Non molto tempo fa l’utilizzo di data center on-premise presupponeva una conformità alla privacy dei dati ragionevolmente semplice. Tuttavia, con il crescente spostamento dei dati nel cloud le preoccupazioni relative al controllo, alla sovranità e alla privacy sono diventate d’attualità.
Oggi è quasi impossibile vivere online senza divulgare informazioni personali. Nella maggioranza dei casi accedere a siti web o utilizzare app comporta il lasciare dietro di sé una miniera d’oro che le società di analisi dei dati analizzano per conto delle aziende loro clienti.
Oltretutto strumenti come l’intelligenza artificiale e il machine learning possono essere sfruttati per rivelare molte informazioni sensibili relative al singolo individuo: posizione, interessi, stato di salute, opinioni politiche e molto altro, e ciò comporta un generale aumento della preoccupazione per quanto riguarda il potenziale uso improprio dei dati personali da parte di aziende, di governi e di soggetti malintenzionati.
Per questo motivo molti Paesi stanno adottando proprie leggi in materia di privacy dei dati oppure le stanno affinando. Questenorme che hanno lo scopo di proteggere e tutelare in modo più efficace i dati personali dei loro cittadini.
GDPR: un modello per le leggi sulla privacy dei dati
Tra le leggi internazionali più significative sulla privacy dei dati c’è il GDPR (Regolamento Generale sulla Protezione dei Dati) dell’Unione Europea, entrato in vigore nel 2018. Qualsiasi organizzazione che raccoglie dati di persone e di aziende di Stati membri dell’UE (indipendentemente da dove si trovi la sua sede) deve farlo nel rispetto di questa legge. Da sottolineare che il GDPR è diventato una sorta di linea guida a livello globale per molte delle successive leggi in tema di privacy dei dati. Oggi più di 100 Paesi in tutto il mondo hanno promulgato le proprie leggi su questa materia, affrontando così il diritto fondamentale alla riservatezza di ciascuno.
Lo stato della privacy dei dati negli Stati Uniti
Gli Stati Uniti non hanno ancora una legge nazionale sulla privacy dei dati. Tuttavia, l’American Data and Privacy Protection Act (ADPPA) potrebbe presto essere codificato per diventare la prima legge federale statunitense sulla privacy dei dati volta a protegge i diritti individuali in materia.
Nel frattempo, un numero crescente di Stati americani hanno ratificato le proprie leggi in merito. La California è in testa al gruppo grazie al California Consumer Privacy Act (CCPA), entrato in vigore nel 2018. È probabilmente la legge sulla privacy più severa di tutto il Paese, seguita in termini di rigore da quelle emanate dalla Virginia e dal Colorado.
Leggi sulla privacy dei dati in tutto il mondo
- Il Personal Information Protection and Electronic Documents Act (PIPEDA) è la legge federale del Canada sulla privacy che regola il modo in cui le organizzazioni del settore privato raccolgono, utilizzano e divulgano le informazioni personali nel corso delle attività commerciali.
- La Legge sulla Protezione delle Informazioni Personali (PIPL) è la prima legge organica in materia varata nella Repubblica Popolare Cinese. È entrata in vigore nel novembre del 2021 ed è stata introdotta per regolamentare i dati online e proteggere le informazioni personali dei consumatori. Il PIPL prevede il consenso come prerogativa per la raccolta e la gestione dei dati, limita i trasferimenti di dati transfrontalieri ed impone sanzioni per il mancato rispetto della conformità in proporzione al fatturato aziendale.
- La Legge generale sulla protezione dei dati, o Lei Geral de Proteção de Dados Pessoais (LGPD) ha validità in Brasile dall’agosto 2020. Crea un quadro legale per l’utilizzo dei dati personali delle persone, indipendentemente da dove si trovi il responsabile del trattamento.
- Il Protection of Personal Information Act (POPIA) è la legge sulla privacy dei dati a cui attenersi nella Repubblica del Sudafrica, ed è volta a salvaguardare le informazioni di identificazione personale (PII) dei cittadini dello Stato.
Il futuro della privacy dei dati
Con il concretizzarsi del rischio di pesanti sanzioni in caso di violazione della legislazione sulla privacy dei dati, le aziende investiranno più tempo e risorse per stabilire ed adottare solidi programmi di conformità interna.
I governi e gli organi legislativi eserciteranno congiuntamente pressioni per una maggiore applicazione delle leggi esistenti, come il GDPR e il CCPA. Nel 2023 dovremo aspettarci un numero sempre maggiore di leggi sulla privacy dei dati in grado di affrontare i problemi derivanti dai dati raccolti dai dispositivi Internet of Things (IoT) e da altri dispositivi connessi. Più le persone diventeranno consapevoli dei pericoli insiti nell’uso improprio dei loro dati personali e del modo in cui questi ultimi vengono gestiti ed elaborati, più ciò avrà un impatto sulla loro fiducia nei confronti di un’azienda, tale da determinarne effetti sul profitto.
Per conquistare la fiducia degli utenti e gestire la reputazione e la conformità aziendale, le società dovranno investire di più nelle tecnologie PET (privacy-enhancing technologies) basate sul concetto secondo cui le informazioni sugli utenti vantano la precedenza su quelle relative alla loro identità.
L’iniziativa Privacy Sandbox di Google limita la condivisione dei dati degli utenti con terze parti, e opera senza identificatori cross-app per creare tecnologie che proteggano la privacy online, fornendo allo stesso tempo alle aziende gli strumenti per creare forme redditizie di attività. Organizzazioni come DSpark aggregano e rendono anonimi i dati di mobilità personale, altamente sensibili, convertendoli in approfondimenti sui dati demografici e sui comportamenti degli acquirenti, sul numero di visitatori unici, sulle visite totali, ed altro ancora. DSpark commercializza questi dati senza vendere o trasferire dati personali sensibili.
In ultima analisi, ci troviamo di fronte ad una preoccupazione di tipo globale. Poiché molte aziende operano oltre i propri confini nazionali, potremmo vedere molti Stati collaborare tra loro al fine di condividere una legislazione generale sulla privacy dei dati che protegga, sulla base delle medesime norme, imprese e cittadini di più Paesi.
Riepilogo
La protezione dei dati personali dei cittadini è una grande preoccupazione per i governi di tutto il mondo. Sono in corso di formalizzazione leggi per controllare quali dati personali possano essere raccolti e come debbano essere utilizzati, archiviati e condivisi. La conformità alle leggi globali sulla privacy dei dati è obbligatoria per ogni azienda, non solo per motivi di carattere economico derivanti da eventuali e costose controversie legali o da pesanti sanzioni comminate per il non rispetto delle norme, ma anche per ragioni legate alla fiducia dei consumatori, i quali pretendono che la condivisione dei propri dati personali con società ed organizzazioni sia protetta e riservata.
Le soluzioni Sophos offrono diverse possibilità per garantire che i dati personali rimangano al sicuro, mettendo così le aziende nella condizione di trovarsi un passo avanti rispetto al proprio adeguamento a tutti i requisiti normativi. Per saperne di più dai un’occhiata alla nostra sezione sulle soluzioni di conformità.