è la differenza tra privacy e sicurezza dei dati?
Tecnicamente, la privacy e la sicurezza dei dati sono due operazioni distinte che lavorano insieme per creare un sistema efficiente e di successo.
Mentre la privacy dei dati riguarda le informazioni personali raccolte ed elaborate sulle persone, la sicurezza dei dati riguarda la protezione di tali informazioni da attacchi informatici e accessi non autorizzati.
Ad esempio, per quanto riguarda la privacy dei dati, è necessario assicurarsi di rispettare adeguatamente tutte le leggi sulla privacy dei dati e di istituire meccanismi di controllo che consentano ai consumatori di far valere i propri diritti.
Tuttavia, le pratiche di sicurezza dei dati devono concentrarsi sull'archiviazione sicura delle informazioni, sul completamento della mappatura o dell'inventario dei dati, sulla predisposizione di un processo per identificare e rispondere a una violazione dei dati e sull'attuazione di un piano di backup o di recupero dei dati.
Non è possibile implementare tecniche adeguate di privacy dei dati senza concentrarsi sulla sicurezza delle informazioni e delle attività di elaborazione.
La vostra azienda deve dedicare tempo ed energie a entrambe le cose.
Perché la privacy dei dati è importante
La privacy dei dati è essenziale perché aiuta le aziende:
- Rispettare le leggi sulla privacy dei dati
- Ottenere e mantenere la fiducia dei consumatori
- Costruire pratiche di gestione dei dati efficaci ed efficienti
- Ridurre al minimo i rischi e i costi associati alle violazioni dei dati.
- Adattarsi al clima in continua evoluzione di internet
- Tenere il passo con i cambiamenti e i progressi della tecnologia
Ma il motivo principale per cui la privacy dei dati è importante per le aziende è che riguarda tutti, imprenditori e consumatori.
Quando abbiamo parlato con Andrew Folks, CIPP/US e Westin Fellow per lo IAPP, ci ha detto: "Molti imprenditori vedono la privacy solo come un costo di conformità, quando in realtà fornisce un vantaggio competitivo".
Le aziende devono rispettare l'importanza della raccolta e dell'elaborazione dei dati per trarne vantaggio e migliorare l'esperienza del cliente.
"Quasi il 68% dei consumatori ha dichiarato di essere preoccupato per la propria privacy online, secondo il rapporto IAPP 2023 sulla privacy e la fiducia dei consumatori". - Andrew Folks, CIPP/USA e Fellow Westin per l'iAPP
E aggiunge: "Di conseguenza, le aziende attente alla privacy vedono aumentare i tassi di fidelizzazione dei consumatori e il ritorno sugli investimenti nei programmi di privacy".
Un modo per costruire e mantenere questo rapporto con i consumatori è fornire trasparenza, scelta e controllo alle persone da cui provengono i dati.
In che modo i principi di correttezza informativa influenzano la privacy dei dati?
I Fair Information Practice Principles, talvolta chiamati FIPPS, hanno sviluppato in modo significativo la nostra moderna concezione della privacy dei dati.
Proposti per la prima volta dal Dipartimento della Salute, dell'Educazione e del Benessere degli Stati Uniti nel 1973, i principi sono stati adottati dall'Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE).
l'oCSE è un gruppo internazionale che stimola il progresso economico e il commercio mondiale.
I principi sono citati nelle loro "Linee guida sulla protezione della privacy e sui flussi transfrontalieri di dati personali".
I principi hanno anche gettato le basi per molte delle attuali leggi sulla protezione dei dati, tra cui la:
- Legge sulla privacy dei consumatori della California(CCPA)
- Regolamento generale sulla protezione dei dati (GDPR)
- Legge sulla protezione delle informazioni personali e dei documenti elettronici(PIPEDA)
I nove principi di correttezza informativa sono:
- Accesso e modifica: Le entità devono fornire alle persone l'accesso alle informazioni personali raccolte e consentire loro di correggere o modificare i dati.
- Responsabilità: Le entità devono essere responsabili del rispetto e dell'applicazione dei principi e delle altre procedure applicabili in materia di privacy.
- Autorità: Le entità devono raccogliere, utilizzare, elaborare o memorizzare le informazioni personali solo se hanno il potere di farlo e tale autorità deve essere chiaramente identificata e spiegata ai consumatori.
- Minimizzazione: Le entità devono raccogliere, utilizzare ed elaborare solo le informazioni direttamente pertinenti alle loro esigenze per raggiungere gli scopi legalmente autorizzati e conservare i dati solo per il tempo necessario a raggiungere tali obiettivi.
- Qualità e integrità: Le entità devono raccogliere, utilizzare e archiviare i dati personali con l'accuratezza, la pertinenza, la tempestività e la completezza necessarie a garantire l'equità nei confronti delle persone.
- Partecipazione individuale: Le entità devono coinvolgere l'individuo nell'elaborazione e nell'uso delle informazioni personali e chiedere il suo consenso per l'uso, l'elaborazione e la conservazione dei suoi dati. Le entità devono inoltre stabilire un processo per affrontare i problemi legati alla privacy.
- Specificazione dello scopo e limitazione dell'uso: Le entità devono indicare le finalità specifiche per le quali raccolgono e utilizzano le informazioni personali e devono spiegarlo in una comunicazione all'individuo.
- Sicurezza: Le entità devono stabilire misure di salvaguardia tecniche, amministrative e fisiche per proteggere le informazioni personali in modo adeguato al rischio di danni che potrebbero derivare da accesso, uso, modifica, perdita o distruzione non autorizzati.
- Trasparenza: Le entità devono essere oneste riguardo alle informazioni, alle politiche e alle pratiche relative ai dati personali.
Quali leggi regolano la privacy dei dati e come?
Diverse leggi in tutto il mondo regolano la privacy dei dati e, pur presentando alcune somiglianze, presentano anche notevoli differenze.
In questa sezione, identificherò brevemente le varie leggi che regolano la privacy dei dati e spiegherò il loro impatto su aziende e consumatori.
Regolamento generale sulla protezione dei datiGDPR)
Per gli individui dell'Unione Europea (UE) e dello Spazio Economico Europeo (SEE), il GDPR disciplina il modo in cui le entità di tutto il mondo possono raccogliere, elaborare e utilizzare i loro dati personali.
In particolare, richiede alle entità coperte di:
- Fornite alle persone una nota sulla privacy che indichi quali dati raccogliete, perché, come vengono raccolti, se li vendete a terzi e se li trasferite a livello internazionale.
- Fornire un metodo per consentire ai consumatori di esercitare i propri diritti di accesso, correzione, modifica o cancellazione dei dati personali.
- Offrire ai consumatori uno strumento per esercitare i diritti di opt-out in relazione a specifici tipi di trattamento dei dati.
Inoltre, stabilisce che le aziende devono seguire il principio della Privacy by Design (PbD), che significa integrare la privacy e le protezioni dei dati in tutti i sistemi tecnici utilizzati da un'azienda.
Il GDPR si basa anche sui FIPP precedentemente menzionati in questa guida, rendendoli un requisito legale.
Inoltre, il Regno Unito è protetto dal Data Protection Act, che è identico al GDPR, ma tiene conto della separazione del Paese dal resto d'Europa.
Leggi sulla privacy dei dati in California
La California ha approvato alcune leggi che hanno cambiato la portata della privacy dei dati a livello mondiale, tra cui la:
- Legge sulla privacy dei consumatori della California(CCPA)
- California Privacy Rights Act(CPRA) - modifica parti del CCPA
- Legge sulla protezione della privacy online in California(CalOPPA)
Il CCPA, come modificato dal CPRA, è simile al GDPR. Garantisce inoltre ai consumatori californiani il diritto di accedere, correggere o cancellare i propri dati personali.
Fornisce alcuni diritti di opt-out per quanto riguarda il trattamento dei dati per cose come la pubblicità mirata, la vendita dei propri dati e la profilazione e delinea linee guida specifiche per l'informativa sulla privacy.
Il CalOPPA, invece, si concentra esplicitamente sui dettagli che devono essere contenuti in un'informativa sulla privacy se si opera online e si raccolgono dati da visitatori californiani.
Altre leggi sulla privacy degli Stati Uniti
Diversi altri Stati americani hanno approvato leggi sulla privacy simili al CCPA della California, tra cui le seguenti:
- Legge sulla privacy del Colorado(CPA)
- Legge sulla privacy dei dati del Connecticut(CTDPA)
- Legge sulla privacy dei dati personali del Delaware(DPDPA)
- Carta dei diritti della privacy dei dati della Florida(FDPR)
- Legge sulla protezione dei dati dei consumatori dell'Indiana(Indiana CDPA)
- Legge sulla protezione dei dati dei consumatori dell'Iowa(Iowa CDPA)
- Legge sulla privacy dei dati dei consumatori del Montana(MCDPA)
- Legge sulla privacy dei consumatori dell'Oregon(OCPA)
- Legge sulla protezione delle informazioni del Tennessee(TIPA)
- Legge sulla privacy e la sicurezza dei dati del Texas(TDPSA)
- Legge sulla privacy dei consumatori dello Utah(UCPA)
- Legge sulla protezione dei dati dei consumatori della Virginia(VCDPA)
Queste leggi consentono ai consumatori di accedere, cancellare, correggere e modificare i propri dati personali.
Inoltre, delineano requisiti distinti in materia di privacy.
Come il GDPR e il CCPA, queste leggi stabiliscono che le entità devono raccogliere solo le informazioni personali ragionevolmente necessarie per gli scopi presentati ai consumatori.
Leggi federali degli Stati Uniti
Altre leggi negli Stati Uniti hanno un impatto sulla privacy dei dati in base al pubblico di riferimento e al settore in cui si opera. Queste includono:
- Il Children's Online Privacy Protection Act (COPPA) impone la raccolta di informazioni personali da bambini e minori conosciuti.
- L'Health Insurance Portability and Accountability Act(HIPAA) si applica ai dati delle assicurazioni sanitarie e ne garantisce la riservatezza.
- L'Electronic Communications Privacy Act (ECPA) spiega le restrizioni governative sulle intercettazioni.
- Il Gramm Leach-Bliley Act (GLBA) istruisce le istituzioni finanziarie sulla gestione delle informazioni private.
- Il Fair Credit Reporting Act(FCRA) definisce le modalità con cui gli enti possono raccogliere e utilizzare le informazioni sul credito.
Leggi canadesi sulla privacy dei dati
In Canada, due leggi principali sulla privacy dei dati dettano le modalità di raccolta, trattamento e utilizzo delle informazioni personali da parte degli enti:
- Legge sulla protezione delle informazioni personali e dei documenti elettronici(PIPEDA)
- Legge del Quebec 25
Il PIPEDA copre porzioni specifiche del Canada, esentando le aree in cui le leggi provinciali lo sostituiscono, e utilizza i FIPP come base per i suoi dieci principi di correttezza informativa.
La Lawe 25 del Quebec riguarda i dati personali delle persone in Quebec, garantendo loro il diritto di accedere e correggere le proprie informazioni e delineando i requisiti della politica sulla privacy.
Quali sono i vantaggi dell'allineamento alle leggi sulla privacy dei dati?
l'allineamento con le leggi sulla privacy dei dati porta diversi vantaggi alle aziende.
Eviterete di essere multati o di ricevere sanzioni per aver violato la legge e non dovrete affrontare il contraccolpo pubblico e la cattiva stampa che di solito segue una multa massiccia per la privacy dei dati.
Concentrarsi sulla privacy dei dati aiuta anche la vostra azienda a costruire e mantenere la fiducia dei clienti. Dimostrando di essere un'azienda onesta e attenta alla privacy, i clienti sono più propensi a fidarsi della gestione dei loro dati personali.
Limiterete i rischi di cybersecurity, perché la formazione del vostro team e la messa in atto di procedure che utilizzano le migliori pratiche in materia di privacy dei dati vi preparano meglio a prevenire e rispondere agli attacchi informatici.
Infine, aiuta l'azienda ad adattarsi più facilmente alle nuove tecnologie.
Incoraggiare una consapevolezza a livello aziendale su come proteggere al meglio i dati personali degli utenti significa che la vostra azienda può implementare nuove tecnologie senza compromettere i dati degli utenti.
Quali sono alcuni esempi di rischi per la privacy dei dati?
Alcuni dei problemi e dei rischi più comuni per la privacy dei dati che aziende e consumatori si trovano ad affrontare sono gli incidenti di cybersecurity, gli accessi non autorizzati o le violazioni dei dati, la cancellazione o la perdita di informazioni.
Alcuni esempi di potenziali rischi per la privacy dei dati sono:
Come possono le aziende proteggere la privacy degli utenti?
Tra i modi migliori con cui le aziende possono proteggere la privacy degli utenti vi sono la formazione dei dipendenti, l'implementazione di procedure interne corrette e un budget adeguato per la sicurezza.
Raccomandiamo di implementare le seguenti misure di sicurezza ogni volta che è opportuno per la vostra azienda:
- Implementate l'autenticazione a più fattori per l'accesso agli account importanti, come i profili contenenti categorie di dati sensibili.
- Utilizzate password forti e complesse all'interno per i dipendenti e all'esterno se gli utenti possono creare account sulla vostra piattaforma.
- Mappate i dati raccolti per sapere dove sono conservati, le misure di sicurezza in atto, chi può accedervi e perché la vostra azienda li utilizza.
- Raccogliete ed elaborate solo i dati personali necessari per gli scopi che avete presentato ai vostri utenti e non conservateli più a lungo del necessario.
- Chiedete alle entità terze con cui lavorate di seguire lo stesso livello di protezione dei dati della vostra azienda.
- Disponete di un metodo di backup per il salvataggio e il ripristino dei dati e testatelo regolarmente.
- Utilizzare tecniche di sicurezza come la crittografia e l'anonimizzazione dei dati.
In che modo Termly aiuta le aziende a proteggere la privacy degli utenti?
Termly offre generatori di policy, una gestione del consenso Platform (CMP) e altri strumenti e risorse per aiutare le aziende a dare priorità alla privacy dei dati in modo semplice, efficiente e conveniente.
Il nostro team legale e i nostri esperti in materia di privacy sono responsabili di tutte le nostre soluzioni, costruite per soddisfare i requisiti delle leggi sulla privacy dei dati come il GDPR, il CCPA, il PIPEDA e altre ancora.
Inoltre, aggiorniamo regolarmente i nostri strumenti per tenere conto delle nuove normative sulla privacy.
Potete configurare il nostro CMP per presentare agli utenti un banner di consenso con le impostazioni di opt-in o opt-out appropriate in base alle leggi regionali applicabili.
Memorizzeremo in modo sicuro un registro delle scelte di consenso dei vostri utenti, a cui potrete accedere direttamente nella vostra Termly Dashboard.
Ne vedete un esempio qui sotto.
Potete anche utilizzare il nostro generatore di informativa sulla privacy per personalizzare una politica in linea con le diverse leggi sulla privacy.
Il sistema pone domande semplici e basilari sulle attività di trattamento dei dati della vostra azienda, eliminando tutti i problemi e le congetture.
Guardate come appare nella schermata qui sotto.
Come possono gli utenti proteggere la loro privacy online?
I consumatori informati sulla privacy dei dati sono meglio attrezzati per mantenere al sicuro le loro informazioni personali durante la navigazione in Internet.
Gli utenti possono proteggere la propria privacy online adottando le seguenti misure:
- Utilizzate password complesse e diverse per i vostri vari account e cambiatele regolarmente.
- Impostate il Controllo globale della privacy sul vostro browser preferito.
- Utilizzate strumenti anti-malware, eseguite spesso scansioni e teneteli aggiornati.
- Familiarizzare con i reati comuni di cybersecurity e con le tecniche per evitare le truffe.
- Non fate clic su e-mail o link di testo non sicuri.
- Utilizzate l'autenticazione a più fattori e i login biometrici, se disponibili.
- Non fornite più informazioni personali del necessario.
- Utilizzate solo siti web, app e piattaforme affidabili e fidate.
- Conoscere i propri diritti alla privacy e le leggi che li tutelano.
Riassunto
La privacy dei dati dovrebbe essere una priorità assoluta per tutte le aziende che raccolgono, elaborano e utilizzano le informazioni personali dei consumatori.
Le aziende traggono vantaggio dalla raccolta dei dati personali degli utenti e, per continuare a utilizzarli in modo sostenibile, devono tenerli lontani dalle mani di malintenzionati e utilizzarli solo in modi responsabili, sicuri e conformi alla legge.
Date priorità alla privacy dei dati con facilità sfruttando le soluzioni per la privacy dei dati, i generatori di policy e le risorse offerte da Termly e unitevi ai milioni di aziende che rendono Internet un luogo più sicuro per tutti noi.
