×
Outbyte PC Repair
Outbyte Driver Updater

In che modo il GDPR sta influenzando il business e cosa aspettarsi nel 2023

2023/01/12
In che modo il GDPR sta influenzando il business e cosa aspettarsi nel 2023
  • La conformità al GDPR è un obiettivo in movimento, ma le linee guida normative stanno chiarendo le disposizioni di legge.
  • L’applicazione del GDPR è stata lenta, soprattutto per le grandi aziende tecnologiche e i big data.
  • Per tutte le aziende, in particolare le piccole imprese, la conformità alle normative sulla protezione dei dati crea fedeltà al marchio e fiducia nei clienti.
  • Questo articolo è rivolto ai proprietari di piccole imprese che desiderano saperne di più sulle normative sulla privacy dei dati.

La radicale legge sulla privacy dei dati dell’Unione europea, il regolamento generale sulla protezione dei dati (GDPR), ha costretto molte aziende a mettersi in regola prima della sua attuazione nel maggio 2018. La legge dell’UE copre i dati dei cittadini dell’UE in qualsiasi parte del mondo, il che significa che le aziende a livello globale hanno rispettare o affrontare multe fino a 10 milioni di euro o il 2 percento del loro fatturato globale annuo (o entrate) per violazione (qualunque sia il maggiore).

Ora, a quattro anni dall’implementazione del GDPR, il panorama della privacy dei dati è cambiato in modo significativo. Mentre i grandi casi contro i giganti della tecnologia attendono ancora le decisioni finali, le aziende più piccole hanno dovuto cambiare i loro comportamenti e migliorare la gestione dei dati degli utenti. In tutto il mondo sono emerse numerose altre misure di privacy e sicurezza dei dati, tra cui molte normative statali, come il California Consumer Privacy Act (CCPA) e il Virginia Consumer Data Protection Act (VCDPA).

Che aspetto ha la conformità al GDPR?

Il GDPR è una legge di 88 pagine che contiene 11 capitoli e 99 articoli, tutti destinati a migliorare e unificare le pratiche sulla privacy dei dati in relazione ai dati dei cittadini dell’UE. Non è limitato ai confini dell’UE; qualsiasi azienda che raccolga e/o elabori i dati di qualsiasi cittadino dell’UE deve rispettare il GDPR. Le aziende negli Stati Uniti che intrattengono rapporti commerciali con cittadini dell’UE sono incluse nell’ambito di applicazione della legge.

Tra le regole che il GDPR ha messo in atto per il “titolare del trattamento” e il “responsabile del trattamento” da seguire c’erano i diritti e le libertà concessi all’interessato, o a ciascun singolo utente. Questi includono preoccupazioni etiche come il diritto dell’utente di acconsentire alla raccolta dei dati, il diritto di un utente di richiedere la cancellazione dei propri dati e il diritto di un utente di accedere ai propri dati. Per rispondere in modo significativo a questi diritti, molte aziende hanno dovuto mettere in atto sistemi e processi che prima non esistevano. Dal 2018 sono stati compiuti sforzi per chiarire clausole specifiche del GDPR, ma rimangono alcune domande per le aziende che cercano di conformarsi.

Odia Kagan, partner di Fox Rothschild LLP e presidente della conformità al GDPR e della pratica internazionale sulla privacy, ha affermato che non esiste un vero progetto per la conformità al GDPR. La domanda con cui le aziende devono iniziare è: “Fondamentalmente, cosa significano effettivamente le regole per la mia attività?” La risposta può essere diversa da azienda a azienda, ha affermato Kagan.

“Abbiamo cercato di iniziare e di fare le basi per andare avanti, perché ci sono regole comuni a tutti”, ha detto. “Il GDPR non è un’istantanea nel tempo; è un affare in corso. Devi andare avanti e continuare a rivalutare; è un processo di conformità continuo. Anche le aziende che hanno svolto una discreta quantità di lavoro probabilmente hanno ancora molto da fare e mantenere”.

Il GDPR codifica gli standard per l’elaborazione e la raccolta dei dati, creando regole radicali che disciplinano l’uso dei dati dei cittadini dell’UE anche al di fuori dell’UE. In sostanza, ha affermato Kagan, ogni azienda deve iniziare con le seguenti considerazioni quando lavora per la conformità al GDPR:

  • Divulgazione estesa: le aziende devono offrire una chiara descrizione di quali dati raccolgono, perché li raccolgono e come li archiviano ed elaborano. Ciò include spiegazioni su con chi vengono condivisi i dati, per quanto tempo i dati vengono archiviati e come i dati sono protetti.
  • Controllo degli utenti: le aziende devono garantire agli utenti un maggiore controllo su ciò che accade ai loro dati. Gli utenti hanno diritto a una copia dei propri dati, se richiesto. Possono anche richiedere che i loro dati vengano cancellati o che vengano apportate modifiche a dati errati. Gli utenti hanno anche il diritto di acconsentire alla condivisione dei propri dati con una società terza per scopi diversi dall’elaborazione in outsourcing.
  • Conformità a valle: anche eventuali società terze e fornitori di servizi devono essere conformi al GDPR; in caso contrario, la società che raccoglie i dati può essere ritenuta responsabile. In altre parole, se si raccolgono i dati degli utenti ma si esternalizza l’elaborazione a un’azienda non conforme, si potrebbe rimanere agganciati per le violazioni. Ciò include la considerazione dei cookie di terze parti e il modo in cui potrebbero raccogliere e tenere traccia dei dati generali.

“La complessità aggiuntiva era che le aziende dell’UE avevano già un grande vantaggio iniziale”, ha affermato Kagan. “La direttiva sulla protezione dei dati aveva leggi nazionali di attuazione nei 28 stati dell’UE; questo fondamentalmente copriva circa l’80 percento di [le normative all’interno] del GDPR.

I successivi miglioramenti alla direttiva sulla protezione dei dati, come la direttiva ePrivacy del 2002, hanno fatto sì che l’UE sia avanti rispetto agli Stati Uniti nella legislazione sulla protezione dei dati. Le aziende statunitensi hanno dovuto affrettarsi per recuperare il ritardo durante l’implementazione del GDPR e molti clienti hanno chiesto se Kagan avesse una lista di controllo da seguire. La sua risposta è stata: “Sì, ma…” non è un programma valido per tutti. Invece, ha detto Kagan, hanno iniziato con i requisiti comuni a tutte le aziende.

Le conseguenze del mancato rispetto del GDPR

Le sanzioni per il mancato rispetto del GDPR sono potenzialmente elevate: multe fino a 10 milioni di euro o il 2% del fatturato annuo globale dell’anno precedente. Per molte aziende, ciò potrebbe equivalere a un colpo fatale. Mentre le grandi aziende come Marriott, British Airways e H&M hanno subito pesanti multe, non è chiaro se le aziende più piccole abbiano chiuso a causa dei regolamenti. Il costo del rispetto delle nuove linee guida ha comportato l’uscita di circa un terzo delle applicazioni Android, secondo uno studio del National Bureau of Economic Research . Per le aziende negli Stati Uniti e oltre, rimanere al passo con la conformità al GDPR è una priorità e una sfida continua.

Quando si tratta di garantire la conformità a qualsiasi legge radicale come il GDPR, è saggio collaborare con un avvocato o un consulente che dimostri esperienza e specializzazione in quell’area. Tuttavia, un ottimo primo passo è semplicemente leggere la legge, ha affermato Donovan Buck, vicepresidente dell’ingegneria del software presso BrandExtract.

“Se non sai da dove cominciare, la legge è davvero facile da digerire”, ha detto Buck. “È un po’ lungo, ma è scritto in termini chiari che le persone normali possono capire. E c’è un preambolo ad esso … [che] fa capire lo spirito della legge. La legge in sé non è così spaventosa. Leggi la legge; non è così male.”

Chiarire le normative GDPR

Anche per coloro che leggono la legge, il GDPR ha lasciato molte domande senza risposta prima (e anche dopo) la sua attuazione nel maggio 2018. Da allora, il Comitato europeo per la protezione dei dati, l’autorità di controllo generale che disciplina il GDPR, ha rilasciato chiarimenti e linee guida per aiutare le aziende a garantire che siano effettivamente conformi, tra cui:

  • Divulgazione chiara e trasparente: per ottenere il consenso esplicito da parte di un interessato , le aziende devono divulgare la raccolta, l’utilizzo e la condivisione dei dati con gli utenti. Ciò non significa solo includere la stampa fine da qualche parte nei termini e nelle condizioni; deve essere scritto chiaramente in un linguaggio semplice. In caso contrario, ottenere il consenso esplicito di un interessato potrebbe non essere considerato valido ai sensi del GDPR.
  • Ambito territoriale: a novembre 2019, il comitato europeo per la protezione dei dati ha rilasciato chiarimenti sulle società a cui si applica il GDPR . Le linee guida aiutano a chiarire cosa costituisce uno stabilimento o un’azienda dell’UE che si rivolge agli utenti all’interno dell’UE. Considera inoltre la necessità di un meccanismo di cooperazione internazionale per far rispettare il GDPR alle imprese al di fuori dell’UE.
  • Base giuridica del trattamento: nell’aprile 2019, il comitato europeo per la protezione dei dati ha pubblicato le linee guida per la base giuridica del trattamento dei dati personali ai sensi del GDPR. Queste linee guida chiarivano cosa costituisse la raccolta dei dati necessaria, la risoluzione dei contratti e l’applicabilità di queste regole.
  • Uso dei dati sulla posizione e degli strumenti di tracciamento dei contatti nel contesto dell’epidemia di COVID-19: nell’aprile 2020, il comitato europeo per la protezione dei dati ha dovuto rispondere ad alcune delle complicazioni in materia di privacy dei dati causate dalla pandemia di COVID-19. Le loro linee guida hanno enfatizzato il principio GDPR di “minimizzazione dei dati”, sottolineando che dovrebbero essere raccolti solo i dati rilevanti per il tracciamento dei contatti COVID-19 e non le informazioni identificative o le informazioni sulla posizione esatta.
  • Il diritto di accesso: nel gennaio 2022, il comitato europeo per la protezione dei dati ha pubblicato una bozza di linee guida per l’attuazione del diritto degli interessati di accedere ai propri dati personali. Nella maggior parte dei casi, i titolari del trattamento dovrebbero interpretare le richieste di dati nei termini più ampi, invece di limitare l’accesso. Tuttavia, non sono tenuti a fornire agli interessati i documenti completi contenenti i loro dati e possono invece fornire un nuovo documento che contenga solo le informazioni personali dell’utente.

Conclusione chiave: il comitato europeo per la protezione dei dati ha pubblicato una miriade di linee guida aggiornate, chiarimenti e best practice dall’entrata in vigore del GDPR nel 2018. Gli aggiornamenti principali includono informazioni su quali aziende sono vincolate al GDPR, quali dati dei consumatori è considerato necessario raccogliere e come le aziende dovrebbero soddisfare le richieste di dati.

L’applicazione del GDPR è in corso, ma procede lentamente

Sebbene il GDPR abbia sicuramente migliorato la sicurezza dei dati eliminando alcune gravi violazioni, l’applicazione complessiva sta richiedendo più tempo di quanto molte persone si aspettassero. Le informazioni si spostano rapidamente online e a molti sembra che il GDPR faccia fatica a tenere il passo, soprattutto nel caso di aziende tecnologiche enormi e di vasta portata come Meta e Google. Ad esempio, l’organizzazione non governativa per la privacy dei dati noyb (che sta per “nessuno dei tuoi affari”) ha presentato un reclamo per consenso forzato contro Instagram, Facebook, Google e WhatsApp il giorno in cui il GDPR è diventato attivo. Oltre quattro anni dopo, una risoluzione è ancora in fase di sviluppo.

C’è stata l’applicazione della legge, tuttavia. Il GDPR ha imposto 1.216 multe, ha riferito Privacy Affairs, e insieme superano i 2,5 miliardi di dollari di sanzioni a dicembre 2022, secondo Enforcement Tracker . Ciò significa che le aziende devono assicurarsi di seguire le definizioni degli elementi della legge fornite dalle autorità di regolamentazione, come “divulgazione” e “consenso”, non la loro interpretazione di questi termini.

Secondo Enforcement Tracker, le tre multe maggiori includono 746 milioni di euro (circa 790 milioni di dollari) nei confronti di Amazon Europe Core S.à.rl da parte di funzionari lussemburghesi nel luglio 2021, nonché due grosse sanzioni contro Meta nel 2022. Nel settembre 2022, l’Irlanda La Commissione per la protezione dei dati ha multato Meta Platforms Inc. di 405 milioni di euro (circa $ 430 milioni) e nel novembre 2022 ha colpito Meta Platforms Ireland Ltd. con una multa di 265 milioni di euro (circa $ 280 milioni). Gli stessi nomi dominano l’elenco delle multe più alte, con Amazon, Meta (inclusi Facebook e WhatsApp) e Google che ricevono otto delle prime 10 multe maggiori.

La sentenza di novembre contro Meta si riferisce a una violazione dei dati di circa 533 milioni di informazioni personali di utenti di Facebook, inclusi indirizzi e-mail e numeri di telefono. Oltre a pagare la multa, Facebook deve intraprendere azioni per migliorare la sicurezza dei dati degli utenti e impedire ulteriori operazioni di data scraping. La sentenza di settembre contro Meta ha affermato che Instagram violava le linee guida del GDPR per i dati dei bambini, che è soggetto a protezioni specifiche. Instagram ha consentito ai ragazzi dai 13 ai 17 anni di condividere indirizzi e-mail e numeri di telefono sugli account aziendali. Ha anche reso pubblici gli account degli adolescenti per impostazione predefinita. Meta sta impugnando la sentenza.

“Gran parte di [molte] normative riguarda il modo in cui raccogli il consenso e come informi il consumatore in modo chiaro, trasparente e ovvio [su] ciò che stai raccogliendo”, ha affermato Chris Slovak, co-fondatore e CEO di Challenger Interattivo.

Mentre la responsabilità per i giganti della tecnologia si sta muovendo lentamente, l’atteggiamento generale nei confronti della privacy dei dati sta cambiando. Il consumatore medio è diventato più consapevole del modo in cui le aziende raccolgono le proprie informazioni e le preoccupazioni sulla privacy sono diventate centrali nelle conversazioni sulla tecnologia. Tuttavia, anche le aziende che non si considerano aziende tecnologiche dovrebbero valutare le proprie pratiche relative ai dati dei clienti e assicurarsi che la loro gestione dei dati sia sicura.

Il GDPR è stato solo il “catalizzatore” di una marea di leggi globali sulla protezione dei dati, ha affermato Slovak, e le aziende dovrebbero monitorare sviluppi simili in tutto il mondo.

Ad esempio, California, Virginia, Utah, Colorado e Connecticut stanno mettendo in atto nuove leggi sulla privacy dei dati o aggiornando le leggi esistenti. Anche altre nazioni, come la Corea del Sud e la Cina, stanno approvando nuove normative sulla sicurezza dei dati.

Le prossime leggi e normative sulla protezione dei dati negli Stati Uniti enfatizzano i diritti di rinuncia dei consumatori e le preferenze sulla privacy, secondo lo studio legale Thompson Hine . Per conformarsi, le aziende online devono assicurarsi che i propri siti Web forniscano ai clienti un modo chiaro e approvato per rinunciare alla condivisione o alla vendita delle proprie informazioni personali. Ciò potrebbe significare un link “non vendere o condividere le mie informazioni personali” e/o un link “limitare l’uso delle mie informazioni personali sensibili”.

Questi sono solo alcuni esempi delle prossime linee guida progettate per offrire ai consumatori maggiore trasparenza e controllo. Nel 2023, puoi aspettarti molte più linee guida relative alla comunicazione con i clienti sui loro diritti alla privacy dei dati.

“Questo non è isolato per i cittadini dell’UE e la California”, ha detto Slovak. “È una tendenza che sta per spazzare il mondo. Vai avanti investendo nei flussi di dati che hai oggi.”

Suggerimenti per la conformità al GDPR e alla protezione dei dati

La conformità a una legge onnicomprensiva come il GDPR può sembrare impossibile, ma se fai un passo alla volta, la tua azienda sarà presto sulla strada della conformità. Per rimanere motivati, ricorda che la piena conformità non deve essere l’obiettivo; anche mostrare uno sforzo potrebbe essere sufficiente per tenere a bada i regolatori.

“Le aziende che hanno intrapreso un percorso e hanno lavorato con le autorità di regolamentazione … hanno chiuso i casi contro di loro o le loro multe sono state ridotte”, ha affermato Kagan. “Hai bisogno di un piano. Conduci una valutazione del rischio, individua le parti più rischiose della tua elaborazione e inizia a elaborarle. Sii su un sentiero.

Segui questi suggerimenti per iniziare:

  • Niente panico. Le leggi sulla protezione dei dati sono complesse e di ampia portata. Può essere difficile da gestire per le aziende, in particolare le piccole e medie imprese. Tuttavia, è importante suddividere il processo in parti gestibili in modo da poter svolgere un piccolo compito alla volta. Pensalo come un movimento verso la conformità, piuttosto che cancellarlo dall’elenco in un colpo solo.
  • Condurre una valutazione del rischio. Un ottimo punto di partenza, secondo Kagan, è condurre una valutazione del rischio. Usa questa valutazione per identificare le maggiori aree di rischio per la tua azienda in cui potresti violare le regole o essere vulnerabile a una violazione dei dati.
  • Inizia con i componenti più rischiosi. Una volta acquisita una comprensione completa dei profili di rischio di ogni elemento della tua operazione di raccolta dati, puoi determinare quali parti affrontare per prime. Inizia sempre con gli elementi più rischiosi della tua azienda. Ad esempio, se la tua sicurezza è carente, rafforza le tue difese per scongiurare le violazioni dei dati. Se non stai ottenendo il consenso dei consumatori per acquisire e utilizzare i loro dati, implementa un metodo per ottenere tale consenso. Lavorare con un consulente per la conformità al GDPR può aiutarti a comprendere i rischi in modo più chiaro.
  • Comprendi i dati e perché li raccogli. Una parte importante del GDPR e della legislazione sulla privacy dei dati negli Stati Uniti è che le aziende devono avere un quadro completo dei dati che raccolgono e del motivo per cui li raccolgono. Su richiesta, ai consumatori deve essere fornita una copia dei propri dati e le aziende devono poterli modificare o cancellare. È fondamentale per la tua azienda capire quali dati raccoglie, come vengono archiviati, dove vengono condivisi e perché vengono utilizzati. Il mancato sviluppo di una comprensione completa rende praticamente impossibile il rispetto delle leggi sulla protezione dei dati.
  • Stabilire un programma di governance formale. Dopo aver sviluppato un processo interno per conformarsi (o almeno lavorare per la conformità) alle leggi sulla protezione dei dati, stabilire un programma di governance formale ti aiuta a dimostrare tali sforzi alle autorità di regolamentazione. Un programma di governance formale può strutturare con precisione il modo in cui i dati vengono acquisiti, archiviati, condivisi e utilizzati. Ciò è particolarmente importante per le grandi aziende, ha affermato Kagan, ma anche le piccole e medie imprese potrebbero trarre vantaggio dalla formalizzazione della loro governance dei dati. Ciò potrebbe includere la nomina di un responsabile della protezione dei dati per supervisionare la raccolta e l’elaborazione quotidiana dei dati per garantire che sia in linea con le norme GDPR.

La conformità con il GDPR, il CCPA e altre normative sulla privacy dei dati è un processo continuo. Sebbene ogni atto legislativo approvato o proposto abbia requisiti diversi, gli obiettivi di base sono gli stessi. Dalla corretta gestione del trattamento dei dati personali alla prevenzione di una violazione, ci si aspetta che le aziende facciano molto. Ciò significa che puoi iniziare a lavorare per la conformità senza conoscere tutti i dettagli o avere tutti i chiarimenti che arrivano dalle autorità di regolamentazione, ha affermato Kagan.

“Non è troppo tardi per obbedire”, ha detto. “Ignora il fatto che il tuo lavandino è pieno di piatti. Non evitarlo e rimandalo a domani: inizia e basta.

Implementando e seguendo le best practice, puoi ridurre il rischio di infrangere le leggi sulla privacy dei dati e, nella peggiore delle ipotesi, dimostrare alle autorità di regolamentazione che hai compiuto uno sforzo in buona fede per proteggere i dati dei consumatori. Oltre alla conformità, ci sono valide ragioni commerciali per aderire alle migliori pratiche stabilite nelle normative sulla protezione dei dati, ha affermato Slovak.

“Se lo fai bene, ottieni verificabilità e trasparenza”, ha affermato. “Puoi dire ai tuoi clienti quali dati hai e dove li stai inviando. Se lo fai bene, avrai conversazioni migliori con i tuoi clienti perché hai una migliore comprensione di ciò che vogliono nel momento in cui parli con loro.

Proteggere la privacy dei dati dei consumatori è un buon senso degli affari e ti aiuta a costruire un marchio affidabile, ha aggiunto. La preparazione al GDPR è un buon modo per iniziare a passare a mettere al primo posto la protezione dei dati dei consumatori.

“Alla fine della giornata, i dati sono qualcosa che ti viene affidato”, ha detto Slovak. “Un consumatore ti affida informazioni su se stesso in modo che tu possa creare esperienze e servizi migliori per lui. Questa è un’opportunità per rivalutare il modo in cui tratti i tuoi clienti e potenziali clienti. Richiede un modo diverso di pensare e un investimento nei dati e negli strumenti per gestire i dati stessi”.

Per stare al passo con la curva normativa e iniziare a costruire relazioni migliori con i tuoi clienti, puoi iniziare investendo nell’infrastruttura dei dati e nella governance.

Cailin Potami ha contribuito alla stesura e alla segnalazione di questo articolo. Alcune interviste alla fonte sono state condotte per una versione precedente di questo articolo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *