La privacy dei dati ha

Le aziende di tutto il mondo si stanno dando da fare per proteggere adeguatamente le informazioni personali (PI) dei propri clienti. Tuttavia, le nuove normative hanno di fatto spostato la definizione del termine, rendendo tutto più complicato. Con il California Consumer Privacy Act (CCPA) che entrerà in vigore a gennaio 2020, le aziende hanno un tempo limitato per gestire le informazioni sui clienti in loro possesso e come devono prendersene cura. In caso contrario, non solo rischiano di essere multati, ma anche di perdere la reputazione del marchio e la fiducia dei consumatori, che sono incommensurabili.

La California è stato uno dei primi stati a fornire un esplicito diritto alla privacy nella sua costituzione e il primo ad approvare un legge sulla notifica di violazione dei dati, quindi non è stato sorprendente quando i legislatori statali nel giugno 2018 hanno approvato il CCPA, la prima legge nazionale sulla privacy dei dati in tutto lo stato. Il CCPA non è solo una legge statale: diventerà lo standard nazionale de facto per il prossimo futuro, perché l'enorme numero di californiani significa che la maggior parte delle aziende del paese dovrà conformarsi. I requisiti non sono insignificanti. Le aziende dovranno rivelare ai clienti della California quali dati sono stati raccolti, cancellarli e smettere di venderli se il cliente lo richiede. Le multe potrebbero facilmente sommarsi: $ 7,500 per violazione se intenzionale, $ 2,500 per chi non ha intenzione e $ 750 per utente interessato in danni civili.

Evoluzione delle informazioni personali

In passato il significato delle informazioni di identificazione personale (PII) da un punto di vista legale era chiaro: dati che possono distinguere l'identità di un individuo. Al contrario, lo standard per il semplice PI era inferiore perché ce n'era molto di più; se PI è una galassia, PII era il sistema solare. Tuttavia, il CCPA e il regolamento generale sulla protezione dei dati dell'UE GDPR, entrati in vigore nel 2018, hanno spostato la definizione per includere ulteriori tipi di dati che una volta erano piuttosto benigni. Il CCPA sancisce i diritti dei dati personali per i consumatori, un concetto che il GDPR ha introdotto per primo.

Il GDPR afferma: "I dati personali dovrebbero essere interpretati nel modo più ampio possibile", che include tutti i dati associati a un individuo, che chiamiamo informazioni "contestuali". Ciò include qualsiasi informazione che possa identificare "direttamente o indirettamente" una persona, inclusi nomi reali e pseudonimi, numeri di identificazione, data di nascita, dati sulla posizione, indirizzi di rete, ID del dispositivo e persino caratteristiche che descrivono il "fisico, fisiologico, genetico, identità mentale, commerciale, culturale o sociale di una persona”. Questo plausibilmente potrebbe includere qualsiasi informazione su una persona che non sia resa anonima.

Con il CCPA, gli Stati Uniti stanno recuperando terreno rispetto al GDPR e allo stesso modo stanno ampliando l'ambito della definizione di dati personali. Ai sensi del CCPA, le informazioni personali sono "informazioni che identificano, si riferiscono a, descrivono, possono essere associate o potrebbero essere ragionevolmente collegate, direttamente o indirettamente, a un particolare consumatore o nucleo familiare". Ciò include una serie di informazioni che in genere non sollevano bandiere rosse ma che, se combinate con altri dati, possono triangolare su un individuo specifico come dati biometrici, cronologia di navigazione, dati sull'occupazione e sull'istruzione, nonché deduzioni tratte da qualsiasi informazione pertinente creare un profilo “che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, il comportamento, gli atteggiamenti, l'intelligenza, le capacità e le attitudini del consumatore”.

Conosci le regole, conosci i dati

Questi regolamenti non sono regole della lista di controllo; richiedono grandi cambiamenti alla tecnologia e ai processi e un ripensamento di cosa sono i dati e come dovrebbero essere trattati. Le aziende devono capire quali regole si applicano a loro e come gestire i propri dati. La gestione delle informazioni è diventata un imperativo aziendale, ma la maggior parte delle aziende non dispone di una road map chiara per farlo correttamente. Ecco alcuni suggerimenti che le aziende possono seguire per assicurarsi di rispettare la lettera e lo spirito dei nuovi regolamenti.

• Scopri quali normative si applicano a te

Il panorama normativo è in continua evoluzione con l'adozione rapida di nuove regole. Ogni organizzazione deve sapere a quali normative deve conformarsi e comprendere le distinzioni tra di esse. Alcuni aspetti fondamentali condivisi da CCPA e GDPR includono l'adempimento dei diritti degli interessati e la cancellazione automatica. Ma ci saranno differenze, quindi è importante disporre di una piattaforma che consenta di gestire un ambiente eterogeneo su larga scala.

• Crea un team per la conformità alla privacy che lavori bene con gli altri