Pensi che la privacy sia solo per l'Europa? Pensa di nuovo.

Il GDPR è fatto. E comunque ha avuto un impatto solo sulle imprese che operano nell'UE. Destra?

Non proprio.

1. La privacy non è mai "fatta". La conformità è un requisito sempre presente e le aziende dovrebbero monitorare costantemente i propri punti di contatto, le pratiche di raccolta dei dati, la logica di elaborazione dei dati e lo stesso insieme di considerazioni per i propri fornitori, su base continuativa.
2. Il GDPR ha avuto un impatto su tutte le aziende che hanno elaborato i dati dei cittadini dell'UE, non solo quelle con sede in Europa.
3. Il GDPR era la punta dell'iceberg. Il mondo sta diventando consapevole delle minacce della raccolta e dell'elaborazione impune di dati insensibili. Sì, l'Europa si è svegliata per prima. Ma ciò non significa che gli Stati Uniti e il resto del mondo continueranno a sonnecchiare.

In effetti, gli Stati Uniti hanno già avviato il percorso verso normative rivoluzionarie sulla privacy. Con le leggi approvate in California, Nevada e Maine e le bollette pianificate in molti altri stati, le aziende dovrebbero aspettarsi di risentirne nei prossimi mesi.

Questo articolo analizza le parti cruciali della legge/disegno di legge sulla regolamentazione della privacy di ogni stato, inclusi chi copre, quando entrano in vigore, sanzioni, come ottenere la conformità, perché gli stati hanno preso le redini davanti al governo federale per proteggere i dati personali dei consumatori e come l'adozione della conformità alla privacy potrebbe avvantaggiare la tua azienda.

Regolamento federale degli Stati Uniti?

In una lettera ai leader del Congresso il 10 settembre, i CEO di Business Roundtable in tutti i settori hanno esortato i responsabili politici ad approvare, il prima possibile, una legge nazionale completa sulla privacy dei dati che rafforzi le tutele per i consumatori americani e stabilisca un quadro per consentire l'innovazione e la crescita continue nel economia digitale.

La lettera, firmata da 51 amministratori delegati, è stata inviata alla leadership della Camera e del Senato e ai leader delle commissioni Energia e Commercio della Camera e Commercio, Scienza e Trasporti del Senato.

Dal punto di vista commerciale degli Stati Uniti, non c'è mai stato momento migliore per l'introduzione di una legge federale sulla protezione dei dati.

Il GDPR stabilisce che qualsiasi azienda che raccolga dati su persone residenti nell'UE deve rispettare la legislazione, indipendentemente dal fatto che la società abbia sede nell'UE o meno. Ciò significa che molte aziende statunitensi sono già conformi al GDPR per operare a livello internazionale e dispongono del framework in atto per espandere questa conformità al mercato statunitense.

È diverso per le imprese nazionali statunitensi. La conformità alla protezione dei dati sta diventando un incubo, con (potenzialmente) fino a 50 diverse leggi statali con specifiche e requisiti diversi. Una legge federale semplificherebbe questo, fornendo un atto legislativo unificante in tutti gli stati.

Leggi statali degli Stati Uniti

In risposta, gli stati hanno agito molto prima.

Con le leggi approvate in tre stati, le proposte di legge in altri e diversi stati che approvano nuove leggi sulla notifica delle violazioni dei dati, stiamo assistendo all'inizio di un massiccio spostamento verso la protezione dei dati dei consumatori e la responsabilità per le aziende che li controllano e li elaborano.

Il Centro di ricerca IAPP Westin ha compilato il seguente elenco di proposte di legge sulla privacy complete e promulgate da tutto il paese per aiutare gli sforzi delle imprese a rimanere al passo con il mutevole panorama della privacy dello stato.

Sebbene molti dei progetti di legge inclusi nella mappa non diventeranno legge, confrontare le disposizioni chiave in ogni disegno di legge può essere utile per capire come si sta sviluppando la privacy negli Stati Uniti.

California

Essendo una delle prime leggi sulla privacy approvate dopo il GDPR, il CCPA funge da modello per altri progetti di legge negli Stati Uniti. A partire dal 1° gennaio 2020, il CCPA si applica a un'azienda che raccoglie/elabora i dati personali dei residenti in California o opera in California.

Queste attività sono soggette al CCPA se:

• Supera un fatturato lordo di $ 25 milioni
• Acquista, ricevi, vendi o condividi (totale combinato) informazioni personali di 50.000 o più famiglie di consumatori o dispositivi
• Guadagna il 50% o più delle entrate annuali dalla vendita delle informazioni personali dei consumatori

Il CCPA garantisce ai consumatori diritti simili al GDPR, inclusa la divulgazione di informazioni personali e la richiesta di dati personali. Le aziende sono tenute a rispondere a richieste verificabili dei consumatori con informazioni, come categorie e dati di informazioni personali, terze parti e categorie di terze parti con cui i dati vengono condivisi e altro ancora.

Questa sezione, nota come richieste dell'interessato (DSR), garantisce agli utenti l'accesso e le opzioni di cancellazione delle proprie informazioni personali. Inoltre, il CCPA richiede che le aziende visualizzino un link "Non vendere le mie informazioni personali" sulla loro home page.

Il CCPA sarà applicato dal procuratore generale e include multe fino a $ 7.500 per ogni singola violazione.

Nevada

La legge sulla privacy del Nevada è stata firmata il 29 maggio 2019, ma è in vigore dal 1 ottobre 2019, tre mesi prima del più noto CCPA. Le leggi sono molto simili ma hanno una grande differenza nel modo in cui viene definita "vendita". La legge del Nevada è più restrittiva, non copre tutti i fornitori di servizi ed è più indulgente con le istituzioni finanziarie.

Secondo InfoLawGroup, la legge CCPA e Nevada sono simili in quanto entrambe richiedono "alle aziende di elaborare un processo per verificare la legittimità di una richiesta di opt-out del consumatore e richiedono alle aziende di rispondere alla richiesta entro 60 giorni".

Simile alla California, l'applicazione del Nevada spetta al procuratore generale e include multe fino a $ 5.000 per violazione.

Maine

La legge sulla privacy del Maine è stata firmata il 6 giugno 2019, ma entrerà in vigore il 1 luglio 2020. Questa legge impedisce ai provider di servizi Internet (ISP) di vendere, condividere o concedere a terzi l'accesso ai dati dei propri clienti, a meno che non sia espressamente indicato approvazione da parte di quei clienti. Con le modifiche,

I residenti del Maine ora hanno un ulteriore livello di protezione per e-mail, chat online, cronologia del browser, indirizzi IP e dati di geolocalizzazione che vengono comunemente raccolti e archiviati dalle società del settore delle telecomunicazioni e della tecnologia.

Quindi, mentre il CCPA offre ai clienti il ​​diritto di rinunciare, questa nuova legge vieta agli ISP di utilizzare i dati dei clienti a meno che il cliente non acconsenta. Questo requisito va oltre la legge CCPA o Nevada ed è relativamente unico tra le leggi sulla privacy degli Stati Uniti, che generalmente favorire l'opt-out consenso.

Non aspettare: preparati ora:

Secondo un sondaggio PwC del 2018, il 64% delle aziende non aveva ancora iniziato a prepararsi per le normative CCPA.

Hai rimandato l'inizio del tuo percorso di conformità? Hai iniziato il processo, ma ti trovi sfidato dalle scadenze che si avvicinano rapidamente?

Quello che segue è un elenco di azioni consapevoli che puoi intraprendere come azienda per seguire la strada della conformità per la maggior parte delle leggi esistenti e quelle che verranno applicate nel prossimo futuro.

Passaggio 1: aggiorna le informative e le politiche sulla privacy

Con tutte le e-mail "Abbiamo aggiornato la nostra politica sulla privacy" (conformità al GDPR) ricevute a maggio 2018, è probabilmente ragionevole aspettarsi un'altra ondata, questa volta conforme a CCPA o Nevada o Maine, nel terzo trimestre del 2019.

Queste leggi richiederanno che le società interessate "presso o prima del punto di raccolta" forniscano un avviso ai consumatori informandoli delle categorie di informazioni personali raccolte dall'azienda e dello scopo delle informazioni utilizzate dall'azienda.

L'avviso deve inoltre indicare esplicitamente le categorie di informazioni personali che vengono raccolte, divulgate o vendute e i consumatori hanno un nuovo diritto di rinunciare alla vendita delle loro informazioni.

Le aziende dovranno inoltre aggiornare le proprie politiche sulla privacy per includere una descrizione degli altri nuovi diritti dei consumatori.

Poiché molte aziende hanno dovuto determinare quando diventare conformi al GDPR, prima di apportare gli aggiornamenti delle politiche obbligatorie per legge, le aziende dovranno determinare se manterranno un'informativa sulla privacy per ciascuno Stato residente o se avranno una politica universale.

Passaggio 2: aggiornare gli inventari dei dati, i processi aziendali e le strategie dei dati

Le aziende dovranno anche mantenere un inventario dei dati, che è essenzialmente un database per tenere traccia delle loro attività di elaborazione dei dati, inclusi processi aziendali, terze parti, prodotti, dispositivi e applicazioni che elaborano i dati personali dei consumatori.

Le aziende che hanno dovuto diventare conformi al GDPR dovranno aggiungere alcune colonne ai loro inventari di dati, tra cui una colonna:

• identificare se l'utilizzo dei dati include la “vendita” di informazioni;
• identificare quali categorie di informazioni personali vengono trasferite a terzi;
• identificando se i dati sono stati raccolti più di 12 mesi fa e, quindi, potenzialmente esenti.
• Il database dovrà inoltre essere tenuto aggiornato ed essere in grado di tracciare tutte le richieste relative ai diritti dei consumatori, come il monitoraggio di una richiesta verificata di informazioni.

Passaggio 3: implementare protocolli per garantire i diritti dei consumatori

Queste leggi garantiscono una serie di diritti dei consumatori che le aziende dovranno adottare misure per garantire.

• Diritto all'avviso - Sebbene non sia esattamente un diritto concesso, durante o prima che un'azienda raccolga informazioni personali da un consumatore, il consumatore deve essere adeguatamente informato quali categorie di informazioni vengono raccolte e gli scopi per i quali le informazioni vengono utilizzate.

• Diritto di accesso/Diritto di richiesta – Su richiesta verificabile, l'azienda deve provvedere a divulgare e consegnare, gratuitamente al consumatore, le informazioni personali, che possono essere consegnate per posta o elettronicamente. Se forniti elettronicamente, devono essere forniti in un formato portatile e, nella misura tecnicamente fattibile, in un formato facilmente utilizzabile che consenta al consumatore di trasmettere le informazioni personali a un'altra entità senza problemi. Un'azienda può fornire informazioni personali a un consumatore in qualsiasi momento, ma non deve fornirle a un consumatore più di due volte in un periodo di 12 mesi.

• Diritto di sapere – Il consumatore ha il diritto di richiedere a un'azienda che raccoglie informazioni personali di divulgare quanto segue: (1) le categorie di informazioni personali raccolte; (2) le fonti da cui sono state raccolte le informazioni; (3) lo scopo aziendale o commerciale per la raccolta o la vendita delle informazioni; (4) categorie di terzi con cui l'azienda condivide le informazioni; (5) le specifiche informazioni personali raccolte dall'azienda sul consumatore.

• Diritto di cancellazione - Il consumatore ha il diritto di richiedere, su richiesta verificabile, che un'azienda cancelli qualsiasi informazione personale sul consumatore che l'azienda ha raccolto. Al ricevimento di tale richiesta, l'azienda deve eliminare le informazioni e ordinare a qualsiasi fornitore di servizi di eliminare anche le informazioni dai suoi archivi, a meno che l'azienda o il fornitore di servizi non necessiti delle informazioni per: (1) calcolare la transazione per la quale sono state raccolte le informazioni personali , fornire un bene o un servizio richiesto dal consumatore, o ragionevolmente previsto nel contesto di un rapporto commerciale in corso con il consumatore, o altrimenti eseguire un contratto tra l'impresa e il consumatore; (2) rilevare incidenti di sicurezza; proteggere da attività dannose, ingannevoli, fraudolente o illegali; o perseguire i responsabili di tale attività; (3) eseguire il debug per identificare e riparare gli errori delle funzionalità previste esistenti; (4) esercitare la libertà di parola, garantire il diritto di un altro consumatore di esercitare il proprio diritto alla libertà di parola o esercitare un altro diritto previsto dalla legge; (5) impegnarsi in ricerche scientifiche, storiche o statistiche pubbliche o condivise nell'interesse pubblico; (6) consentire esclusivamente usi interni ragionevolmente allineati con le aspettative del consumatore in base al rapporto del consumatore con l'impresa; (7) adempiere a un obbligo legale; (8) altrimenti utilizzare le informazioni personali del consumatore, internamente, in modo lecito e compatibile con il contesto in cui il consumatore ha fornito le informazioni.

• Diritto di rinuncia: il consumatore ha il diritto di rinunciare alla vendita di informazioni personali da parte di un'azienda. Le aziende devono mettere a disposizione, in una forma ragionevolmente accessibile ai consumatori, un collegamento chiaro e cospicuo alla home page, intitolato "Non vendere le mie informazioni personali" che consenta al consumatore di rinunciare alla vendita delle informazioni personali del consumatore. L'azienda deve attendere almeno 12 mesi prima di richiedere di vendere le informazioni personali di qualsiasi consumatore che abbia rinunciato.

Passaggio 4: eseguire aggiornamenti di sicurezza

Queste leggi richiedono anche che le aziende coperte proteggano i dati personali con una sicurezza "ragionevole". In pratica, questo standard ha portato le aziende ad adottare un approccio basato sul rischio per affrontare le minacce alla riservatezza, all'integrità e alla disponibilità dei dati personali. Valutano le minacce ai dati, classificano i rischi delle vulnerabilità rilevate e affrontano prima le lacune ad alto rischio.

Passaggio 5: aggiorna i contratti di elaborazione di terze parti

Per rispettare le leggi sulla privacy degli Stati Uniti, le aziende che hanno altre società che elaborano i loro dati dovranno aggiornare i loro contratti di terze parti incluso l'inserimento del linguaggio della clausola contrattuale standard; richiedere inventari dei dati dei fornitori; utilizzando questionari di due diligence; fornire registrazioni del trattamento; richiedere la sincronizzazione dei processi di risposta dei consumatori; richiedere la valutazione e l'audit in loco; e richiedendo la mappatura degli elementi di dati specifici condivisi con ciascuna terza parte, inclusa la designazione di quei trasferimenti che si qualificano come "vendita".

Per le terze parti che hanno pagato per informazioni, dovranno inoltre progettare processi per soddisfare le richieste dei consumatori di rinunciare alla vendita e prevedere la cancellazione di tali dati.

Passaggio 6: formazione

Infine, queste leggi richiedono che i dipendenti che gestiscono le richieste dei consumatori siano informati di tutti i suoi requisiti. A causa delle sanzioni previste, questa formazione dovrebbe essere la minima e si raccomanda una formazione aggiuntiva per i dipendenti.

Pensi che sia molto da implementare? Le aziende trarranno vantaggio dalla conformità:

Ci sono state alcune critiche alle leggi sulla privacy e affermazioni che queste leggi sono dannose per le aziende.

I programmi di conformità costano denaro, ma le aziende non possono aspettarsi di guadagnare da una risorsa, come i dati, e non spendere soldi per assicurarsi che le loro azioni siano conformi.

Tuttavia, i requisiti chiave delle leggi sulla privacy, come accennato in precedenza, sono per lo più in linea con il buon senso, quindi un programma di conformità non dovrebbe mai essere un pozzo senza fondo.

Inoltre, anche se la pressione legale non iniziasse a crescere, la pressione etica e di consapevolezza lo farebbe.

I consumatori vogliono fare affari con aziende che proteggono ATTIVAMENTE la privacy dei loro dati.

Sì, c'è un costo di conformità, ma questo dovrebbe essere visto come parte del costo per fare affari con i dati e costruire e preservare la reputazione di un marchio. In qualità di organizzazione conforme, sarai in grado di commercializzare la tua adesione, che a sua volta può aiutare ad aumentare le vendite e la fedeltà dei clienti.

Quasi tutte le organizzazioni in tutto il mondo stanno ora riconoscendo che l'investimento sulla privacy si sta traducendo in vantaggi commerciali al rialzo. Le organizzazioni che hanno investito per prepararsi al GDPR stanno subendo meno violazioni dei dati e meno costose , stanno vedendo meno frizioni di vendita a causa dei problemi di privacy dei clienti, meno record di dati sono interessati , tempi di inattività del sistema più brevi .

Questi sono alcuni dei risultati dello studio Cisco 2019 Data Privacy Benchmark Study, pubblicato di recente, che si basa sui dati di un sondaggio in doppio cieco condotto su oltre 3.200 professionisti della sicurezza e della privacy in 18 paesi. Lo studio è il primo di una serie che esplora le questioni chiave che le organizzazioni devono affrontare oggi in materia di privacy e sicurezza informatica.

Secondo lo studio Cisco, il 97% delle aziende afferma di ricevere ulteriori benefici dai propri investimenti sulla privacy, oltre al semplice rispetto delle leggi sulla privacy. Questi vantaggi includono vantaggio competitivo , attrattiva per gli investitori , efficienza operativa e maggiore capacità di flessibilità e innovazione .

Tre quarti di tutti gli intervistati hanno affermato di ricevere due o più di questi vantaggi. Inoltre, la maggior parte delle aziende ora afferma che una forte privacy dei dati è un elemento di differenziazione competitivo nei propri mercati.

Questi risultati evidenziano la necessità per le aziende di subire modifiche non solo per conformarsi alle leggi sulla privacy, ma anche per massimizzare i vantaggi aziendali dei loro investimenti in materia di privacy.

Migliorare la gestione dei dati, aumentare la fiducia dei clienti e sperimentare ritardi nelle vendite più brevi e violazioni dei dati meno costose possono essere tutti importanti per la tua organizzazione e darti il ​​vantaggio competitivo di cui la tua azienda ha bisogno per prosperare.

La scritta è grande e in grassetto sul muro. La privacy non è solo per l'Europa... è la necessità del momento per le aziende di tutto il mondo. Il cambio è turbolento. Ma è uno che era inevitabile.

Gli esseri umani hanno inventato i lucchetti per proteggere i loro beni tangibili. Ora che i dati immateriali sono ugualmente preziosi (se non di più), l'accumulo sconsiderato e l'elaborazione degli stessi saranno disapprovati, non graditi e alla fine visti come una violazione.

Le pratiche di conformità alla privacy semplificano le operazioni. E migliorano la reputazione riducendo il rischio di violazioni. A mio parere, non si tratta dello sforzo necessario per la conformità, si tratta solo di svegliarsi presto al fatto che la conformità potrebbe benissimo essere il TUO prossimo grande vantaggio competitivo.

Convert ha già gettato solide basi. E tu?