Con l’espandersi delle leggi sulla privacy dei dati, le aziende devono utilizzare metodi di protezione

39

Siamo entusiasti di riportare Transform 2022 di persona il 19 luglio e virtualmente dal 20 al 28 luglio. Unisciti ai leader dell’IA e dei dati per discussioni approfondite ed entusiasmanti opportunità di networking. Registrati oggi!

La protezione dei dati è una sfida per molte aziende perché gli Stati Uniti non hanno attualmente una legge nazionale sulla privacy, come il GDPR dell’UE, che delinei esplicitamente i mezzi per la protezione. In assenza di un referendum federale, diversi stati hanno firmato misure complete sulla privacy dei dati in legge. Il California Privacy Rights Act (CPRA) sostituirà l’attuale legge sulla privacy dello stato ed entrerà in vigore il 1° gennaio 2023, così come il Virginia Consumer Data Protection Act (VCDPA). Il Colorado Privacy Act (CPA) inizierà il 1 luglio 2023, mentre lo Utah Consumer Privacy Act (UCPA) inizierà il 31 dicembre 2023.

Per le aziende che operano in California, Virginia, Colorado e Utah*, o in qualsiasi combinazione dei quattro, è essenziale comprendere le sfumature delle leggi per garantire che soddisfino i requisiti di protezione e mantengano la conformità in ogni momento.

Capire come si intersecano le leggi sulla privacy dei dati è difficile

Sebbene lo spirito delle leggi sulla privacy dei dati di questi quattro stati sia quello di ottenere una protezione dei dati più completa, ci sono importanti sfumature che le organizzazioni devono risolvere per garantire la conformità. Ad esempio, lo Utah non richiede alle aziende interessate di condurre valutazioni sulla protezione dei dati, verifiche su come un’azienda protegge i dati per determinare i potenziali rischi. Virginia, California e Colorado richiedono valutazioni, ma variano i motivi per cui un’azienda potrebbe doverne farne una.

Virginia richiede alle aziende di sottoporsi a valutazioni sulla protezione dei dati per elaborare i dati personali per la pubblicità, la vendita di dati personali, l’elaborazione di dati sensibili o l’elaborazione di finalità di profilazione dei consumatori. Il VCDPA impone anche una valutazione per “attività di trattamento che coinvolgono dati personali che presentano un rischio maggiore di danni ai consumatori”. Tuttavia, la legge non definisce esplicitamente ciò che considera un “rischio accresciuto”. Il Colorado richiede valutazioni come Virginia, ma esclude la profilazione come motivo di tali valutazioni.

Allo stesso modo, il CPRA richiede valutazioni annuali sulla protezione dei dati per le attività che pongono rischi significativi per i consumatori ma non delinea ciò che costituisce rischi “significativi”. Tale definizione sarà effettuata attraverso un processo normativo tramite la California Privacy Protection Agency (CPPA).

Le leggi statali hanno anche variazioni relative al fatto che una valutazione sulla protezione dei dati richiesta da una legge sia trasferibile a un’altra. Ad esempio, supponiamo che un’organizzazione debba aderire al VCDPA e a un’altra legge statale sulla privacy. Se tale azienda è sottoposta a una valutazione sulla protezione dei dati con requisiti simili o più rigorosi, VCDPA riconoscerà che l’altra valutazione soddisfa i loro requisiti. Tuttavia, le aziende soggette al CPA non hanno questo lusso: il Colorado riconosce solo i suoi requisiti di valutazione per soddisfare la conformità.

Un’altra area in cui le leggi differiscono è il modo in cui ciascuna definisce i dati sensibili. La definizione del CPRA è ampia e include un sottoinsieme chiamato informazioni personali sensibili. VCDPA e CPA sono più simili e hanno meno categorie di dati sensibili. Tuttavia, i loro approcci ai dati sensibili non sono identici. Ad esempio, il CPA considera le informazioni sulla vita sessuale e le condizioni di salute fisica e mentale di un consumatore come dati sensibili, mentre il VCDPA no. Al contrario, la Virginia considera i dati sensibili delle informazioni di geolocalizzazione di un consumatore, mentre il Colorado no. Un’azienda che deve aderire a ciascuna legge dovrà determinare quali dati sono ritenuti sensibili per ogni stato in cui opera.

Ci sono anche variazioni nelle quattro leggi sulla privacy relative alla regolamentazione. In Colorado e Utah, l’elaborazione delle regole sarà a discrezione del procuratore generale. La Virginia formerà un consiglio composto da rappresentanti del governo, uomini d’affari ed esperti di privacy per affrontare il processo normativo. La California si impegnerà nella regolamentazione attraverso il CPPA.

Quanto sopra rappresenta solo alcune variazioni tra le quattro leggi – ce ne sono di più. Ciò che è chiaro è che mantenere la conformità a più leggi sarà difficile per la maggior parte delle organizzazioni, ma ci sono misure chiare che le aziende possono adottare per ridurre la complessità.

Superare l’ambiguità attraverso la protezione proattiva della privacy dei dati

Senza una legge nazionale sulla privacy che serva da base per le aspettative sulla protezione dei dati, è importante che le organizzazioni che operano in base a più leggi sulla privacy statali adottino le misure appropriate per garantire la sicurezza dei dati indipendentemente dalle normative. Ecco cinque suggerimenti.

È fondamentale avere qualcuno nello staff o fungere da consulente che comprenda le leggi sulla privacy e possa guidare un’organizzazione attraverso il processo. Oltre alla competenza in materia di conformità, la consulenza legale sarà un must per aiutare a navigare in ogni aspetto delle nuove politiche.

Identificare il rischio dei dati

Dal momento in cui un’azienda crea o riceve dati da una fonte esterna, le organizzazioni devono prima determinarne il rischio in base al livello di sensibilità. La determinazione iniziale getta le basi per i mezzi con cui le organizzazioni proteggono i dati. Come regola generale, più i dati sono sensibili, più rigorose dovrebbero essere le modalità di protezione.

Creare criteri per la protezione dei dati

Ogni organizzazione dovrebbe avere policy chiare e applicabili su come proteggerà i dati. Tali politiche si basano su vari fattori, compresi i mandati normativi. Tuttavia, le politiche dovrebbero tentare di proteggere i dati in un modo che ecceda i mandati di conformità, poiché le normative vengono spesso modificate per richiedere una protezione più rigorosa. In questo modo le organizzazioni possono mantenere la conformità e stare al passo con i tempi.

Integra la protezione dei dati nella pipeline di analisi

La pipeline di analisi dei dati viene costruita nel cloud, dove i dati grezzi vengono convertiti in informazioni aziendali utilizzabili e di grande valore. Per motivi di conformità, le aziende devono proteggere i dati durante tutto il loro ciclo di vita nella pipeline. Ciò implica che i dati sensibili devono essere trasformati non appena entrano nella pipeline e quindi rimangono in uno stato anonimizzato. La pipeline di analisi dei dati è un obiettivo per i criminali informatici perché, tradizionalmente, i dati possono essere elaborati solo mentre si spostano a valle in chiaro. L’impiego dei migliori metodi di protezione della categoria, come il mascheramento dei dati, la tokenizzazione e la crittografia, è fondamentale per proteggere i dati non appena entrano nella pipeline e prevenire l’esposizione che può mettere le organizzazioni fuori conformità o peggio.

Implementare il calcolo ottimizzato per la privacy

Le organizzazioni estraggono un enorme valore dai dati elaborandoli con strumenti di analisi all’avanguardia prontamente disponibili nel cloud. Le tecniche di calcolo per il miglioramento della privacy (PEC) consentono di elaborare i dati senza esporli in chiaro. Ciò consente casi d’uso avanzati in cui i responsabili del trattamento dei dati possono raggruppare dati da più origini per ottenere informazioni più approfondite.

L’adagio, “Un grammo di prevenzione vale una libbra di cura”, è senza dubbio valido per la protezione dei dati, soprattutto quando la protezione è legata al mantenimento della conformità. Per le organizzazioni che rientrano nelle imminenti leggi sulla privacy dei dati, la chiave per la conformità è creare un ambiente in cui i metodi di protezione dei dati siano più rigorosi di quanto richiesto dalla legge. Qualsiasi lavoro svolto ora per gestire la complessità della conformità andrà a beneficio dell’organizzazione solo a lungo termine.

*Da quando ho scritto questo articolo, il Connecticut è diventato il quinto stato ad approvare una legge sulla privacy dei dati dei consumatori.

Ameesh Divatia è il cofondatore e CEO di Baffle

DataDecisionMakers

Benvenuto nella comunità VentureBeat!

DataDecisionMakers è il luogo in cui gli esperti, compresi i tecnici che lavorano sui dati, possono condividere approfondimenti e innovazioni relative ai dati.

Se vuoi leggere idee all’avanguardia e informazioni aggiornate, best practice e il futuro dei dati e della tecnologia dei dati, unisciti a noi su DataDecisionMakers.

Potresti anche considerare di contribuire con un tuo articolo!

Leggi di più da DataDecisionMakers