Πού οδεύουμε με τους κανονισμούς περί απορρήτου δεδομένων;

Με 65% του παγκόσμιου πληθυσμού αναμένεται να καλύπτονται τα προσωπικά του δεδομένα από τους σύγχρονους κανονισμούς περί απορρήτου έως το 2023, ο σεβασμός του απορρήτου των δεδομένων δεν ήταν ποτέ πιο κρίσιμος. Για παράδειγμα, η εισαγωγή του ομοσπονδιακού Αμερικανικός νόμος περί απορρήτου και προστασίας δεδομένων (ADPPA), μαζί με την πρόσφατη ψήφιση ενός συνονθύλευμα νόμων περί απορρήτου σε κρατικό επίπεδο, έχει κάνει το σημερινό τοπίο της ιδιωτικής ζωής των ΗΠΑ όλο και πιο περίπλοκο. Αυτό έχει ως αποτέλεσμα προκλήσεις για τους οργανισμούς, τόσο στη διαχείριση των εκρηκτικών όγκων δεδομένων όσο και στην κατανόηση του τρόπου με τον οποίο ισχύουν γι' αυτούς συγκεκριμένοι κανονισμοί περί απορρήτου δεδομένων.

Καθώς οι επιχειρήσεις όλων των μεγεθών προσπαθούν να παραμείνουν στην κορυφή των διαρκώς μεταβαλλόμενων νόμων περί απορρήτου δεδομένων και να παρακολουθούν προληπτικά τους σχετικούς κανόνες, θα πρέπει επίσης να λαμβάνουν τα απαραίτητα μέτρα για να χαρτογραφήσουν πού ζουν τα δεδομένα καταναλωτών και απασχόλησης και τους πιθανούς κινδύνους για αυτά τα δεδομένα. Ενισχύοντας την άμυνα στον κυβερνοχώρο, οι οργανισμοί μπορούν να προετοιμαστούν καλύτερα για τους κανονισμούς περί απορρήτου δεδομένων, τώρα και στο μέλλον.

Ας θυμηθούμε γιατί αυτό έχει γίνει τόσο ζωτικής σημασίας. Πρώτον, οι καταναλωτές και οι εργαζόμενοι είναι πιο ενημερωμένοι από ποτέ για τα προσωπικά δικαιώματα και τον τρόπο με τον οποίο ισχύουν οι κανονισμοί περί απορρήτου δεδομένων. Πρόκειται για μια σημαντική και θετική εξέλιξη, λαμβάνοντας υπόψη τη δραματική αύξηση του κίνδυνος προστίμων και δικαστικών διαφορών για μη συμμόρφωση — ένα από τα θεμέλια που είναι απαραίτητα για την προστασία των ατομικών δικαιωμάτων.

Η σύγκλιση των προσωπικών πληροφοριών (PII) και των προστατευμένων πληροφοριών υγείας (PHI) αντιπροσωπεύει επίσης κινδύνους δεδομένων. Για παράδειγμα, οι πληροφορίες πληρωμής από μια ασφαλιστική απαίτηση, μαζί με μια διεύθυνση email και άλλα ψηφιακά ψίχουλα που βρίσκονται στο Διαδίκτυο, μπορούν να χρησιμοποιηθούν για την κλοπή ταυτοτήτων ή για την εξαγωγή δεδομένων. Επιπλέον, η υιοθέτηση και η μακροπρόθεσμη αποδοχή υβριδικών μοντέλων εργασίας μπορεί να δημιουργήσει προκλήσεις. Ορισμένοι οργανισμοί θέτουν στους υπαλλήλους τους πολύ εστιασμένες ερωτήσεις σχετικά με συμπεριφορές και ρυθμίσεις εργασίας από το σπίτι για τη μέτρηση της παραγωγικότητας. Ανάλογα με τις συγκεκριμένες ερωτήσεις, θα μπορούσαν να υπάρξουν περαιτέρω επιπτώσεις στο απόρρητο.

Τοπίο σύγχυσης

Δεδομένων των τεράστιων ποικιλιών και δικαιοδοσιών των ισχυόντων κανονισμών προστασίας προσωπικών δεδομένων και προστασίας, μπορεί να υπάρξει κάποια σύγχυση. Για παράδειγμα, οι αμερικανικές εταιρείες που βρίσκονται στη Βόρεια Ντακότα και ασκούν επιχειρηματική δραστηριότητα στο εσωτερικό μπορεί να είναι κάπως λιγότερο απασχολημένες με κανόνες που ισχύουν στο εξωτερικό. Αντίθετα, για οργανισμούς των ΗΠΑ που προσφέρουν αγαθά και υπηρεσίες στο Ηνωμένο Βασίλειο ή την ΕΕ, ενδέχεται να ισχύουν κανονισμοί όπως ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) — μαζί με την πιθανότητα κυρώσεων σε περίπτωση παράβασης τους.

Επιπλέον, σε ορισμένους οργανισμούς οι προκαταλήψεις που σχετίζονται με το μέγεθος της εταιρείας θα μπορούσαν να προκαλέσουν ζητήματα συμμόρφωσης ή κανονιστικών θεμάτων, όπως η πεποίθηση ότι μια εταιρεία είναι πολύ μικρή για να ισχύουν οι κανονισμοί περί απορρήτου δεδομένων. Αν και είναι αλήθεια ότι οι περισσότεροι από τους νεότερους κανονισμούς επικεντρώνονται σε εταιρείες συγκεκριμένου μεγέθους, τα πραγματικά κριτήρια μεγέθους μπορεί να σχετίζονται με μια σειρά παραγόντων, όπως ο αριθμός των εργαζομένων ή τα ετήσια έσοδα. Το αν ισχύουν ή όχι οι κανονισμοί περί απορρήτου δεδομένων μπορεί επίσης να εξαρτάται από τον όγκο των πληροφοριών καταναλωτών που διαχειρίζεται ένας οργανισμός.

Το θέμα είναι ότι κάθε σύνολο κανονισμών έχει αποχρώσεις, γι' αυτό είναι σημαντικό να κατανοήσουμε τόσο τη συνάφεια όσο και τα όρια του καθενός. Αυτό θα πρέπει να παρακολουθείται υπό τακτική επανεξέταση, ιδιαίτερα καθώς οι οργανισμοί αναπτύσσονται και οι κανονισμοί αρχίζουν να εφαρμόζονται εκεί που δεν ίσχυαν πριν. Για παράδειγμα, υπήρξαν Πρόσφατες εξελίξεις γύρω από το νέο Πλαίσιο Προστασίας Προσωπικών Δεδομένων ΕΕ–ΗΒ, γνωστό και ως Privacy Shield 2.0, σχετικά με δραστηριότητες πληροφοριών.

Ένας καλός εμπειρικός κανόνας είναι να ακολουθείτε τις βέλτιστες πρακτικές το συντομότερο δυνατό, οπότε όταν έρθει η ανάγκη για επίσημη συμμόρφωση, όλα είναι στη θέση τους. Ο κίνδυνος να γίνει λάθος είναι σοβαρός, με τους οργανισμούς να αντιμετωπίζουν δυνητικά τεράστια πρόστιμα για μη συμμόρφωση. Αυτό δεν λέει τίποτα για τον αντίκτυπο στη φήμη της επωνυμίας όταν αποκαλύπτεται μια σοβαρή παραβίαση, συμπεριλαμβανομένης της απώλειας της εμπιστοσύνης των καταναλωτών, των εργαζομένων ή των επενδυτών, όπου οι επιπτώσεις μπορεί να είναι παρατεταμένες και οδυνηρές.

Ώρα για ομοσπονδιακούς νόμους;

Νέοι νόμοι περί απορρήτου δεδομένων προτείνονται σε τακτική βάση. Υπάρχουν πέντε πολιτείες των ΗΠΑ που πρόκειται να θέσουν σε ισχύ βασικούς κανονισμούς το 2023: Καλιφόρνια, Βιρτζίνια, Κολοράντο, Κονέκτικατ και Γιούτα. Με το 10% των πολιτειών των ΗΠΑ να καλύπτονται από τη νομοθεσία περί απορρήτου δεδομένων μέχρι το τέλος του επόμενου έτους, είναι σαφές ότι ένας ομοσπονδιακός νόμος θα ήταν χρήσιμος.

Ειδικότερα, η ομοσπονδιακή νομοθεσία θα μπορούσε να διαδραματίσει κρίσιμο ρόλο στην ευθυγράμμιση των ΗΠΑ με άλλες χώρες στο θέμα της προστασίας των δεδομένων. Θα παρέχει επίσης στους πωλητές και τους χρήστες την απαραίτητη σαφήνεια σχετικά με τον τρόπο χρήσης, αποθήκευσης και διαχείρισης ευαίσθητων δεδομένων. Αυτό από μόνο του θα βοηθούσε πολύ στην εξάλειψη της εκτεταμένης σύγχυσης που αφθονεί λόγω του υπάρχοντος συνονθύλευμα των ρυθμίσεων. Ενώ ο ακριβής χρόνος της ομοσπονδιακής νομοθεσίας όπως η προτεινόμενη ADPPA είναι ασαφής, δεν είναι θέμα αν, αλλά πότε.

Συνολικά, τα δεδομένα και οι νόμοι που διέπουν την προστασία τους υπάρχουν σε ένα ταχέως εξελισσόμενο ρυθμιστικό οικοσύστημα. Περαιτέρω αλλαγές - τόσο σε εγχώριο όσο και σε διεθνές επίπεδο - είναι αναπόφευκτη. Ως εκ τούτου, οι οργανισμοί πρέπει να επικεντρωθούν στις βραχυπρόθεσμες και μακροπρόθεσμες ευθύνες του χειρισμού και της διαφύλαξης δεδομένων. Δεν είναι απλώς το σωστό να κάνουμε ηθικά και ηθικά, αντιπροσωπεύει επίσης τη σωστή λήψη αποφάσεων για την υγεία της επιχείρησης.