In questa guida descrivo alcune delle violazioni della privacy dei dati più comuni commesse dalle aziende e fornisco semplici consigli su come evitare di commettere gli stessi errori.
È importante che le aziende siano a conoscenza di queste informazioni perché potrebbero essere soggette alle leggi sulla privacy dei dati, che prevedono sanzioni severe in caso di violazione delle norme, consapevole o inconsapevole.
Continua a leggere per saperne di più su queste violazioni comuni, perché si verificano e cosa puoi fare per evitarle. Alla fine, scoprirai come Termly aiutarti a semplificare ulteriormente la conformità alla normativa sulla privacy dei dati della tua azienda.
Le leggi sulla privacy dei dati hanno un impatto sulla tua attività?
Se raccogli dati personali dai tuoi consumatori, è molto probabile che le leggi sulla privacy dei dati abbiano un impatto sulla tua attività.
Ogni legge sulla privacy dei dati è diversa, ma può essere applicabile a te in base ai seguenti fattori:
- Dove si trova la vostra azienda,
- Dove si trovano i tuoi consumatori,
- Quanti dati personali raccogli,
- Il tipo di dati personali raccolti (ad esempio, categorie speciali di dati quali dati personali sensibili, dati relativi a minori, dati medici, ecc.).
In alcuni casi, ci sono ulteriori considerazioni da fare, come il tuo reddito lordo annuo e la quantità di dati che condividi o vendi.
Ad esempio, il GDPR una soglia molto ampia, che interessa entità piccole e grandi in tutto il mondo, poiché si applica a tutte le entità nell'UE/SEE e a chiunque al di fuori dell'UE/SEE che:
- Offre beni o servizi nella regione e
- Monitora i comportamenti online delle persone nell'UE/SEE.
Analogamente, il CalOPPA, la legge dello Stato della California che regola i contenuti delle politiche sulla privacy, si applica a qualsiasi sito web con visitatori provenienti dallo Stato della California.
Il CCPA, invece, prende in considerazione anche altri fattori, come il fatturato annuo di un'azienda e la quantità di dati personali raccolti, sebbene sia anch'esso una legge a livello statale della California (e la legge sulla privacy più severa finora in vigore negli Stati Uniti).
Queste variazioni delle soglie sono uno dei motivi per cui stare al passo con tutti i diversi requisiti previsti dalle singole leggi applicabili può sembrare un lavoro a tempo pieno.
Determinare quali seguire può sembrare un ostacolo confuso per molte aziende.
Quali sono le conseguenze della violazione delle leggi sulla privacy dei dati?
Le leggi sulla privacy dei dati delineano diversi obblighi che le aziende devono rispettare, pena l'applicazione di sanzioni da parte dell'autorità di controllo in caso di violazione di tali norme.
La sanzione dipende dalla legge specifica, ma potrebbe includere multe, la cessazione del trattamento dei dati, possibili sanzioni penali, danni alla reputazione del marchio e perdita della fiducia dei consumatori.
La tabella seguente elenca le principali leggi sulla privacy e le sanzioni previste in caso di violazione:
| Legge | Pena massima | Autorità di controllo | Fonte ufficiale |
| GDPR | 20 milioni di euro o il 4% del fatturato annuo globale | Autorità garanti della protezione dei dati (AGPD) | Articolo 83 GDPR |
| LGPD | 2% delle entrate brasiliane, con un limite massimo di 50 milioni di real brasiliani per violazione | ANPD (Autorità nazionale per la protezione dei dati) | Testo ufficiale della LGPD |
| CCPA | 2.500 dollari per ogni violazione (non intenzionale), 7.500 dollari per ogni violazione (intenzionale/minori) | Procuratore generale della California | Codice civile della California §1798.155 |
| Legge sulla privacy del Colorado | Fino a 20.000 dollari per ogni violazione | Procuratore generale del Colorado e procuratori distrettuali | Colo. Rev. Stat. §§6-1-1301–1314 |
| Legge sulla privacy dei dati del Connecticut | Fino a 5.000 dollari per violazione intenzionale | Procuratore generale del Connecticut | Codice Generale del Connecticut §42-515 e seguenti. |
| Virginia CDPA | Fino a 7.500 dollari per violazione | Procuratore generale della Virginia | Codice della Virginia, Capitolo 53 |
| PIPEDA | Fino a 100.000 CAD per ogni violazione | Ufficio del Commissario per la privacy e Corte federale | Testo completo della PIPEDA |
| Legge sulla privacy in Australia del 1988 | Fino a 50 milioni di dollari australiani o il 30% del fatturato | OAIC (Ufficio del Commissario australiano per l'informazione) | Legge sulla privacy 1988 |
| Il POPIA del Sudafrica | Fino a 10 milioni di ZAR o 10 anni di reclusione | Autorità di regolamentazione delle informazioni | Testo ufficiale del POPIA |
Quali sono le violazioni più comuni della privacy dei dati?
Ora che abbiamo visto quali leggi potrebbero avere un impatto sulla tua attività e perché è importante seguire le regole da esse stabilite, diamo un'occhiata alle violazioni della privacy dei dati più comuni commesse dalle aziende, in modo che tu possa evitarle più facilmente.
1. Base giuridica insufficiente per il trattamento dei dati
Secondo il GDPR Tracker, per le entità soggette al GDPR, la violazione più comune è rappresentata da una "base giuridica insufficiente per il trattamento dei dati".
Con 785 multe per un totale di circa 3 miliardi di euro (3,5 miliardi di dollari), è la violazione più grave sia per importo che per numero di multe.
Perché succede questo?
Ai sensi del GDPR, esistono sei basi giuridiche per il trattamento dei dati e spetta all'azienda dimostrare adeguatamente che il proprio ragionamento rientra nelle linee guida specifiche.
Di solito, queste informazioni vengono inserite nell'informativa sulla privacy (o nella nota informativa sulla privacy) delle entità.
Se tale informazione non è presente nella notifica, o se l'azienda non è in grado di dimostrare adeguatamente la validità della base giuridica, potrebbe essere soggetta a sanzioni per tale violazione.
Come può evitarlo la mia azienda?
Per evitare di commettere lo stesso errore, assicurati di disporre di una base giuridica valida per ogni tipo di dati raccolti:
- Consenso raccolto dall'interessato
- Obbligo contrattuale
- Obbligo legale
- Interessi vitali dell'individuo
- Compiti/interesse pubblico
- Interesse legittimo
Sviluppa anche un modo valido per dimostrare che la base giuridica è adeguata al tipo di dati che stai raccogliendo e che è conforme alle norme delineate dal Regolamento.
Ad esempio, se il consenso è la tua base giuridica, devi seguire tutte le regole e gli obblighi specifici GDPRin materia di consenso.
2. Adempimento insufficiente dei diritti degli interessati
Secondo il GDPR Tracker, il numero totale delle multe ricevute perché le aziende non hanno rispettato in modo adeguato i diritti degli interessati ammonta attualmente a 103 milioni di euro (120 milioni di dollari).
Si tratta di un'altra violazione comune, poiché tutte le leggi sulla privacy obbligano le aziende a trovare il modo di ricevere e rispondere alle richieste degli individui di esercitare i propri diritti.
Perché succede questo?
Le leggi sulla privacy impongono alle aziende di rispondere alle richieste dei consumatori di esercitare i propri diritti entro un determinato periodo di tempo.
Se un'azienda non risponde in tempo (o non risponde affatto), potrebbe ricevere una sanzione per questa violazione.
Ciò può verificarsi anche se l'azienda rifiuta ingiustificatamente di soddisfare la richiesta dell'individuo, non è in grado di soddisfarla adeguatamente o non dispone di un modo per verificare correttamente l'identità della persona che presenta la richiesta.
Come può evitarlo la mia azienda?
Il modo migliore per evitare questa violazione è assicurarsi che la propria azienda disponga di una procedura o di un flusso di lavoro DSAR.
È inoltre utile fornire agli utenti canali chiari per l'invio di tali richieste, ad esempio aggiungendo un modulo DSAR al proprio sito web e creando un indirizzo e-mail chiaramente identificabile dedicato esclusivamente a questo tipo di richieste.
Semplificando il flusso di lavoro DSAR in questo modo, sarà più facile identificare, gestire e rispondere a ciascuna richiesta in modo tempestivo e conforme alla legge.
3. consenso ai cookie inadeguate
Le leggi sulla privacy influiscono sulle modalità e sui tempi di utilizzo dei cookie e di altri strumenti di tracciamento da parte dei siti web. È necessario ottenere un consenso adeguato per questi cookie, altrimenti si rischia di incorrere in sanzioni.
Perché succede questo?
Questa violazione si verifica comunemente quando i siti web presentano agli utenti banner sui cookie inadeguati che potrebbero non contenere caratteristiche fondamentali, tra cui:
- Un pulsante "Declino
- Un pulsante "Preferenze"
- Un link attivo a una politica accurata sui cookie
- Un link attivo a un'accurata informativa sulla privacy
Le norme sul consenso variano a seconda delle leggi applicabili al consumatore che visualizza il banner di consenso, quindi cerca di utilizzare strumenti che dispongono di funzioni quali le impostazioni di consenso regionali.
Come può evitarlo la mia azienda?
Per evitare di commettere questo errore, utilizza una piattaforma affidabile per la gestione del consenso platform con un banner di consenso che puoi configurare in modo da allinearti a tutte le leggi che hanno un impatto sulla tua attività e sui tuoi consumatori.
Assicurati anche di eseguire regolarmente scansioni del sito web per individuare, classificare ed etichettare tutti i cookie che il tuo sito web desidera inserire nei browser degli utenti.
Presentate loro tutti questi dettagli in una politica sui cookie collegata al vostro banner; in questo modo saprete che saranno pienamente informati, il che vi aiuterà a rimanere in linea con le leggi sulla privacy.
4. Ignorare i segnali di rinuncia dell'utente
Gli utenti Internet possono impostare segnali di preferenza di opt-out sui propri browser o utilizzare estensioni del browser.
Alcune leggi sulla privacy considerano questa una forma valida di attuazione del diritto dell'individuo di "rinunciare" al trattamento dei dati.
Se il tuo sito web ignora questi segnali, potresti essere multato per violazione di leggi come il CCPA.
Perché succede questo?
Questa violazione può verificarsi quando i siti web non dispongono delle competenze tecniche, del budget o del tempo necessari per consentire al proprio sito di rispettare i meccanismi di opt-out universali.
In alcuni casi, siti web malintenzionati potrebbero fuorviare intenzionalmente i visitatori. L'intenzionalità in questo senso spesso porta a violazioni più significative delle leggi sulla privacy.
Come può evitarlo la mia azienda?
Per evitare di essere penalizzati per aver violato questa legge, prenditi il tempo necessario per implementare le misure tecniche adeguate sul tuo sito.
Assicurarsi che sia in grado di rilevare questi segnali di rinuncia e di adeguarsi di conseguenza, compresa la disattivazione di tutti i cookie pubblicitari.
Potrebbe rilevare il segnale nelle intestazioni HTTP o in JavaScript.
5. Dettagli vaghi (o mancanti!) sull'informativa sulla privacy
Le politiche sulla privacy incomplete, disoneste o non aggiornate espongono la tua azienda al rischio di essere multata per violazione delle leggi sulla privacy.
Non solo le leggi come il GDPR, il CCPA e altre richiedono l'aggiornamento delle politiche sulla privacy, ma diverse leggi stabiliscono che è illegale raccogliere dati che non sono stati adeguatamente comunicati al consumatore.
Il modo migliore per divulgare questi dettagli? In una politica sulla privacy redatta in modo adeguato ed esaustivo.
Perché succede questo?
Ciò può verificarsi quando le aziende modificano le loro pratiche in materia di privacy ma dimenticano di aggiornare la loro politica o non informano adeguatamente i propri utenti in merito alle modifiche.
Può anche accadere quando le aziende non danno priorità al rispetto delle leggi sulla privacy.
Ad esempio, alcuni potrebbero erroneamente ritenere che le leggi sulla privacy non siano rilevanti o che la loro attività sia "troppo piccola" per essere multata per violazione della legge.
Come può evitarlo la mia azienda?
Per evitare di avere una politica sulla privacy vaga, o se devi ancora crearne una per la tua piattaforma, prova a utilizzare un generatore di informativa sulla privacy come Termly.
Con il supporto del nostro team legale e dei nostri esperti in materia di privacy dei dati, abbiamo letteralmente creato questo strumento per aiutare le aziende a semplificare il processo di elaborazione delle politiche sulla privacy in linea con le leggi vigenti.
Pone semplici domande sulla tua attività e su come raccogli ed elabori i dati e include dettagli per aiutarti a creare diverse clausole come richiesto da 30 leggi sulla privacy (e il numero è in aumento!).
6. Raccolta eccessiva di dati non necessari
Tutte le leggi sulla privacy dei dati limitano la quantità di dati che le entità possono raccogliere legalmente.
I siti web che scelgono di raccogliere semplicemente quante più informazioni possibili dagli utenti solo per il gusto di farlo si espongono al rischio di essere multati (o peggio) per aver violato queste leggi.
Perché succede questo?
La raccolta eccessiva di dati si verifica comunemente quando le aziende non prendono sul serio le leggi sulla privacy o le loro conseguenze, e ciò denota una mancanza di rispetto per la privacy personale dei consumatori.
Non solo conservare grandi quantità di dati è irresponsabile dal punto di vista legale, ma espone anche le informazioni a un rischio maggiore di accesso illegale o violazione.
Come può evitarlo la mia azienda?
Per evitare questa violazione, esegui una verifica dei dati in modo da conoscere tutti i dati personali raccolti dalla tua azienda, il motivo per cui vengono raccolti e come vengono utilizzati.
Se una qualsiasi informazione non ha uno scopo chiaro e legittimo per essere raccolta e utilizzata, è opportuno interrompere il trattamento dei dati.
Chiediti sempre: raccogliere queste informazioni è necessario per la mia attività? Se la risposta è no, allora non farlo.
7. Violazioni dei dati, fughe di informazioni e accessi non autorizzati
Ultimi nella lista, ma non necessariamente meno comuni, sono le violazioni dei dati, le fughe di informazioni e le sanzioni pecuniarie per altre questioni relative all'accesso non autorizzato ai dati personali.
Quando i dati personali in tuo possesso vengono divulgati o violati, le leggi sulla privacy dei dati ti rendono responsabile dal punto di vista finanziario e legale.
Perché succede questo?
Le fughe e le violazioni di dati si verificano quando le aziende non proteggono adeguatamente i dati che raccolgono e archiviano.
Può anche verificarsi a causa di un errore interno, soprattutto se il tuo team non è adeguatamente formato per combattere e riconoscere i crimini informatici più comuni o le attività online non sicure.
Secondo dati recenti, gli attacchi informatici sono in aumento, rendendo questo aspetto importante dell'elaborazione dei dati che le aziende devono prendere in considerazione.
Come può evitarlo la mia azienda?
Per evitare fughe di dati non autorizzate, violazioni e attacchi informatici, prendete in considerazione l'implementazione delle seguenti best practice:
- Formate tutto il vostro team affinché sia consapevole dei crimini informatici, inclusi attacchi di phishing, spoofing, evitare di cliccare su link non sicuri e altro ancora.
- Implementare politiche rigorose in materia di password e applicare l'autenticazione a più fattori.
- Crittografa i dati sui dispositivi, così come tutti i dati di backup che hai archiviato.
- Utilizza firewall e software antivirus.
- Aggiorna regolarmente tutti i tuoi software, sistemi operativi e altri strumenti di sicurezza per evitare falle nella sicurezza.
- Limita l'accesso ai dati solo ai membri del tuo team che ne hanno effettivamente bisogno.
- Verificate sempre che i fornitori terzi adottino misure di sicurezza e protezione efficaci.
Come Termly le aziende a semplificare la conformità alla normativa sulla privacy dei dati
Con Termly tua cassetta degli attrezzi, è molto più facile evitare queste e altre violazioni comuni della privacy dei dati.
I nostri strumenti aiutano le aziende a semplificare il processo di adeguamento dei propri siti web o app alle leggi vigenti in materia di protezione dei dati.
Il generatore di informativa sulla privacy include clausole richieste da 30 leggi sulla privacy di tutto il mondo e il nostro team legale e i nostri esperti in materia di privacy dei dati lo aggiornano regolarmente per adattarlo al panorama giuridico in continua evoluzione e alle esigenze dei nostri utenti.
La nostra gestione del consenso Platform è configurabile per soddisfare i requisiti di opt-in e opt-out previsti dalle leggi in vigore in 80 regioni. Include funzionalità quali blocco automatico degli script, regole regionali in materia di consenso, registri dei consensi, un centro preferenze utente, compatibilità con la modalità di consenso di Google e altro ancora.
La parte migliore? Puoi gestire tutti questi strumenti da un'unica comoda posizione, la Termly . Inizia oggi stesso gratuitamente!
Per saperne di più su chi scrive
Scritto da Natasha Piirainen
Natasha è una Content Specialist con oltre 10 anni di esperienzaprofessionale nello sviluppo di contenutibasati sulla ricerca . Si è laureata in inglese e filosofia al Wheaton College. In Termly sioccupa di privacy dei dati e di gestione del consenso best practice gestione del consenso edè responsabile della manutenzione e dell'aggiornamento di materialecompleto sulla privacy dei dati .
Per saperne di più su chi scrive
Recensito da Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direttore di Global Privacy
