Al giorno d’oggi le questioni tecnologiche, politiche e legali incidono sulla privacy e sulla protezione dei dati. Hardware e software richiedono sempre più informazioni personali per funzionare correttamente. L’Internet of Things, ad esempio, apre un massiccio dibattito tra tecnologia e legislazione. Mentre le aziende di software e hardware fanno passi da gigante, la legislazione è lenta nell’interazione. Progettare normative contro il furto di dati e le frodi diventa sempre più difficile. L’impronta di informazioni personali che lasci è ampia. Indipendentemente dalla nicchia, la maggior parte delle aziende detiene alcune informazioni identificabili o sensibili su di te. Dalle app sanitarie a quelle finanziarie, dai servizi basati sulla posizione alla navigazione web, le aziende raccolgono i dati per vari motivi.
La protezione dei dati è una questione globale e agisce in base alla legislazione internazionale accettata. Tuttavia, alcuni paesi organizzano organismi di regolamentazione locali che lavorano con le leggi sulla privacy.
Ogni territorio affronta il problema all’interno del contesto specifico del paese. In questo senso, i sistemi politici e le affiliazioni possono rovinare il processo decisionale se non hanno una base universale. Sebbene le soluzioni locali non siano necessariamente sbagliate, questo approccio frammentato è stato un problema per molto tempo. Questo articolo discute alcuni settori legislativi della protezione dei dati. Tocca anche i modi in cui le nuove leggi influenzano le operazioni aziendali.
Che cos’è la protezione dei dati?
In alcuni casi, la privacy e la protezione dei dati vengono utilizzate in modo intercambiabile.
Per essere più precisi, riconosciamo innanzitutto la differenza tra questi due termini. La privacy è il diritto alla libertà di pensiero e di coscienza, nonché il diritto di proteggere la propria reputazione e la vita familiare. In breve, è il diritto fondamentale alla dignità e all’autonomia.
Sembra una spiegazione semplice in questi termini, giusto? Tuttavia, da un punto di vista legale, la privacy non è assoluta. Il diritto non subentra se contraddice la sicurezza nazionale, la sicurezza pubblica o la libertà di espressione. D’altra parte, la protezione dei dati riguarda un uso corretto delle informazioni personali. È un’area regolamentata e specifica della privacy nel suo senso più ampio. Le leggi sulla protezione dei dati trattano il modo in cui le terze parti utilizzano le informazioni sugli individui.
Questo concetto si riferisce ai metodi di elaborazione delle informazioni (condivisione, archiviazione, utilizzo, ecc.).
La conformità alle leggi sulla protezione dei dati è limitata all’uso aziendale e commerciale. Non include account personali, attività sui social media e lettere. Le informazioni utilizzate per scopi domestici, familiari o personali non devono essere conformi. In breve, la privacy ha una connotazione più ampia. La protezione dei dati è una misura legislativa all’interno di questo concetto generale.
Quanto è universale la legge sulla protezione dei dati?
Comprendere l’ambito di applicazione delle norme universali sulla protezione dei dati fa riflettere anche sul fatto se sia anche solo possibile scrivere adeguatamente politiche pertinenti. La diversità di organizzazioni, situazioni e diplomazie non rende facili le cose se fossi un decisore politico in questo campo. Non esiste una soluzione unica e regole assolute qui. Tuttavia, la tecnologia non aspetta e le informazioni personali diventano sempre più vulnerabili.
Le normative universali sulla protezione dei dati sono fondamentali per alcuni motivi. Prima di tutto, il trasferimento gratuito di informazioni oltre confine aiuta il commercio internazionale. Incrementa la fiducia tra i players di tutto il mondo.
Un altro motivo fondamentale per lo sviluppo di pratiche di protezione dei dati è l’innovazione. Se gli utenti sanno che le aziende non useranno in modo improprio le loro informazioni private, possono essere più aperte a soluzioni non convenzionali.
Protezione dei dati in diversi paesi
Tutti i paesi hanno alcuni standard comuni di sicurezza delle informazioni. Alcune giurisdizioni adottano anche leggi locali e organizzano organismi di regolamentazione. Queste autorità seguono pratiche globali e reagiscono con maggiore flessibilità agli sviluppi regionali.
Esistono leggi e regolamenti esistenti in diversi paesi. Il Privacy Act (Canada), la China Cybersecurity Law e il Data Protection Act (UK) sono solo alcuni dei più importanti.
Oltre alle leggi esistenti, ci sono anche autorità nazionali che regolano scena. Le autorità nazionali per la protezione dei dati in UE, il Commissario federale per la protezione dei dati e la libertà di informazione (Germania) e l’Ufficio del Commissario per l’informazione (ICO, Regno Unito) sono alcuni di loro.
Concetti chiave relativi alla privacy e alla sicurezza
Le leggi e i regolamenti generalmente concordano su alcuni concetti fondamentali e sulle loro descrizioni. Vediamo cosa racchiude ciascuna di queste nozioni e come agiscono nel contesto delle aziende SaaS.
Dati personali
I dati personali sono informazioni su una persona identificabile. Alcune persone commettono un errore, pensando che questa categoria contenga solo informazioni private o anonime. Può includere dati sensibili come indirizzo, carta di credito e un numero di previdenza sociale. Tuttavia, la maggior parte di questa categoria comprende dati generali come nome, cognome e sesso.
Elaborazione
L’elaborazione è ciò che puoi fare con i dati. La raccolta, la registrazione, l’archiviazione, il trasferimento, l’analisi e la combinazione sono tutti metodi di elaborazione. Le leggi sulla protezione dei dati di solito prendono in considerazione l’elaborazione delle informazioni e ne regolano la sicurezza e la protezione.
Soggetto dei dati
L’interessato è una persona i cui dati vengono raccolti ed elaborati.
Controller
Il controller è la parte che elabora le informazioni. Può essere un’organizzazione o una persona che spesso, diciamolo, è il proprietario di un’azienda. Il controller gestisce tutti i problemi di conformità.
Responsabile del trattamento
Il responsabile del trattamento è una terza parte che agisce per conto del titolare e secondo le sue istruzioni. Sebbene più limitato, questa parte ha anche obblighi legali vincolanti in merito ai dati.
Ora che conosciamo le definizioni, prendiamo un’azienda SaaS e vediamo come si applicano questi termini.
- L’azienda è il titolare del trattamento che elabora i dati del cliente
- Il cliente è l’interessato
- Un’applicazione finanziaria di terze parti all’interno del software è il processore
I titolari del trattamento devono seguire procedure e regolamenti per assicurarsi che l’elaborazione aderisca alle leggi internazionali e locali. Il loro primo obiettivo dovrebbe essere quello di creare fiducia tra gli interessati e l’azienda.
“GDPR”
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge universale completa. Si occupa di organizzazioni nell’Unione europea (UE) e nello Spazio economico europeo (SEE).
Nel 2016, questo regolamento ha sostituito la direttiva sulla protezione dei dati. Quest’ultimo aveva poco o nessun controllo sull’elaborazione dei dati digitali e su Internet. Nel GDPR, gli sviluppi tecnologici rivestono un ruolo centrale. La strategia per il mercato unico digitale dell’UE, come parte del “regolamento e-privacy”, gestisce tutte le questioni legate alla tecnologia.
Durante i due anni tra la sua adozione e attuazione, tutti i responsabili del trattamento dovevano assicurarsi che le loro pratiche suguisseero il regolamento. Da allora il GDPR ha influenzato molte aziende internazionali e ha agito come una nuova linea guida per gli standard sulla privacy.
“LGPD”
Prima della “Lei Geral de Proteção de Dados” (LGPD), il Brasile aveva 40 diversi statuti che regolavano le leggi sui dati personali. Questa nuova legislazione unifica tutte le contraddizioni in un documento semplice e completo. È entrato in vigore a settembre 2020.
La LGPD si applica a tutte le attività con clienti in Brasile senza considerare l’ubicazione fisica dell’azienda. Questo statuto condivide un’apparente somiglianza con il GDPR in questo senso. A causa di questa disposizione, se la tua azienda sta già seguendo il GDPR, la conformità LGPD non sarà troppo problematica.
A differenza del regolamento dell’UE, la controparte brasiliana non ha un’unica definizione di “dati personali”. Tuttavia, i suoi principi di conformità fondamentali sono simili al GDPR. Gli interessati hanno il diritto di:
- Confermare l’elaborazione
- Accedere ai dati
- Correggere le informazioni incomplete, inesatte o non aggiornate
- Anonimizzare, bloccare o eliminare informazioni non necessarie o eccessive
- Ricevere la richiesta di trasferimento di informazioni a un altro fornitore di servizi o prodotti
- Dare il consenso alla cancellazione dei dati personali
- Ottenere informazioni sulle entità che hanno ricevuto dati dal titolare del trattamento
- Essere informato della possibilità di negare il consenso e quali conseguenze può avere
- Revocare il consenso
Sebbene esistano innegabili somiglianze tra GDPR e LGPD, ci sono anche alcune differenze. La LGPD elenca dieci basi legali per l’elaborazione dei dati, invece delle 7 nel documento dell’UE. Un’altra differnza è che la LGPD non fornisce una scadenza per la comunicazione restrittiva se si verifica una violazione. I responsabili del trattamento devono dichiarare il problema entro un “periodo di tempo ragionevole”.
In Brasile, le multe per violazione non sono così gravi come in Europa. La violazione comporterà il 2% delle entrate per l’anno fiscale precedente, tasse escluse. La pena più grande non può superare i 50 milioni di reais (quasi 8 milioni di euro).
“CCPA”
Il Consumer Privacy Act (CCPA) della California regola i problemi di privacy tra aziende e individui nello stato della California. Molti esperti sostengono che il disegno di legge non è efficiente solo all’interno dello stato. Sostengono che dovrebbe esserci un più ampio coinvolgimento federale. Tuttavia, la legge è entrata in vigore all’inizio del 2020 e migliora lo stato di privacy dei residenti nello stato.
Copre le attività con sede in California che soddisfano almeno uno dei seguenti criteri:
- Aziende con entrate lorde di $ 25 milioni
- Aziende che hanno a che fare con 50.000 o più consumatori
- Aziende che guadagnano più della metà delle loro entrate annuali dall’elaborazione dei dati
Il confronto tra CCPA e GDPR rivela alcune differenze. Prima di tutto, il California Privacy Act è più specifico. In secondo luogo, copre solo le informazioni fornite direttamente da un consumatore. I dati acquistati non sono protetti. Terzo, i consumatori possono rinunciare se non desiderano che le loro informazioni vengano vendute a terzi. È previsto un periodo di 30 giorni per dare alle aziende la possibilità di conformarsi dopo aver ricevuto una notifica di violazione. Le aziende dovrebbero anche sapere che un cittadino può aprire una causa legale contro l’azienda in caso di violazione. Questa legge offre ai suoi consumatori maggiori opportunità di difendere i propri dati personali.
In che modo la protezione dei dati influisce sulle imprese nel 2020
Le normative sulla protezione dei dati nella loro tecnologia attuale sono ancora molto nuovi per tutte le parti. Le autorità hanno difficoltà a immaginare tutti gli scenari in cui si applicherà la legge, per non parlare dei metodi di applicazione. Verificare la loro efficienza nel mondo reale sembra ancora più difficile. È relativamente facile applicare questo regolamento alle attività fisiche. Tuttavia, le aziende SaaS creano molti problemi a causa della natura in continua evoluzione di Internet e della tecnologia.
Gli imprenditori sono frustrati dalle ramificazioni poco chiare e talvolta piuttosto costose del mancato rispetto delle regole. Costruire un eccellente framework di protezione dei dati per un’azienda può essere difficile per diversi motivi.
Prima di tutto, le aziende devono iniziare a fare domande che garantiscano il raggiungimento degli obiettivi di conformità. Prima di allora, devono ancora trovare quelle domande. Il secondo è l’obiettiva incapacità di standardizzare le regole in tutti i settori e modelli di business. In terzo luogo, le modifiche costanti e gli aggiornamenti delle normative possono essere difficili da seguire.
Tuttavia, evitare le notifiche di violazione non dovrebbe essere l’unico motivo per cui desideri seguire la legislazione. Se prendi in considerazione alcune direttive, sarano d’aiuto per forgiare la fedeltà al marchio e la fiducia con i tuoi clienti. Questo punto di vista può essere rinfrescante quando rimani bloccato a leggere lunghi documenti legali. Chiediti se essere un marchio affidabile è il tuo obiettivo finale.
Cosa dovrebbe fare la tua azienda
Consideriamo tutte le sfide che circondano la protezione dei dati e le forze dell’ordine. In questo contesto, le aziende SaaS possono adottare alcuni passaggi per avere una transizione senza intoppi.
- Assumere un avvocato, leggere la legge e seguire le direttive. Non possiamo sopravvalutare l’importanza di questo passaggio. Questa mossa cruciale è il “ground zero”.
- Considera le regole di base all’interno del regolamento e crea la tua versione di conformità. Non esistono soluzioni universali.
- Diventa consapevole di quali dati di consumo possiedi e di come li utilizzi. In questo modo sarai in grado di comprendere e chiarire i tuoi obiettivi di raccolta dati.
- Crea una comunicazione chiara e concisa con l’utente. Sii trasparente su quali informazioni raccogli e su come le elabori.
- Concedi agli utenti un maggiore controllo sui propri dati. Devono potersi sentire al sicuro riguardo alle informazioni che accettano di condividere.
- L’elaborazione dei dati non è limitata solo alla tua azienda. Assicurati che anche le terze parti che utilizzano i dati della tua azienda seguano le normative.
Conclusione
La protezione dei dati è una sfida progressiva per tutti gli innovatori, legislatori e utenti. Le aziende SaaS occupano un posto speciale tra queste parti perché trattano una grande quantità di informazioni sui clienti. L’importanza di un’eccellente strategia di protezione dei dati per le aziende di software diventa più evidente man mano che ci rendiamo conto della loro vulnerabilità. La fiducia degli utenti è il fattore decisivo per il successo di una SaaS. Quindi la conformità non è un ostacolo legale. È la base per operazioni aziendali migliori e più trasparenti.