Che cos'è la gestione della privacy?

Oggi, la tua azienda deve essere in grado di rispettare tutta una serie di leggi locali e internazionali volte a proteggere i diritti dei dati individuali. I processi e le attività a supporto di ciò sono raggruppati in una disciplina che gli esperti chiamano gestione della privacy.

Con l'evoluzione del panorama della privacy, si sono evolute anche le aree più importanti da includere in un programma di gestione della privacy. Poiché quest'area è così importante per le organizzazioni che vogliono aumentare la propria influenza sui clienti e tutelarsi legalmente, è importante comprendere i fattori fondamentali che contribuiscono a un sano programma di gestione della privacy.

Ed è proprio questo l'obiettivo della presente guida. Infatti, grazie a questa guida, puoi ottenere maggiori informazioni su quali aree affrontare, perché sono importanti e come implementare tattiche specifiche per supportarle.

Legittimità, correttezza e non discriminazione

Uno standard fondamentale della gestione della privacy consiste nel poter dimostrare, attraverso la documentazione, di avere una ragione legale per la raccolta e il trattamento dei dati personali. Questa si chiama base giuridica ed è al centro delle più diffuse legislazioni sulla privacy, come il GDPR e l'LGPD.

Di seguito sono riportati i sei parametri da seguire al fine di raggiungere la base giuridica.

1. Esecuzione di un contratto: trattamento di dati per stipulare o eseguire i termini di un contratto.
2. Conformità con un obbligo legale: trattamento di dati per scopi legali, come ad esempio per verificare la domanda e le informazioni di base di un nuovo dipendente.
3. Protezione di interessi vitali delle persone: trattamento di dati per aiutare qualcuno in una situazione di emergenza, molto probabilmente medica.
4. Esecuzione di un'attività svolta nell'interesse pubblico: trattamento di dati in qualità di organizzazione governativa o di persona che ne supporta una.
5. Legittimi interessi: trattamento di dati senza che l'utente fornisca il proprio consenso per un motivo ritenuto prezioso per gli utenti stessi. Completa una valutazione dei legittimi interessi (Legitimate Interests Assessment, LIA) per dimostrare di essere in possesso delle qualificazioni per poter utilizzare questo motivo come base giuridica.
6. Consenso: trattamento di dati legittimo a causa del consenso esplicito degli utenti. Per utilizzarlo come base giuridica, assicurati che la raccolta dei dati sia conforme alle regole del caso: deve essere fornito liberamente, specifico, informato e inequivocabile.

Oltre alla base giuridica, ci sono anche altri quattro fattori di qualificazione da seguire quando si tratta di legittimità, correttezza e non discriminazione.

1. Correttezza: i dati personali devono essere trattati con il massimo livello di correttezza. Ad esempio, assicurati che le impostazioni sulla privacy siano facilmente accessibili e comprensibili e che siano impostate automaticamente sul livello più protettivo.
2. Protezione dei minori: ssicurati che ci siano meccanismi e processi per proteggere i dati dei minori. Ad esempio, come consigliato da alcune leggi sulla privacy, chiedi e otteni il consenso di un genitore prima di trattare i dati di un minore.
3. Trattamento dei dati sensibili: stabilisci policy e livelli appropriati di trattamento speciale per garantire la sicurezza del trattamento di dati sensibili, quali l'etnia, le informazioni sanitarie e l'affiliazione religiosa.
4. Non discriminazione: non puoi discriminare gli utenti in base alle loro preferenze di privacy.
    

Trasparenza e accesso libero

Un moderno programma di gestione della privacy non deve nascondere nulla agli utenti. Non solo il contrario è richiesto da innumerevoli leggi sulla privacy, ma è semplicemente ottimo per gli affari. Creare un'Informativa sulla privacy è il modo più visibile per promuovere una cultura basata sulla trasparenza.

Un'informativa di questo tipo deve essere permanentemente presente sul tuo sito web e facilmente accessibile. Inoltre, deve anche essere archiviata e accessibile dai tuoi dipendenti su un sistema Intranet o cloud. Crea materiale di supporto per aiutare il team a implementare l'Informativa sulla privacy in modo più efficace:

• scrivi procedure e manuali per la formazione dei tuoi dipendenti a cui possano fare riferimento;
• documenta le attività ed effettua verifiche per garantire la conformità interna;
• assegna a una persona e/o a un reparto la responsabilità di creare rapporti e comunicare le modifiche all'Informativa.

Anche la procedura che consente a un utente di inviare un feedback individuale per modificare lo stato del suo feedback dovrebbe far parte della tua Informativa sulla privacy.

Infine, fornisci libero accesso alle informazioni sulla forma e la durata del trattamento dei dati e sulla loro integrità. Questa operazione deve essere eseguita mostrando un avviso agli utenti nel momento in cui raccogli i loro dati: quali informazioni stai raccogliendo, utilizzando, archiviando e trasferendo.

Finalità, limitazione d'uso e idoneità

Non basta avere una buona ragione e un mezzo valido per la raccolta di informazioni personali. La gestione della privacy richiede informazioni specifiche sulla finalità: utilizzerai le informazioni raccolte solo es esclusivamente nel modo hai detto che lo farai.

Per fare in modo di seguire questa procedura:

• documenta la finalità della raccolta dei dati prima di iniziare;
• non raccogliere dati da tenere a portata di mano nel caso in cui ne abbia bisogno in futuro, raccogli i dati solo per le finalità pattuite.

Inoltre, non devi utilizzare i dati più di quanto dichiari di voler fare: la limitazione d'uso ti obbliga, solo per citare alcune delle pratiche consigliate, a non condividere i dati tra i vari reparti, a ridurre al minimo l'esposizione agli hacker e a stabilire un'autenticazione forte dell'identità.

Devi inoltre attenerti al principio di idoneità. Non puoi andare oltre quanto hai comunicato agli interessati in merito al trattamento dei loro dati.

Minimizzazione dei dati, limitazione dell'archiviazione e accuratezza

Un programma di gestione della privacy non deve limitarsi alla preparazione e alla raccolta dei dati personali. Devi anche assicurarti che, una volta raccolti i dati, siano archiviati e conservati in modo sicuro. L'integrità delle informazioni di una persona deve rimanere intatta per tutto il ciclo di vita dei dati presso l'azienda.

La minimizzazione dei dati è il processo che garantisce che il trattamento dei dati personali sia appropriato, pertinente e limitato allo stretto necessario. Per implementare questo processo:

• imposta un'interfaccia utente (UI) in grado di distinguere tra campi opzionali e obbligatori;
• utilizza campi definiti invece di campi di testo aperti;
• verifica l'adeguatezza e la rilevanza dei dati rispetto a una finalità specifica, prima del trattamento stesso;
• raccogli solo i dati necessari per una finalità specifica;
• limita i dati trasferiti allo stretto necessario.

In più, devi anche seguire le pratiche consigliate per quanto riguarda la limitazione dell'archiviazione . I dati personali devono essere conservati in modo da poter essere facilmente eliminati quando non sono più necessari per la finalità pattuita. Esamina regolarmente l'inventario dei dati, imposta i trigger per l'eliminazione dei dati ed elimina i dati personali in modo istantaneo e sicuro quando gli utenti disattivano o eliminano i loro account.

Per fare in modo che i dati personali che conservi rimangano accurati e aggiornati, imposta processi di verifica dedicati. Tutti i file temporanei creati quando archivi dati personali devono essere smaltiti in modo completo e sicuro.

Sistema di gestione

L'esecuzione di un programma di gestione della privacy a lungo termine inizia con la comprensione del contesto legale di tutte le tue operazioni. I governi di tutto il mondo stanno approvando leggi sulla privacy. È necessario comprendere questi requisiti legali, normativi e contrattuali per poterli implementare.

Inizia con l'inventario e la mappatura dei dati. Esamina attentamente i dati archiviati e come vengono gestiti. Ciò include le attività di trattamento, le azioni sui dati, gli elementi di dati, le categoria degli individui e l'ambiente dei dati.

Questo ti aiuterà a capire quale quadro di riferimento per la privacy seguire, come ad esempio il NIST Privacy Framework, e come gestire i rischi associati alla privacy. La gestione di questi rischi è importante. Crea funzioni di segnalazione e controlli sulla privacy per tenerli sotto controllo.

Documenta tutto:

• i fattori interni ed esterni che sono,  o possono potenzialmente,  influire sulla privacy della tua azienda;
• le esigenze e le aspettative delle parti interessate;
• l'ambito che il programma sulla privacy deve coprire.

Una piattaforma di gestione della privacy affidabile e potente è fondamentale per il successo in questo settore. Utilizza un sistema di privacy e/o di sicurezza formale e documentato per portare avanti revisioni e miglioramenti continui.

Sicurezza

Privacy e sicurezza sono discipline diverse, ma correlate. Dipendono l'una dall'altra per essere efficaci ed efficienti. Per garantire il successo del tuo programma di gestione della privacy, assicurati di seguire le pratiche consigliate per la sicurezza:

• conserva registri dei supporti multimediali che contengono dati personali;
• proteggi i dati biometrici archiviandoli al di fuori dei sistemi informativi sui dati personali e all'interno dei supporti fisici di archiviazione dei dati;
• nomina un Responsabile della sicurezza delle informazioni (Information Security Officer, ISO);
• conduci test di penetrazione e valutazioni delle vulnerabilità dei sistemi informatici;
• limita i privilegi di accesso degli utenti a chi necessario;
• utilizza l'autenticazione a più fattori e la crittografia per bloccare l'accesso non autorizzato ai dati;
• installa firewall, patch di sistema, malware e software di protezione antivirus:
• implementa misure tecniche e organizzative per garantire l'integrità, la disponibilità e la resilienza dei sistemi di elaborazione, dei servizi e dei dati.

La sicurezza è fondamentale per la salute di un programma di gestione della privacy. È necessario che sia corretta. Per esaminare i tuoi processi e controlli di sicurezza, consulta questa lista di domande:

• quando hai selezionato i controlli di sicurezza, hai esaminato i fattori legali e normativi?
• quando hai selezionato i controlli di sicurezza, hai esaminato i fattori contrattuali?
• quando hai selezionato i controlli di sicurezza, hai esaminato i fattori aziendali?
• secondo te, la tua organizzazione dispone di controlli di sicurezza adeguati al rischio e alla sensibilità dei dati che tratta?
   

Responsabilizzazione e tenuta dei registri

La responsabilizzazione svolge un ruolo importante nella gestione della privacy. Devi seguire pratiche rigorose per la raccolta, l'archiviazione e l'utilizzo dei dati. Ma devi anche essere in grado di dimostrare tutto ciò nel momento in cui un'autorità di regolamentazione dovesse richiederlo.

I registri del delle attività di trattamento sono il metodo più basilare per stabilire la responsabilizzazione. Conserva registri dettagliati delle attività di trattamento, dei flussi di dati e delle categorie di interessati della tua organizzazione. Se non ne hai una, crea una mappa dati che includa:

• inventari integrati dei dati personali;
• attività di trattamento;
• patrimoni informativi;
• registri delle divulgazioni di terze parti.

Inoltre, consulta i clienti B2B prima di effettuare qualsiasi divulgazione legalmente vincolante di informazioni personali a terzi.

Devi anche essere in grado di dimostrare alle autorità competenti di essere in possesso dell'autorizzazione o di aver ottenuto il consenso per eseguire determinate attività di trattamento. In più, devi anche dimostrare esattamente chi sta svolgendo l'attività, sia per le finalità interne che per quelle esterne.

Per la verifica esterna, devi determinare chi è il responsabile del trattamento dei dati personali quando c'è un contitolare del trattamento. Anche i subappaltatori sono un'entità esterna che deve essere autorizzata dai clienti a trattare i dati.

La tenuta di registri costante e accurata è l'unico modo per assicurarsi di avere le prove necessarie se si è chiamati a rendere conto del proprio operato. È importante disporre di un mix di meccanismi interni di tenuta di registri e auditing, sia automatizzati che manuali: monitora le nuove leggi e normative per aggiornare le policy e le procedure.

Assicurati di avere linee di comunicazione aperte tra l'ufficio addetto alla tutela della privacy e gli altri dipartimenti dell'organizzazione.

DPO e Privacy by Design

Poiché la gestione della privacy è un aspetto così importante per un'organizzazione moderna e che comporta grandi sforzi per essere implementata nel modo giusto, gli esperti raccomandano di assegnare ruoli di leadership dedicati.

Un Responsabile della protezione dei dati (Data Protection Officer, DPO) è il membro del team responsabile della privacy e della protezione dei dati. L'azienda deve dare a questa persona l'autorità, i mezzi e le risorse per stabilire e mantenere un programma di tutela della privacy. Inoltre, il team dirigenziale deve sostenere pienamente le iniziative e i programmi che questo ruolo stabilisce.

Uno dei compiti principali del DPO è creare e gestire in modo coerente i canali di comunicazione a livello di team sulle policy e le procedure relative alla privacy. I responsabili della privacy di ogni reparto fungono da collegamento tra il DPO e i loro team specifici:

• Sicurezza delle informazioni;
• Audit interno;
• Risorse umane;
• Gestione dei vendor;
• Comunicazioni;
• Dirigenti aziendali;
• Sviluppo del prodotto;
• Analisi;
• Marketing.

Per quanto riguarda i sette principi della Privacy by Design, l'altro compito principale del DPO è creare strategie e assicurarsi che siano eseguite correttamente. Questi principi sono:

• proattiva non reattiva - prevenire non correggere;
• privacy come impostazione predefinita;
• privacy incorporata nella progettazione;
• massima funzionalità - valore positivo, non valore zero;
• sicurezza end-to-end - protezione del ciclo di vita;
• visibilità e trasparenza;
• rispetto per la privacy degli utenti.
   

Valutazioni d'impatto sulla privacy

Alcune normative sulla privacy richiedono valutazioni d'impatto sulla privacy (Privacy Impact Assessment, PIA). L'identificazione dei rischi associati alle attività di trattamento è tua responsabilità. Altri standard sulla privacy richiedono che le PIA includano contenuti diversi. Gli elementi essenziali che le PIA devono avere includono:

• le informazioni da raccogliere (natura e fonte);
• i motivi per cui vengono raccolte;
• l'utilizzo previsto;
• con chi saranno condivise.

Le PIA vengono create per comprendere meglio i rischi. Un piano di trattamento del rischio può aiutare a valutare e documentare i risultati delle PIA. Grazie a un piano del genere, sarai in grado di comprendere meglio come agire per ridurre i rischi identificati.

Se hai scoperto un rischio residuo elevato, è nel tuo interesse chiedere consiglio e approvazione alle autorità per la protezione dei dati prima di procedere con l'elaborazione. Per alcune leggi sulla privacy, questo costituisce un obbligo. Quando si tratta di proteggere i dati personali, la prudenza non è mai troppa.

Diritti degli interessati

La concessione dei diritti agli utenti è al centro di quasi tutte le leggi internazionali sulla privacy. In altre parole, devi disporre di un processo e di meccanismi di supporto per gestire le richieste dei singoli sui loro dati.

Si inizia con un avviso chiaro e ben visibile agli interessati, che indichi loro quali diritti hanno e come esercitarli. Deve esserci un modo semplice per presentare le richieste e il tuo team deve essere pronto a gestirle. Le policy interne, le procedure e la formazione su come gestire le richieste degli interessati sono obbligatorie.

I diritti degli interessati  rientrano in 10 aree:

• diritto di ricevere informazioni;
• diritto di revoca o modifica;
• diritto di accesso;
• diritto di rettifica;
• diritto all'oblio/alla cancellazione;
• diritto di limitazione;
• diritto al congelamento della sicurezza;
• diritto alla portabilità dei dati;
• diritto di opposizione;
• diritto di rifiutare la vendita dei dati.

Se la tua organizzazione automatizza alcune decisioni sui dati degli utenti, devi fornire loro un modo per richiedere una revisione manuale di tali automazioni. Allo stesso modo, qualsiasi modifica apportata ai dati di un utente attraverso una richiesta di diritti dell'interessato deve essere modificata anche dalle terze parti con cui vengono condivisi.

Stabilisci linee di comunicazione aperte per informare questi soggetti delle modifiche, dei ritiri o delle obiezioni ai dati personali.

Gestione dei vendor

L'esternalizzazione di una serie di servizi a terzi da parte di un'azienda è oramai una pratica comune. Tuttavia, se ti avvali di vendor, è tua responsabilità assicurarti che seguano le tue policy di gestione della privacy. E dovrai anche stabilire processi e tecnologie di supporto.

I contratti sono fondamentali per una gestione efficace dei vendor. Devono rispecchiare fedelmente i tuoi standard di tutela della privacy. Una lista di controllo per la conformità può essere d'aiuto. Fornisce un riepilogo degli elementi generali da avere per quanto riguarda la tutela della privacy, le valutazioni d'impatto sulla privacy per vendor, abbinati a policy specifiche per la tua organizzazione. Un vendor deve essere in grado di soddisfare tutti i requisiti menzionati in questa lista di controllo per poter essere assunto.

Le valutazioni dei vendor sono fondamentali per monitorare il continuo rispetto delle normative in vigore. Controlla attentamente tutti i processi per assicurarti che coprano adeguatamente le misure tecniche e organizzative e che i vendor le seguano.

Trasferimenti di dati transfrontalieri e localizzazione dei dati

Se ricevi o invii dati personali al di fuori del Paese in cui operi, la gestione della privacy richiede di tracciare questa attività. Questi trasferimenti transfrontalieri di dati devono essere regolati da meccanismi legittimi come le Norme vincolanti d'impresa (Binding Corporate Rules, BCR), le clausole contrattuali standard o il consenso degli interessati.

È importante capire che la sentenza Schrems II ha messo fine allo scudo UE-USA per la privacy, da tempo in vigore, per il trasferimento di dati personali tra l'UE e gli Stati Uniti. Le clausole contrattuali standard sono consentite come meccanismo di trasferimento dei dati, ma sono accettate solo caso per caso.

Oltre alla responsabilità per i trasferimenti transfrontalieri di dati, alcune leggi richiedono che i dati personali dei cittadini o dei residenti della località geografica a cui si rivolge la legge vengano elaborati o conservati all'interno di un determinato Paese. Rispetta rigorosamente questi requisiti di localizzazione dei dati.

Incidenti e violazioni

Ovviamente nessuno vorrebbe mai trovarsi in una situazione in cui i dati personali che vengono conservati siano compromessi. Parte della gestione della privacy consiste nel prepararsi ad affrontare incidenti e violazioni nel caso in cui si verifichino.

• Stabilisci le procedure di segnalazione per monitorare rapidamente incidenti o punti deboli non appena vengono rilevati.
• Documenta i passaggi per scoprire esattamente cosa ha causato l'evento.
• Identifica, raccogli e conserva le informazioni relative all'incidente e conservale come prova.
• Crea una lista di controllo delle misure correttive per correggere gli effetti dell'incidente.

Molte normative sulla privacy richiedono alle aziende di monitorare incidenti e violazioni. Implementa queste operazioni di monitoraggio per coprirti dal punto di vista legale.

Quando un team viene formato sui processi e sulle procedure di risposta all'incidente si sente più preparato per affrontare questi eventi. Assegna le responsabilità ai manager e ai loro team. Se tutti sono consapevoli del proprio ruolo, le risposte a violazioni e incidenti saranno più rapide.

La notifica alle parti interessate è un'attività fondamentale dopo una violazione. Prepara in anticipo i messaggi di notifica per una consegna rapida e una comunicazione chiara agli interessati, alle autorità e ai titolari del trattamento dei dati.

Infine, esegui un'analisi dopo l'evento. Questa analisi successiva all'incidente di sicurezza deve riguardare ciò che il team ha imparato, eventuali aggiornamenti o modelli negativi ricorrenti da affrontare e altre comunicazioni da inviare.

Conclusione: crea rapporti basati sulla fiducia grazie al tuo programma di gestione della privacy

Incorporare queste 13 aree nel tuo programma di gestione della privacy non ti garantirà solo la conformità agli standard locali e internazionali in materia. Ti darà anche un vantaggio competitivo, indipendentemente dal settore in cui operi.

Infatti, se ti basi su questi principi e lo tratti come un programma vivo da migliorare continuamente, i clienti si fideranno naturalmente della trasparenza e dell'evidente cura con cui tratti le loro informazioni. In un momento in cui gli utenti sono sempre più diffidenti nei confronti delle pratiche commerciali, guadagnarsi questa fiducia conquistata a fatica può aiutare la tua azienda ad affrontare il futuro con fiducia.

Una piattaforma di gestione della privacy può aiutarti a costruire rapporti con i clienti basati sulla fiducia su larga scala. Automatizzando le attività più critiche e dispendiose in termini di tempo, ti aiuta a mantenere le promesse fatte agli utenti in materia di privacy, sempre e comunque. Il software di OneTrust per la gestione della privacy è progettato per fare proprio questo. Contattaci per programmare una demo o inizia subito una prova gratuita.

Scarica l'ebook La guida definitiva alla gestione della privacy