Le organizzazioni devono prepararsi agli impatti sulla privacy quest'anno

Nel 2022, abbiamo riscontrato un ampio sostegno a favore della legislazione federale sulla privacy da parte del Congresso degli Stati Uniti. Mentre il Legge americana sulla protezione della privacy dei dati (ADPPA) non ha visto la penna del presidente prima delle elezioni di metà mandato, è degno di nota il fatto che un simile disegno di legge abbia visto un voto della commissione alla Camera - approvato 53-2, con il sostegno bipartisan - e che sia l'industria che i sostenitori abbiano promosso l'approvazione. La domanda non è più se vedremo una legge federale sulla privacy, ma quando. E mentre l’ADPPA ha attirato gran parte dell’attenzione negli Stati Uniti nel 2022, l’anno ha portato anche una progressista Federal Trade Commission (FTC) che ha lanciato un’ampia iniziativa normativa, una continua crescita delle questioni relative alla privacy statale in California e oltre, e l’introduzione di un ordine esecutivo per ripristinare il programma Privacy Shield. Nel 2022, gli Stati Uniti Privacy era bollente.  

Lo scorso anno si è assistito ad una continua crescita anche in ambito internazionale. La nuova legge cinese ha iniziato a mostrare i rischi significativi di non conformità. L’India ha continuato i suoi passi parlamentari verso l’approvazione di una legge globale sulla protezione dei dati. E l’Unione Europea ha registrato un notevole impulso nell’attività di applicazione delle norme. Oggi più di 100 paesi hanno leggi nazionali sulla privacy e il campo cresce ogni giorno.

Queste tendenze continueranno e accelereranno nel 2023. Aspettatevi più leggi statali negli Stati Uniti, più azioni normative e di applicazione da parte della Federal Trade Commission, un ambiente di applicazione attivo nell’UE – casi importanti sono attesi molto presto in Irlanda – e continueranno maturità e crescita in tutto il mondo mentre i professionisti della privacy sono alle prese con la complessità e il rischio di queste leggi.

Pronostici per 2023

Il 2023 sarà un anno turbolento per quanto riguarda la privacy. Le difficoltà economiche e le perturbazioni nel settore tecnologico potrebbero dar luogo a richieste di ulteriori tutele della privacy e di un’applicazione più rigorosa. L’attività di M&A può evidenziare il fatto che le politiche aziendali sulla privacy possono essere modificate o ignorate quando gli interessi concorrenti hanno la priorità. I trasferimenti di dati continueranno a rappresentare una preoccupazione centrale, con la valutazione dell’adeguatezza dell’UE per lo Scudo per la privacy aggiornato che emergerà all’inizio del nuovo anno.

Ecco alcune tendenze chiave da tenere d’occhio:

• Budget più ristretti, ma un pool di talenti ancora più ristretto. I leader della privacy dovranno lottare con due temi concorrenti. Da un lato, i budget per la privacy, come tutte le linee di spesa delle organizzazioni, sentiranno la pressione delle forze recessive nel mercato globale. In molti casi i leader della privacy dovranno fare di più con meno. Al contrario, la carenza di talenti nel campo della privacy continuerà a peggiorare, con professionisti esperti della privacy che comandano livelli salariali più elevati e bracconaggio dei migliori talenti in tutto il campo.

• Chi è il responsabile della privacy dei dati (DPO)? Il Comitato per la protezione dei dati dell'UE ha annunciato che la nomina e il ruolo del DPO ai sensi del Regolamento generale sulla protezione dei dati (GDPR) costituiranno una priorità di applicazione condivisa in tutta l'UE per il 2023. Ora è il momento giusto per assicurarti che: (1) tu avere un DPO; (2) li hai registrati adeguatamente presso il tuo DPA; (3) siano adeguatamente formati, esperti e dotati delle risorse necessarie per il lavoro; (4) hanno indipendenza nelle loro funzioni; e (5) hanno accesso ai livelli più alti del management. Aspettatevi di più anche dalle linee guida del Comitato europeo per la protezione dei dati (EDPB). Potremmo vedere emergere aspettative riguardo a qualifiche adeguate, indipendenza e conflitti all’interno del ruolo del DPO.

• Qualcosa di vecchio, qualcosa di nuovo. Le nuove leggi assorbono gran parte della nostra attenzione nel campo della privacy, ed è giusto che sia così. L'American Data Privacy Protection Act (ADPPA), la General Data Protection Law (LGPD) del Brasile e la Personal Information Protection Law (PIPL) della Cina presentano tutte nuove complessità di conformità per i professionisti della privacy. Ma non perdere di vista il numero di leggi che vengono aggiornate, se non addirittura revisionate, in tutto il mondo. Canada, Australia, Nuova Zelanda e altri paesi hanno completato o avviato un'importante riforma delle leggi sulla privacy esistenti. Questi cambiamenti possono avere conseguenze tanto quanto una nuova legge.

• Rischio di applicazione della legge e creatività. Spesso ci concentriamo sulla dimensione monetaria di un'azione esecutiva. Ma ci sono altri strumenti di applicazione delle norme a disposizione delle autorità di regolamentazione di tutto il mondo. Tieni d’occhio l’aumento della responsabilità dei dirigenti (a volte penale!), la rimozione dei dati e gli obblighi di supervisione del consiglio di amministrazione mentre le autorità di regolamentazione cercano di cambiare il comportamento aziendale. Questi strumenti modificano senza dubbio il profilo di rischio per la privacy e possono portare l’attenzione ai massimi livelli nelle organizzazioni.