Cos'è la privacy dei dati?

In un'epoca in cui numerose aziende conservano i nostri dati personali, le normative definiscono le modalità di utilizzo, raccolta, conservazione e distribuzione di tali dati. Le normative sulla privacy dei dati mirano a proteggere i dati dei clienti dall'utilizzo non etico e dalla distribuzione a terzi. Alcune normative richiedono alle aziende di avvisare gli utenti in merito a eventuali violazioni dei dati e di mettere a disposizione dei clienti la documentazione su come i i loro dati vengono utilizzati e raccolti.

Il termine “dati personali” si riferisce a qualsiasi informazione che possa essere utilizzata per identificare un consumatore individuale o un cliente aziendale. Le informazioni comprendono nome, indirizzo, codice fiscale, dati della carta di credito, data di nascita e altri dati personali. Le aziende che raccolgono tali informazioni devono conservarle in modo etico e definire regole di autorizzazione rigorose per la condivisione dei dati con dipendenti, fornitori, appaltatori e applicazioni di terzi. Le normative sulla privacy dei dati dei clienti assicurano che le aziende rispettino rigorosamente le regole definite quando raccolgono e condividono le informazioni private dei loro clienti, per non incorrere in pesanti sanzioni in caso di violazioni.

La protezione dei dati degli utenti da furti e abusi contribuisce a ridurre il furto di identità e le attività fraudolente. La privacy dei dati inoltre fornisce agli utenti le informazioni sul modo in cui i dati verranno condivisi e raccolti, al fine di decidere con cognizione di causa se condividere o meno le proprie informazioni con una determinata azienda. Alcune normative di conformità, come il GDPR (Regolamento Generale sulla Protezione dei Dati), richiedono alle aziende di rimuovere i dati dal sistema se un consumatore lo richiede.

La sicurezza e la privacy dei dati si integrano a vicenda per proteggere le informazioni dei clienti. Per garantire tale protezione, è necessario stabilire gli strumenti e le procedure di autorizzazione per l’accesso a questi dati. La privacy dei dati identifica i dati particolarmente importanti e il motivo per cui tali dati sono sensibili. Senza la privacy dei dati, le aziende potrebbero vendere a scopo di lucro i dati a una terza parte, a prescindere dalla persona che li riceve o dal consenso dell'interessato. In base alle normative di conformità, è responsabilità delle aziende garantire che gli utenti abbiano i diritti legali sulle proprie informazioni e che possano esercitare un certo controllo sul modo in cui una terza parte può utilizzarle.

La privacy e la sicurezza dei dati, benché complementari, non hanno gli stessi obiettivi. Per convincere un cliente a inviare i dati a un'azienda è necessario instaurare un rapporto di fiducia. Per preservare tale fiducia, le aziende devono prendere sul serio la privacy dei dati e farne una priorità per il servizio clienti e la gestione dei dati. In seguito a una violazione dei dati, uno dei principali effetti residui è la perdita della fiducia, che può produrre a perdite di fatturato poiché i clienti si rivolgono a un fornitore diverso oppure smettono di acquistare prodotti dall'azienda.

La sicurezza dei dati comprende procedure, strumenti, software, autorizzazioni, verifiche e monitoraggio delle informazioni degli utenti. La privacy dei dati è un concetto, mentre la sicurezza dei dati coinvolge le azioni usate per preservare la privacy. Le aziende preservano la privacy delle proprie strategie di sicurezza dei dati come ulteriore livello di difesa contro i criminali informatici, mentre la privacy dei dati presume un certo livello di trasparenza. Per garantire la privacy dei dati, questi devono essere protetti. Per contro, se un’azienda garantisce la sicurezza dei dati non necessariamente si preoccupa della privacy dei dati.

Un altro elemento comune a privacy e sicurezza è la conformità. Le normative di conformità spesso determinano il modo in cui le aziende implementano la loro strategia di sicurezza dei dati. Per esempio, le normative di conformità come HIPAA (Lealtà Insurance Portabilità ad Raccontabilità Acta) richiedono la creazione di tracce di verifica per ogni richiesta di accesso ai dati privati degli utenti. La violazione di questo obbligo può portare a pesanti sanzioni. Il GDPR impone alle aziende di dotarsi di strumenti per rimuovere i dati dal proprio sistema in caso di richiesta da parte dell’utente.

I diritti degli utenti sulla protezione dei dati sono determinati dal Paese in cui risiede il consumatore. Per esempio, il Regolamento Generale sulla Protezione dei Dati (GDPR) è una normativa dell'Unione Europea (UE) entrata in vigore nel 2018. La Legge Californiana sulla Riservatezza dei Consumatori (California Consumerà Privacy Acta, CCPA) del 2020 è analoga al GDPR, ma regola specificamente il modo in cui le aziende conservano e condividono i dati dei residenti in California. La definizione delle norme di conformità che sovrintendono le aziende è fondamentale per comprendere i diritti di protezione dei dati. Alcune normative di conformità dipendono dal tipo di dati conservati. Per esempio, la legge HIPAA (Lealtà Insurance Portabilità ad Raccontabilità Acta) definisce i diritti di protezione dei dati dei pazienti e fornisce a operatori sanitari, ospedali e qualsiasi altra organizzazione che conserva e raccoglie le informazioni dei pazienti indicazioni e standard per la sicurezza informatica per il settore della sanità.

Benché i diritti di protezione dei dati differiscano in base al luogo e alle normative di conformità che sovrintendono alla sicurezza, tutte le leggi sulla privacy dei dati perseguono obiettivi analoghi, ad esempio:

• Consenso: gli utenti devono dare il proprio consenso prima che le aziende possano distribuire, comunicare a terzi o condividere le loro informazioni.
• Obblighi di legge: regole e normative che definiscono le ripercussioni e i requisiti legali delle aziende che gestiscono i dati, stabilite da leggi regionali e nazionali.
• Esercizio dei diritti: gli utenti dispongono di modi prestabiliti per esercitare i propri diritti. Per esempio, devono avere l'opzione di far rimuovere i dati personali attraverso i canali di comunicazione specificati.
• Interessi: la priorità principale per la privacy dei dati è l'interesse del consumatore, che l'azienda ha la responsabilità di preservare.

La privacy dei dati non è regolamentata da una sola legge, ma da una serie di leggi e quadri normativi che dipendono dal tipo di dati conservati (in alcuni casi) e dall’ubicazione geografica dell’azienda. Alcune delle leggi più comuni sulla privacy dei dati includono:

• Consumer Privacy Act (CCPA) della California: il CCPA, entrato in vigore il 1° gennaio 2020, regola il modo in cui le aziende gestiscono i dati dei residenti in California. I residenti in California hanno il diritto di conoscere le modalità di raccolta usate dalle aziende, nonché di accedere ai dati e di farli rimuovere dai sistemi aziendali.
• Health Insurance Portability and Accountability Act (HIPAA): la legge federale HIPAA definisce il modo in cui le aziende conservano, proteggono, condividono, trasferiscono e sottopongono a verifica le informazioni dei pazienti. Riguarda principalmente i professionisti della della sanità e gli ospedali, ma si applica anche ai controlli di sicurezza delle imprese di ecommerce e di altre aziende che conservano le informazioni dei pazienti.
• Children’s Online Privacy Protection Act (COPPA): la COPPA, entrata in vigore nel 2000, definisce il modo in cui le imprese raccolgono e condividono le informazioni relative ai minori. Le aziende che gestiscono i dati dei minori di 12 anni devono proteggerne i nomi virtuali, gli indirizzi email, i nickname, le fotografie, i file audio e le coordinate geografiche.
• PCI-DSS: qualsiasi esercente o azienda che conservi i dati finanziari e delle carte di credito dei consumatori deve rispettare le normative PCI-DSS. Questo standard di conformità garantisce la protezione dei dati di pagamento degli utenti per impedire le frodi e il furto di identità. Aziende di ogni dimensione, compresi i negozi online, devono rispettare le normative PCI-DSS per la conservazione dei dati finanziari dei consumatori.

A parte la CCPA, le leggi sulla riservatezza dei dati menzionate sono federali, mentre altre leggi sono promulgate dai singoli Stati. Diversi stati degli stati Uniti dispongono di proprie normative che sovrintendono al modo in cui le imprese statunitensi conservano i dati dei residenti nel rispettivo Stato. È il caso di California, New York, Maryland, Massachusetts, Hawaii e Nord Dakota che hanno emanato leggi che regolamentano il modo in cui i dati dei consumatori vengono conservati e condivisi. Per esempio, il New York SHIELD Act si prefigge di migliorare la sicurezza dei dati imponendo requisiti di sicurezza informatica più rigorosi alle aziende che conservano i dati dei residenti dello Stato di New York.

Le aziende che trattano i dati di utenti stranieri devono rispettare le leggi che proteggono i residenti in Europa. Le aziende statunitensi, già interessate da due normative sulla privacy dei dati, devono conformarsi alle due seguenti normative riguardanti i dati dei residenti nell’UE:

• Legge europea sui cookie: i cookie sono dei piccoli file memorizzati sul dispositivo di un utente per registrare le informazioni relative a un sito web. Tali informazioni potrebbero essere inviate a delle entità terze oppure essere divulgate nel caso di furto del dispositivo stesso. La legge sui cookie prescrive il consenso dell'utente prima che un sito web possa memorizzare un cookie nel dispositivo dell'utente stesso.
• Regolamento Generale sulla Protezione dei Dati (GDPR): il GDPR è una delle leggi più severe in materia di privacy dei dati che governano i dati dei residenti nell’UE. Le aziende che violano il GDPR possono incorrere in multe milionarie e sanzioni. Il GDPR sovrintende la privacy e sicurezza dei dati, la responsabilità delle aziende e le sanzioni in caso di violazioni. Le aziende che conservano i dati dei consumatori della UE devono assicurarsi di rendere pubblico il modo in cui i dati degli utenti vengono raccolti, conservati e condivisi e devono offrire agli utenti un modo facile per far rimuovere i dati dai sistemi aziendali.