Dove stiamo andando con le normative sulla privacy dei dati?

Con 65% della popolazione globale dovrebbe avere i propri dati personali coperti dalle moderne normative sulla privacy entro il 2023, il rispetto della privacy dei dati non è mai stato così critico. Ad esempio, l'introduzione del federal Legge americana sulla privacy e sulla protezione dei dati (ADPPA), insieme al recente passaggio di un mosaico di leggi sulla privacy a livello statale, ha reso l'attuale panorama della privacy negli Stati Uniti sempre più complesso. Ciò si traduce in sfide per le organizzazioni, sia nella gestione di volumi esplosivi di dati sia nella comprensione di come si applicano loro specifiche normative sulla privacy dei dati.

Poiché le aziende di tutte le dimensioni cercano di rimanere al passo con le leggi sulla privacy dei dati in continua evoluzione e monitorare in modo proattivo le norme pertinenti, dovrebbero anche adottare le misure necessarie per mappare dove risiedono i dati sui consumatori e sull'occupazione e i potenziali rischi per tali dati. Rafforzando le difese della sicurezza informatica, le organizzazioni possono essere meglio preparate per le normative sulla privacy dei dati, ora e in futuro.

Ricordiamo perché questo è diventato così vitale. In primo luogo, consumatori e dipendenti sono più informati che mai sui diritti personali e su come le normative sulla privacy dei dati si applicano a loro. Si tratta di uno sviluppo importante e positivo, considerando il drammatico aumento del rischio di multe e contenziosi per inadempimento — uno dei fondamenti necessari per tutelare i diritti individuali.

Anche la convergenza delle informazioni di identificazione personale (PII) e delle informazioni sanitarie protette (PHI) rappresenta un rischio per i dati. Ad esempio, le informazioni di pagamento da una richiesta di risarcimento assicurativo, insieme a un indirizzo e-mail e altri breadcrumb digitali trovati su Internet, possono essere utilizzate per rubare identità o provocare l'esfiltrazione di dati. Inoltre, l'adozione e l'accettazione a lungo termine di modelli di lavoro ibridi possono creare sfide. Alcune organizzazioni pongono ai propri dipendenti domande molto mirate sui comportamenti e sulle modalità di lavoro da casa per misurare la produttività. A seconda delle domande specifiche, potrebbero esserci ulteriori implicazioni sulla privacy.

Paesaggio di confusione

Date le vaste varietà e giurisdizioni delle attuali normative sulla privacy e sulla protezione dei dati, può esserci un po' di confusione. Ad esempio, le società statunitensi con sede nel North Dakota che conducono affari a livello nazionale potrebbero essere un po' meno interessate alle norme che si applicano all'estero. Al contrario, per le organizzazioni statunitensi che offrono beni e servizi nel Regno Unito o nell'UE, potrebbero essere applicate normative come il Regolamento generale sulla protezione dei dati (GDPR) e le potenziali sanzioni in caso di violazione.

Inoltre, in alcune organizzazioni i preconcetti relativi alle dimensioni dell'azienda potrebbero causare problemi di conformità o normativi, come ritenere che un'azienda sia troppo piccola per poter applicare le normative sulla privacy dei dati. Sebbene sia vero che la maggior parte delle normative più recenti si concentra su aziende di una certa dimensione, i criteri di dimensionamento effettivi possono riguardare una serie di fattori, come il numero di dipendenti o il fatturato annuo. L'applicazione o meno delle normative sulla privacy dei dati potrebbe anche dipendere dal volume di informazioni sui consumatori gestite da un'organizzazione.

Il punto è che ogni serie di regolamenti ha delle sfumature, motivo per cui è importante comprendere sia la rilevanza che i confini di ciascuno. Questo dovrebbe essere monitorato sotto revisione regolare, in particolare man mano che le organizzazioni crescono e le normative iniziano ad applicarsi dove prima non lo facevano. Ad esempio, ci sono stati recenti sviluppi intorno al nuovo quadro UE-Regno Unito sulla privacy dei dati, noto anche come Privacy Shield 2.0, relativo alle attività di intelligence.

Una buona regola empirica è seguire le best practice il prima possibile, così quando arriva la necessità di conformità formale, tutto è a posto. Il rischio di sbagliare è serio, con le organizzazioni che potrebbero dover affrontare multe massicce per non conformità. Ciò non dice nulla dell'impatto sulla reputazione del marchio quando viene rivelata una grave violazione, inclusa la perdita di fiducia di consumatori, dipendenti o investitori, dove gli effetti possono essere prolungati e dolorosi.

Tempo di leggi federali?

Nuove leggi sulla privacy dei dati vengono proposte regolarmente. Ci sono cinque stati degli Stati Uniti che entreranno in vigore regolamenti chiave nel 2023: California, Virginia, Colorado, Connecticut e Utah. Con il 10% degli stati degli Stati Uniti che saranno coperti dalla legislazione sulla privacy dei dati entro la fine del prossimo anno, è chiaro che una legge federale sarebbe utile.

In particolare, la legislazione federale potrebbe svolgere un ruolo fondamentale nell'allineare gli Stati Uniti con altri paesi in materia di privacy dei dati. Fornirebbe inoltre a fornitori e utenti la necessaria chiarezza su come utilizzare, archiviare e gestire i dati sensibili. Questo da solo farebbe molto per chiarire la diffusa confusione che abbonda a causa dell'attuale mosaico di regolamenti. Sebbene i tempi esatti della legislazione federale come la proposta ADPPA non siano chiari, non è questione di se, ma di quando.

Nel complesso, i dati e le leggi che ne regolano la protezione esistono all'interno di un ecosistema normativo in rapida evoluzione. Ulteriori cambiamenti, sia a livello nazionale che internazionale, sono inevitabili. Pertanto, le organizzazioni devono concentrarsi sulle responsabilità a breve e lungo termine della gestione e della protezione dei dati. Non è solo la cosa giusta da fare eticamente e moralmente, ma rappresenta anche un valido processo decisionale per la salute dell'azienda.