Un rivenditore online ottiene sempre il consenso esplicito degli utenti prima di condividere i dati dei clienti con i suoi partner. Un'app di navigazione mantiene anonimi i dati sulle attività prima di analizzarli per le tendenze di viaggio. Una scuola chiede ai genitori di verificare la loro identità prima di fornire informazioni sugli studenti.
Questi sono solo alcuni esempi di come le organizzazioni supportano la privacy dei dati, il principio secondo cui le persone dovrebbero avere il controllo dei propri dati personali, incluso chi può vederli, chi può raccoglierli e come possono essere utilizzati.
Non si può sottovalutare l'importanza della privacy dei dati per le aziende di oggi. Regolamentazioni di vasta portata come il GDPR europeo impongono pesanti sanzioni alle organizzazioni che non salvaguardano le informazioni sensibili. Le violazioni della privacy, causate da hacker malintenzionati o dalla negligenza dei dipendenti, possono distruggere la reputazione e i ricavi di un'azienda. Contemporaneamente, le aziende che danno priorità alla privacy delle informazioni possono assicurarsi un rapporto di fiducia con i consumatori e guadagnare un vantaggio sui concorrenti meno attenti alla privacy.
Eppure, nonostante le buone intenzioni, molte organizzazioni hanno difficoltà a proteggere la privacy. La privacy dei dati è più un'arte che una scienza, una questione di equilibrio tra obblighi legali, diritti degli utenti e requisiti di cybersecurity senza che tutto ciò possa ostacolare la capacità dell'azienda di ottenere valore dai dati raccolti.
Prendiamo in considerazione un'app per il budgeting che le persone utilizzano per tenere traccia delle spese e di altre informazioni finanziarie sensibili. Quando un utente si iscrive, l'app mostra un'informativa sulla privacy che spiega chiaramente i dati raccolti e come li utilizza. L'utente può accettare o rifiutare singolarmente ogni attività di utilizzo dei propri dati.
Ad esempio, è possibile rifiutare la condivisione dei propri dati con terzi, pur consentendo all'app di generare offerte personalizzate.
L'app cripta pesantemente tutti i dati finanziari degli utenti. Solo gli amministratori possono accedere ai dati dei clienti nel back-end. Anche in questo caso, gli amministratori possono utilizzare i dati solo per aiutare i clienti a risolvere i problemi relativi all'account e solo con l'autorizzazione esplicita dell'utente.
Questo esempio illustra tre componenti principali dei framework comuni per la privacy dei dati:
La conformità alle normative pertinenti è alla base di molti sforzi volti a tutelare la privacy dei dati. Sebbene le leggi sulla protezione dei dati varino, generalmente definiscono le responsabilità delle organizzazioni che raccolgono dati personali e i diritti degli interessati che possiedono tali dati.
Il GDPR è una normativa sulla privacy dell'Unione Europea che disciplina il modo in cui le organizzazioni all'interno e all'esterno dell'Europa gestiscono i dati personali dei residenti nell'UE. Oltre ad essere forse la legge sulla privacy più completa, è tra le più severe. Le sanzioni per la mancata conformità possono arrivare fino a 20.000.000 di euro o al 4% del fatturato mondiale dell'organizzazione nell'anno precedente, a seconda di quale sia l'importo più alto.
Il Data Protection Act 2018 è, essenzialmente, la versione britannica del GDPR. Sostituisce una precedente legge sulla protezione dei dati e implementa molti degli stessi diritti, requisiti e sanzioni dell'UE.
Il PIPEDA canadese disciplina il modo in cui le aziende del settore privato raccolgono e utilizzano i dati dei consumatori. Il PIPEDA garantisce agli interessati un controllo significativo dei propri dati, ma si applica solo ai dati utilizzati per scopi commerciali. Sono esenti i dati utilizzati per altri scopi, come il giornalismo o la ricerca.
Molti singoli stati degli Stati Uniti hanno le proprie leggi sulla privacy dei dati. Il più importante di questi è il California Consumer Privacy Act (CCPA) che, per via del modo in cui definisce l'atto di "fare affari in California", si applica praticamente a qualsiasi organizzazione abbia un sito web.
Tra i vari diritti, il CCPA consente ai californiani di impedire la vendita dei propri dati e di farli cancellare su loro richiesta. Le organizzazioni rischiano multe fino a 7.500 dollari per violazione. Il costo può aumentare rapidamente. Se un'azienda dovesse vendere i dati degli utenti senza consenso, ogni record venduto conterebbe come una violazione.
Gli Stati Uniti non hanno normative generali sulla privacy dei dati a livello nazionale, ma hanno alcune leggi più mirate.
Ai sensi del Children's Online Privacy Protection Act (COPPA), le organizzazioni devono ottenere l'autorizzazione di un genitore prima di raccogliere e trattare dati di chiunque abbia meno di 13 anni. Le regole per la gestione dei dati dei bambini potrebbero diventare ancora più severe se il Kids Online Safety Act (KOSA), attualmente all'esame del Senato degli Stati Uniti, diventasse legge. Il KOSA richiederebbe ai servizi online di utilizzare come predefinite le impostazioni di privacy massime nel caso di utenti con età inferiore ai 18 anni.
L'Health Insurance Portability and Accountability Act (HIPAA) è una legge federale che disciplina il modo in cui gli operatori sanitari, le compagnie assicurative e altre aziende salvaguardano le informazioni sanitarie personali.
Il Payment Card Industry Data Security Standard (PCI DSS) non è una legge, ma un insieme di standard sviluppati da un consorzio di società di carte di credito, tra cui Visa e American Express. Questi standard definiscono il modo in cui le aziende devono proteggere i dati delle carte di pagamento dei clienti.
Sebbene il PCI DSS non sia un requisito legale, le società di carte di credito e gli istituti finanziari possono multare le aziende che non si adeguano o addirittura vietare loro di elaborare le carte di pagamento.
La conformità alle normative sulla privacy è solo il punto di partenza. Sebbene rispettare la legge possa aiutare a evitare sanzioni, potrebbe non essere sufficiente a proteggere completamente le informazioni di identificazione personale (PII) e altri dati sensibili da hacker, usi impropri e altre minacce alla privacy.
Ecco alcuni principi e pratiche comuni che le organizzazioni utilizzano per rafforzare la privacy dei dati:
Per una governance dei dati efficace, un'organizzazione deve conoscere i tipi di dati in suo possesso, dove risiedono e come vengono utilizzati.
Alcuni tipi di dati, come quelli biometrici e i numeri di previdenza sociale, richiedono protezioni più forti rispetto ad altri. Sapere come i dati si muovono attraverso la rete aiuta a tenere traccia dell'utilizzo, rilevare attività sospette e mettere le misure di sicurezza nei posti giusti.
Infine, la piena visibilità dei dati rende più facile soddisfare le richieste di accesso, aggiornamento o cancellazione delle informazioni da parte degli interessati. Se l'organizzazione non dispone di un inventario completo dei dati, potrebbe involontariamente tralasciare alcuni record utente dopo una richiesta di eliminazione.
Un rivenditore digitale cataloga tutti i diversi tipi di dati dei clienti in suo possesso, come nomi, indirizzi e-mail e informazioni di pagamento salvate. Mappa il modo in cui ogni tipo di dati si sposta tra sistemi e dispositivi, chi vi ha accesso (inclusi dipendenti e terze parti) e come vengono utilizzati. Infine, il rivenditore classifica i dati in base ai livelli di sensibilità e applica controlli appropriati a ciascun tipo. L'azienda conduce audit regolari per mantenere aggiornato l'inventario dei dati.
Le organizzazioni possono limitare i rischi per la privacy concedendo agli utenti il massimo controllo possibile sulla raccolta e il trattamento dei dati. Se un'azienda ottiene sempre il consenso di un utente prima di fare qualsiasi cosa con i suoi dati, è difficile che l'azienda commetta una violazione della privacy di qualcuno.
Detto questo, a volte le organizzazioni devono elaborare i dati di qualcuno senza che ne abbiano il consenso. In questi casi, l'azienda dovrebbe assicurarsi di avere un valido motivo legale per farlo, come un giornale che riporta reati che gli autori preferirebbero nascondere.
Un sito di social media crea un portale per la gestione dei dati self-service. Gli utenti possono scaricare tutti i dati che condividono con il sito, aggiornarli o eliminarli e decidere in che modo il sito può elaborare le loro informazioni.
Può essere allettante creare un'ampia rete, ma più dati personali raccoglie un'azienda, più è esposta ai rischi per la privacy. Piuttosto, le organizzazioni possono adottare il principio di limitazione: identificare uno scopo specifico per la raccolta dei dati e raccogliere la quantità minima di dati necessaria per soddisfare tale scopo.
Anche le politiche di conservazione dovrebbero essere limitate. Le organizzazioni dovrebbero eliminare i dati non appena lo scopo specifico è raggiunto.
Un ente per la sanità pubblica sta indagando sulla diffusione di una malattia in un particolare quartiere. L'ente non raccoglie informazioni personali dalle famiglie che intervista. Registra solo se qualcuno è malato. Una volta completato il sondaggio e determinati i tassi di infezione, l'agenzia cancella i dati.
Le organizzazioni dovrebbero tenere aggiornati gli utenti su tutto ciò che fanno con i loro dati, incluso tutto ciò che fanno i loro partner di terze parti.
Una banca invia annualmente informative sulla privacy a tutti i suoi clienti. Questi avvisi delineano tutti i dati che la banca raccoglie dai titolari dei conti, il modo in cui utilizza tali dati per aspetti quali la conformità normativa e le decisioni sul credito e per quanto tempo conserva i dati. Inoltre, la banca avvisa i titolari dei conti di eventuali modifiche alla sua politica sulla privacy non appena vengono apportate.
Rigorose misure di controllo degli accessi possono aiutare a prevenire l'accesso e l'uso non autorizzati. Solo le persone che hanno bisogno dei dati per motivi legittimi dovrebbero avervi accesso. Le organizzazioni dovrebbero utilizzare l'autenticazione a più fattori (MFA) o altre misure efficaci per verificare l'identità degli utenti prima di concedere l'accesso ai dati. Le soluzioni di gestione delle identità e degli accessi (IAM) possono aiutare ad applicare politiche granulari di controllo degli accessi in tutta l'organizzazione.
Un'azienda tecnologica utilizza criteri di controllo degli accessi basati sui ruoli, al fine di assegnare i privilegi di accesso in base ai ruoli dei dipendenti. Questi possono accedere soltanto ai dati utili allo svolgimento delle responsabilità lavorative principali e possono utilizzarli solo in modi approvati. Ad esempio, il responsabile delle risorse umane può visualizzare i documenti dei dipendenti, ma non quelli dei clienti. Gli addetti al servizio clienti possono vedere gli account dei clienti, ma non i loro dati di pagamento salvati.
Le organizzazioni devono utilizzare una combinazione di strumenti e strategie per proteggere i dati a riposo, in transito e in uso.
Un operatore sanitario cripta il data storage dei pazienti e utilizza un sistema di rilevamento delle intrusioni per monitorare tutto il traffico verso il database. Utilizza uno strumento di prevenzione della perdita di dati (DLP) per tracciare il modo in cui i dati vengono spostati e utilizzati. Nel caso in cui rilevi attività illecite, come l'account di un dipendente che sposta i dati dei pazienti su un dispositivo sconosciuto, il DLP genera un allarme e interrompe la connessione.
Le valutazioni dell'impatto sulla privacy (PIA) determinano l'entità del rischio che una particolare attività rappresenta per la privacy degli utenti. Le PIA identificano in che modo il trattamento dei dati potrebbe danneggiare la privacy degli utenti e come prevenire o mitigare tali problemi di privacy.
Una società di marketing conduce sempre una PIA prima di ogni nuovo progetto di ricerca di mercato. L'azienda sfrutta questa opportunità per definire chiaramente le attività di trattamento e colmare eventuali lacune nella sicurezza dei dati. In questo modo, i dati vengono utilizzati solo per uno scopo specifico e protetti in ogni fase. Se l'azienda identifica gravi rischi che non può ragionevolmente mitigare, riorganizza o annulla il progetto di ricerca.
La privacy dei dati fin dalla progettazione e per impostazione predefinita è la filosofia secondo cui la privacy dovrebbe essere una componente fondamentale di tutto ciò che fa l'organizzazione, di ogni prodotto che crea e ogni processo che segue. L'impostazione predefinita per qualsiasi sistema dovrebbe essere quella più rispettosa della privacy.
Quando gli utenti si iscrivono a un'app per il fitness, le impostazioni sulla privacy dell'app sono automaticamente impostate su «non condividere i miei dati con terze parti». Gli utenti devono modificare manualmente le impostazioni per consentire all'organizzazione di vendere i propri dati.
Il rispetto delle leggi sulla protezione dei dati e l'adozione di pratiche sulla privacy possono aiutare le organizzazioni a evitare molti dei maggiori rischi per la privacy. Tuttavia, vale la pena esaminare alcune delle cause più comuni e dei fattori che contribuiscono alle violazioni della privacy in modo che le aziende sappiano a cosa prestare attenzione.
Quando le organizzazioni non hanno una visibilità completa delle loro reti, le violazioni della privacy possono prosperare nelle lacune. I dipendenti potrebbero spostare dati sensibili negli asset di shadow IT non protetti. Potrebbero utilizzare regolarmente i dati personali senza il permesso dell'interessato perché i supervisori non hanno il controllo necessario per individuare e correggere il comportamento. I criminali informatici possono intrufolarsi nella rete senza essere individuati.
Man mano che le reti aziendali diventano più complesse, combinando risorse on-premise, lavoratori da remoto e cloud service, diventa più difficile tenere traccia dei dati in tutto l'ecosistema IT. Le organizzazioni possono utilizzare strumenti come soluzioni di gestione delle superfici di attacco e piattaforme di protezione dei dati per semplificare il processo e proteggere i dati ovunque risiedano.
Alcune normative stabiliscono regole speciali per il trattamento automatizzato. Ad esempio, il GDPR conferisce alle persone il diritto di contestare le decisioni prese attraverso il trattamento automatizzato dei dati.
L'ascesa dell'intelligenza artificiale generativa può porre problemi di privacy ancora più spinosi. Le organizzazioni non possono necessariamente controllare ciò che queste piattaforme fanno con i dati che inseriscono. Fornire i dati dei clienti a una piattaforma come ChatGPT potrebbe aiutare a raccogliere insight sul pubblico, ma l'AI può incorporare tali dati nei suoi modelli di addestramento. Se gli interessati non hanno acconsentito all'utilizzo delle loro PII per addestrare un'AI, ciò costituisce una violazione della privacy.
Le organizzazioni dovrebbero spiegare chiaramente agli utenti come trattano i loro dati, inclusa qualsiasi elaborazione da parte dell'AI, e ottenere il consenso degli interessati. Tuttavia, anche le organizzazioni potrebbero non sapere tutto ciò che l'AI fa con i loro dati. Per questo motivo, le aziende dovrebbero prendere in considerazione la possibilità di lavorare con app di AI che permettano loro di mantenere il massimo controllo sui loro dati.
Gli account rubati sono il principale vettore di violazioni dei dati, secondo il report IBM Cost of a Data Breach. Le organizzazioni rischiano quando concedono ai propri utenti più privilegi di quelli di cui hanno bisogno. Più autorizzazioni di accesso ha un utente, più danni può fare un hacker dirottando il loro account.
Le organizzazioni dovrebbero seguire il principio del privilegio minimo. Gli utenti devono disporre solo della quantità minima di privilegi necessari per svolgere il proprio lavoro.
I dipendenti possono violare accidentalmente la privacy degli utenti se non sono a conoscenza delle politiche e dei requisiti di conformità dell'organizzazione. Possono anche mettere a rischio l'azienda non adottando buone abitudini di privacy nella loro vita personale.
Ad esempio, se i dipendenti condividono troppo riguardo ai propri account personali sui social media, i criminali informatici possono utilizzare queste informazioni per creare convincenti attacchi di spear phishing e compromissione delle e-mail aziendali.
La condivisione dei dati degli utenti con terze parti non è automaticamente una violazione della privacy, ma può aumentarne il rischio. Più persone hanno accesso ai dati, più possibilità ci sono che hacker, minacce interne o persino la negligenza dei dipendenti causino problemi.
Inoltre, terze parti senza scrupoli potrebbero utilizzare i dati di un'azienda per i propri scopi non autorizzati, trattando i dati senza il consenso dell'interessato.
Le organizzazioni dovrebbero garantire che tutti gli accordi di condivisione dei dati siano regolati da contratti legalmente vincolanti che ritengono tutte le parti responsabili della protezione e dell'uso appropriati dei dati dei clienti.
I dati personali identificabili (PII) sono un obiettivo importante per i criminali informatici, in quanto possono utilizzarli per commettere furti di identità, rubare denaro o venderli sul mercato nero. Le misure di sicurezza dei dati, come la crittografia e gli strumenti DLP, riguardano tanto la salvaguardia della privacy degli utenti quanto la protezione della rete aziendale.
Le normative sulla privacy si stanno inasprendo in tutto il mondo, la superficie di attacco media delle organizzazioni si sta espandendo e i rapidi progressi nell'AI stanno cambiando il modo in cui i dati vengono consumati e condivisi. In questo contesto, la strategia di privacy dei dati di un'organizzazione può essere un elemento di differenziazione importante che ne rafforza il livello di sicurezza e la distingue dalla concorrenza.
Prendiamo, ad esempio, tecnologie come la crittografia e gli strumenti di gestione delle identità e degli accessi (IAM). Queste soluzioni possono aiutare a ridurre il danno finanziario causato da una violazione dei dati, facendo risparmiare alle organizzazioni fino a 572.000 dollari secondo il Report Cost of a Data Breach. Oltre a ciò, solide pratiche di privacy dei dati possono promuovere la fiducia dei consumatori e persino fidelizzare il marchio (link esterno a ibm.com).
Poiché la protezione dei dati diventa sempre più vitale per la sicurezza e il successo aziendale, le organizzazioni devono annoverare i principi, le normative e la mitigazione del rischio sulla privacy dei dati tra le loro priorità principali.
Esplora Guardium Data Protection