Inizia subito

Cos'è la privacy dei dati?

La privacy dei dati è una modalità di sicurezza dei dati che si occupa di garantire che siano utilizzati solo da persone autorizzate e per lo scopo previsto.

Demo Risk Management

Siamo sempre più capaci di creare, raccogliere, condividere e analizzare dati. Si ritiene infatti che l'umanità produca ogni giorno fino a 2,5 quintilioni di byte di dati. E ogni giorno, ogni minuto, una quantità enorme di questi dati viene raccolta dalle organizzazioni, che li estraggono per scoprire le tendenze, le opportunità e le idee dei loro clienti.

Purtroppo, la raccolta dati avviene spesso con approccio "a rete larga", che acquisisce illegalmente informazioni private e sensibili degli utenti insieme ai dati più pubblici, creando problemi sia ai consumatori che alle aziende. Allo stesso tempo, anche i dati personali condivisi volontariamente dai clienti possono creare gravi problemi se non sono protetti dagli accessi non autorizzati. Per questo motivo, la questione della privacy dei dati è un problema rilevante in tutti i mercati e settori.

Grazie ai miglioramenti nella portata e nell'efficacia della digitalizzazione dei dati, per le organizzazioni di ogni tipo è più semplice costruire profili personali basati sui dati acquisiti dalle persone. Ciò va oltre le informazioni di base come nome, età e indirizzo: oggi quasi tutte le informazioni personali esistono in formato digitale, da quelle apparentemente innocue (come interessi e hobby, preferenze di acquisto, relazioni ecc.) a quelle estremamente private (come numeri di previdenza sociale, informazioni sul credito, dati sanitari, posizione e spostamenti ecc.).

In molti casi, le informazioni che condividiamo online, consapevolmente o meno, vengono utilizzate dalle macchine per renderle più intelligenti. La foto di un cucciolo che pubblichiamo sui social media aiuta a insegnare ad algoritmi semi-intelligenti a riconoscere un cucciolo quando lo vedono. Le ricerche che effettuiamo online insegnano alle macchine a comprendere e riprodurre meglio il linguaggio umano.

Tuttavia, a prescindere dal modo in cui i dati vengono utilizzati, il fatto che esistano e siano a disposizione di utenti sconosciuti sta diventando un motivo di allarme importante. I clienti (per non parlare dei legislatori) di tutto il mondo stanno iniziando a chiedere che le aziende diano ai proprietari dei dati originali l'ultima parola su come questi vengono raccolti e utilizzati.

Per questo motivo, le organizzazioni che stabiliscono e seguono politiche sulla privacy dei dati genuine sono più in grado di instaurare un rapporto di fiducia con i propri clienti. Allo stesso tempo, eliminano i rischi legali associati alla violazione di leggi, standard e regolamenti nuovi e futuri sulla privacy dei dati. La recente multa di 5 miliardi di dollari inflitta a Facebook dalla FTC è un esempio di quanto possano essere salate le sanzioni per la violazione di queste leggi.

La sanzione da 5 miliardi di dollari a Facebook è la più grande mai inflitta a un'azienda per violazioni della privacy dei consumatori, ma non sarà certo l'ultima nel suo genere. Gli organi di controllo governativi negli Stati Uniti, nell'Unione Europea, in Sud America e in tutto il resto del mondo si stanno schierando con decisione contro la raccolta e l'utilizzo non autorizzato dei dati. Le organizzazioni che non aggiornano le loro politiche sulla privacy corrono il rischio di perdere più che la sola fiducia dei loro clienti.

D'altra parte, le aziende che modernizzano attivamente i loro playbook di protezione dei dati, incorporando tecnologie in tempo reale, integrate e automatizzate per garantire che i dati siano utilizzati in modo etico, legale e senza violare i diritti dei proprietari, possono trarre diversi vantaggi.

Tra questi vantaggi vi sono:

Protezione da multe e altre sanzioni

Come già menzionato, uno dei vantaggi aziendali più rilevanti della privacy dei dati è quello di evitare sanzioni e multe. Le pene per il mancato rispetto delle leggi sulla privacy stanno diventando sempre più severe, per non parlare dei risarcimenti ai clienti interessati se i loro dati sensibili vengono resi pubblici illegalmente.

Inoltre, i gruppi governativi stanno prendendo sul serio la loro missione di proteggere i dati degli utenti, promulgando nuove leggi e aumentando le attività di controllo per garantire che le aziende non mettano a rischio i dati dei clienti. Le organizzazioni che creano e seguono politiche adeguate sulla privacy dei dati non devono preoccuparsi di incorrere in accuse penali.

Miglioramento della fiducia dei clienti e degli stakeholder

Il rapporto tra consumatore e azienda va ben oltre le operazioni d'acquisto; quando un cliente sceglie di fare affari con un'organizzazione, si affida a quest'ultima per il rispetto e la sicurezza dei dati personali che possono essere scambiati durante il processo. E quando questa fiducia viene tradita, è difficile riguadagnarla.

Le violazioni della privacy comportano gravi danni alla reputazione e al marchio. I clienti di oggi hanno così tante opzioni e, in molti casi, un solo errore in termini di sicurezza dei dati è sufficiente a farli cadere nelle braccia dei concorrenti. Al contrario, le aziende che dimostrano chiaramente il loro impegno nei confronti della privacy dei dati, che offrono ai clienti un controllo illimitato sulle modalità di raccolta e utilizzo dei loro dati e che agiscono in modo trasparente nelle loro pratiche di gestione degli stessi vedono aumentare la fedeltà dei clienti. Ciò si traduce in un miglioramento del valore del marchio e del lifetime value del cliente.

Migliori processi aziendali (data management)

La gestione della privacy dei dati obbliga le organizzazioni a esaminarli in modo più dettagliato con le modalità d'interazione dei dati all'interno dell'azienda. Iniziando con un audit dettagliato (e proseguendo con audit regolari e continui) per determinare come vengono raccolti e utilizzati i dati, le aziende possono facilmente identificare e risolvere le inefficienze nella gestione dei dati. In questo modo si crea una cultura più incentrata su di essi e si contribuisce a snellire i processi aziendali, a vantaggio di tutti i reparti e di tutti i livelli.

Le iniziative per la privacy possono anche incoraggiare le aziende a consolidare le loro piattaforme di dati, portando tutti i dati rilevanti e gli strumenti per la loro gestione in un'unica posizione centralizzata. Questo riduce i pericoli associati all'isolamento dei dati e consente di analizzarli meglio, oltre a una maggiore integrità degli stessi e a decisioni aziendali più accurate.

Per servire meglio i clienti, evitare danni alla reputazione e rimanere conformi alle normative nuove e a quelle consolidate, molti sviluppatori di software stanno abbracciando la privacy by design (PbD).

La PbD è un approccio nuovo e più deliberato alla privacy dei dati. Incoraggia gli ingegneri di sistema a incorporare controlli e soluzioni per la privacy per tutti i prodotti, i servizi, le infrastrutture e le pratiche aziendali. Queste attenzioni dovrebbero essere integrate fin dalle prime fasi di sviluppo e rimanere un obiettivo costante durante la produzione, l'implementazione e il supporto successivo all'implementazione.

Il PbD assicura che la privacy dei dati rimanga centrale durante l'intero ciclo di vita dello sviluppo, anziché occuparsene prima del lancio all'ultimo momento.

Purtroppo, un'efficace gestione della privacy dei dati non è così semplice come il semplice decidere di gestire i dati dei clienti in modo responsabile. Le aziende moderne hanno davanti una serie di ostacoli che devono essere superati o evitati per arrivare a gestire efficacemente la privacy dei dati:

Etica dei dati

I progressi dell'intelligenza artificiale (AI) consentono alle organizzazioni di analizzare con maggiore facilità e precisione grandi quantità di dati degli utenti. Ma queste nuove possibilità comportano alcune questioni etiche che devono essere affrontate. Fino a che punto si deve permettere l'analisi dei dati? L'AI ha il potere di estrarre informazioni estremamente personali, preziose e sensibili sulla base di dati altrimenti innocui. Le aziende devono essere pienamente consapevoli delle conseguenze della raccolta di questo tipo di dati prima di ricorrere a determinate tattiche.

Minacce interne

Gran parte della responsabilità della privacy dei dati ricade sul personale che lavora con essi. Un personale poco preparato può facilmente smarrire, esporre o utilizzare in modo improprio i dati, mettendo a rischio i clienti ed esponendo le aziende a possibili ritorsioni. Allo stesso modo, un personale inaffidabile può tentare attivamente di rubare dati sensibili. L'intero personale deve essere sottoposto a un controllo completo prima di avere accesso alle informazioni dei clienti e deve essere formato sulle politiche e sugli standard relativi alla privacy dei dati.

Smaltimento inefficace dei dati

Molte aziende si concentrano sulla raccolta e sull'analisi dei dati, ma non si assumono responsabilità a riguardo una volta terminato il rapporto commerciale. I dati personali devono essere conservati solo in conformità agli standard stabiliti e solo per il tempo in cui il cliente (o il personale) è associato all'azienda. Conservare i dati personali più a lungo del necessario può comportare multe e sanzioni e rendere più dannose le potenziali violazioni dei dati.

Vulnerabilità delle applicazioni Web

In un'organizzazione incauta, il software ospitato su Web e su cloud può fungere da punto di accesso non protetto ai dati. La sicurezza dei dati richiede che ogni nuova applicazione sia ispezionata in modo approfondito e approvata come sicura prima di essere distribuita all'interno dell'organizzazione.

Pianificazione inefficace della risposta

La protezione dei dati è essenziale, ma se una minaccia ai dati riesce a superare i controlli di sicurezza o un evento emergente minaccia l'integrità dei dati, le aziende hanno bisogno di un piano per rispondere agli incidenti efficacemente. Creare, condividere, migliorare e formare il piano in modo che possa essere messo in atto al primo segnale di violazione dei dati aiuterà a limitare il danno potenziale rappresentato da tale minaccia.

Raccolta di dati non necessaria

Le nuove leggi impongono ai clienti di fornire un'autorizzazione esplicita all'utilizzo dei loro dati da parte delle organizzazioni, ponendo l'accento sulla libertà di scegliere il tipo di dati da condividere. Le aziende che non limitano le pratiche di raccolta dei dati al di là di quanto strettamente necessario per la transazione rischiano di incorrere in problemi legali.

Termini e condizioni sulla privacy poco chiari

Sono finiti i tempi in cui le organizzazioni senza scrupoli potevano nascondere le loro vere intenzioni dietro al legalese e a complicati accordi sulle politiche. Oggi, i termini e le condizioni sulla privacy dei dati devono essere presentati in modo che ogni cliente o altra parte interessata possa facilmente comprendere. Se l'utente può dimostrare che non era chiaro cosa stesse accettando, la colpa ricade sull'azienda.

Problemi relativi alla sessione scaduta

Quando i clienti abbandonano i moduli online contenenti informazioni personali, possono
permettere ad altri utenti di accedere a quei dati. Le funzioni di sicurezza per la scadenza della sessione sono
progettate per interrompere l'accesso ai moduli sensibili e ad altre informazioni se l'utente non ha compiuto
un'azione specifica sul sito entro un tempo prestabilito. L'inclusione di queste protezioni in tutte le
applicazioni e i sistemi informatici può proteggere ed esporre meno i dati.

Canali di trasferimento dati non sicuri

Spesso si pensa che i dati digitali viaggino direttamente dal punto A al punto B. Ma mentre sono in
transito, quei dati possono fermarsi in modo inaspettato, esponendo potenzialmente informazioni sensibili
a utenti non autorizzati. I canali non protetti sono un problema importante per la privacy dei dati e le aziende
dovrebbero utilizzare solo canali sicuri (come SFTP o TLS).

È chiaro che nel panorama aziendale odierno la privacy dei dati è un problema importante. Ma come possono
le organizzazioni superare le sfide e creare una cultura della privacy dei dati? Qui di seguito illustriamo
alcune best practice per aiutare le aziende a iniziare:

Considerare la privacy dei dati in modo olistico

La privacy dei dati è un problema e una responsabilità che riguarda l'intera azienda, per cui non dovrebbe limitarsi al reparto IT. Adotta un approccio olistico e coinvolgi ogni settore dell'organizzazione nella definizione e nel rispetto delle politiche sulla privacy dei dati.

Mappare i dati

Per gestire la privacy dei dati in modo efficace, le organizzazioni devono necessariamente avere un'idea chiara di dove questi si trovino, di cosa contengano, di chi vi abbia accesso e di quanto siano aggiornati. La mappatura dei dati crea un quadro dettagliato della situazione attuale dei dati di un'azienda.

Coordinare prassi e promesse

Mettere in atto politiche, termini e condizioni validi rappresenta solo metà dell'opera. Un'azienda che non riesce a dare seguito a queste politiche, non mantenendo le promesse e non rispettando i propri obblighi, espone l'organizzazione a responsabilità legali e delude i clienti.

Aggiornare regolarmente le politiche di raccolta dei dati

La raccolta dei dati non è un processo statico. Il tipo di dati che le organizzazioni ritengono rilevanti e utili può cambiare di trimestre in trimestre, se non più spesso. Ciononostante, se le organizzazioni decidono di aggiornare le loro pratiche di raccolta e utilizzo dei dati, dovranno aggiornare anche le loro politiche per riflettere tali cambiamenti.

Valutare i fornitori

Nessuna azienda è un'isola. I fornitori e gli appaltatori di terze parti potrebbero avere bisogno di accedere ai dati sensibili dei clienti, quindi è fondamentale che le organizzazioni esaminino a fondo questi partner per assicurarsi che dispongano di pratiche di sicurezza affidabili. In caso contrario, le entità terze diventano punti deboli attraverso i quali possono verificarsi fughe di dati.

Ogni anno i governi adottano una posizione sempre più forte contro le violazioni della privacy dei dati. Ecco un elenco di alcune recenti legislazioni volte a rafforzare la privacy dei dati in diverse aree del mondo:

GDPR (Regolamento generale sulla protezione dei dati)

Unione Europea: garantisce ai/alle cittadini/e dell'UE un maggiore controllo sui loro dati personali, semplifica e stabilisce norme sui dati per le imprese e tratta la raccolta e il trasferimento di dati personali al di fuori dell'UE e delle aree SEE.

CCPA (California Consumer Privacy Act)

California: accresce i diritti dei/delle cittadini/e californiani/e in merito alla privacy dei dati e alla protezione dei consumatori, regolando il modo in cui le aziende possono gestire e utilizzare i dati personali.

CPRA (California Privacy Rights Act)

California: espande il CCPA, consolidando i diritti dei/delle residenti in California in materia di dati, stabilendo norme commerciali più severe e ampliando il requisito del consenso per comprendere un maggior numero di scenari.

CDPA (Consumer Data Protection Act)

Virginia: offre ai/alle cittadini/e della Virginia un maggiore controllo sulla privacy dei loro dati personali, consentendo loro di accedere, modificare e cancellare le informazioni personali raccolte dalle organizzazioni. Stabilisce inoltre standard e regolamenti per la raccolta dei dati per le aziende di tutte le dimensioni.

LGPD (Lei Geral de Proteção de Dados)

Brasile: include disposizioni e regolamenti simili al GDPR dell'UE. Stabilisce inoltre che le aziende brasiliane debbano nominare responsabili della protezione dei dati per garantire che le politiche siano seguite correttamente.

ServiceNow offre una modalità di gestione della privacy con Governance, Risk and Compliance. Supporta la privacy by design, tieni sotto controllo i rischi e la conformità in tempo reale e crea fiducia con Privacy Management.

Esplora Process Optimization

Identifica e gestisci il rischio di privacy come parte di un programma di rischio olistico in tutta l'azienda. Garantisci conformità alle normative globali sulla privacy in costante evoluzione.

Scopri di più
Contattaci

Risorse

Webinar

Segnalare i rischi all'amministrazione: non deve essere una sfida

Automazione intelligente della privacy: il futuro della data privacy

Now on Now: conformità internazionale della privacy e GRC

White Paper

Automazione della privacy dei dati

eBook

Alla gestione della privacy serve un nuovo playbook

Solution Brief

Gestione fornitori

Contatti
Demo