''Le persone devono sapere cosa stanno accettando, in un linguaggio chiaro e preciso: questa è la privacy. Credo che le persone siano intelligenti: semplicemente, alcune vogliono condividere più di altre. Basta chiedere''.

Steve Jobs lo ha detto nel 2010.

Più di dieci anni dopo, queste parole stanno pian piano diventando un requisito per le aziende soggette alle normative sulla privacy come il GDPR e la CCPA.

Oltre alla conformità alle leggi, le aziende intelligenti sono consapevoli che avere un programma di tutela della privacy è un buon affare.

L'84% delle persone afferma di avere a cuore la privacy e la cura dei propri dati e vogliono un maggior controllo sull'utilizzo che se ne fa. Infatti, il 48% ha già cambiato società o fornitori a causa delle loro policy sui dati o delle pratiche di condivisione.

Ciò significa che un programma di tutela della privacy può essere un elemento distintivo competitivo.

Infatti, il 69% delle aziende sta cercando attivamente di dare forma alle proprie policy sulla privacy dei dati. Se la tua organizzazione rientra in questa statistica, siamo qui per aiutarti.

Continua a leggere per scoprire le otto pratiche consigliate necessarie per creare un programma di tutela della privacy di prim'ordine.

Fase 1: conoscere i propri obblighi

La prima cosa da fare è capire le priorità della tua organizzazione.

Alcuni obblighi da considerare sono:

• le normative locali, regionali e internazionali sulla privacy che l'azienda deve rispettare, ad esempio, CCPA, LGPD e GDPR;
• i codici di condotta specifici per settore, come ad esempio la legge sulla portabilità e la responsabilità dell'assicurazione sanitaria;
• gli obblighi contrattuali che l'azienda potrebbe avere con clienti o fornitori terzi in merito al trattamento dei dati;
• i requisiti per la gestione dei dati dei dipendenti.

Questo processo richiede un'analisi delle lacune di tutti gli obblighi legali, normativi e reputazionali della tua azienda. Determina quale potrebbe essere il rischio di non conformità, quali rischi l'organizzazione è disposta a correre e come si colloca il tuo impegno attuale.

Fase 2: comprendere i rischi

Un'altra pratica consigliata consiste nel comprendere la probabilità che si verifichi una violazione. Ciò comporta un'analisi di:

• fornitori terzi;
• tipi di dati (dei dipendenti o dei clienti);
• sensibilità dei dati;
• accesso del personale ai dati (interni ed esterni);
• processi di sicurezza;
• violazioni passate e come sono state gestite dall'organizzazione.

Questa analisi ti aiuta a comprendere i rischi e il potenziale impatto delle violazioni. Inoltre, dà il via a discussioni sul livello di rischio che l'azienda è disposta ad accettare.

Fase 3: scegliere un quadro di riferimento per la privacy

Dopo aver compreso obblighi e rischi, devi creare un quadro di riferimento per la privacy. Un quadro di riferimento per la privacy è un insieme strutturato di linee guida per raggruppare, armonizzare e integrare tutti i requisiti di conformità applicabili alla tua organizzazione.

Lo sviluppo di un quadro di riferimento fornisce un piano di implementazione che descrive le procedure e i processi di privacy. Può aiutare la tua organizzazione a:

• identificare le aree ad alto rischio;
• ridurre la perdita di dati;
• misurare la conformità a normative, regolamenti e standard.

Alcuni quadri di riferimento che forniscono una guida iniziale sono:

• AICPA;
• CCMC;
• ISO;
• NIST.

Fase 4: creare una cultura incentrata sulla privacy

Per coinvolgere tutti i membri dell'azienda nel programma di tutela della privacy dei dati, devi stabilire un contesto generale adatto a tutti.

Coinvolgimento del consiglio di amministrazione e dei funzionari C-level: il modo in cui i dirigenti parlano di privacy definisce le aspettative per il resto dell'organizzazione. Il loro contributo è fondamentale anche per ottenere un budget dedicato a corsi di formazione, tecnologia e personale.

Supporto delle Risorse umane: successivamente, lavora con le Risorse umane per dedicare una parte del manuale dei dipendenti alla privacy dei dati. In alcuni casi, i dipendenti devono comprendere le aspettative della policy sulla privacy dell'azienda fin dal momento in cui si candidano per un lavoro.

Marketing: il team di marketing svolge un ruolo fondamentale nel comunicare la tua policy sulla privacy ai clienti. Deve anche assicurarsi di essere in regola con la legge.

Tutti gli altri dipartimenti: per garantire che una cultura basata sulla privacy abbia successo, le repsonsabilità devono essere chiare. Ogni team, dall'IT all'amministrazione, deve svolgere un ruolo preciso nel contesto del programma. Assicurati che tutti comprendano il proprio ruolo e che abbiano le risorse necessarie a raggiungere i loro obiettivi. È inoltre importante che tutti i vari dipartimenti parlino con il team addetto alla privacy su quali progetti o decisioni aziendali hanno un impatto sulla privacy.

Fase 5: mappare i dati

La mappatura dei dati è il monitoraggio del flusso di dati processati dalla tua organizzazione. Se eseguita correttamente, indica chiaramente una quantità significativa di informazioni sui dati, come ad esempio:

• la provenienza (clienti, dipendenti o terze parti);
• la finalità (adempimento di ordini o libro paga);
• il canale di ingresso specifico, ovvero come sono arrivati nell'azienda (telefonate, e-mail o moduli);
• il formato (pagina Excel, Word o CRM);
• dove sono archiviati (schedario, server interno o cloud);
• il paese in cui sono memorizzati;
• dove sono accessibili e chi vi ha accesso.

Le normative internazionali sulla privacy come il GDPR richiedono alle aziende di avere una conoscenza completa di come vengono utilizzati i dati, chi vi ha accesso e dove vengono archiviati. La mappatura dei dati è fondamentale per comprendere i dati dell'azienda e garantire la conformità alle normative.

Fase 6: documentare le policy sulla privacy

Documentare l'informativa sulla privacy non è solo un obbligo previsto da alcune leggi. È anche un'opportunità per essere trasparenti con i consumatori su come le loro informazioni vengono raccolte e utilizzate.

Il documento relativo alla policy sulla privacy stabilisce inoltre le linee guida appropriate per le aree più importanti come il consenso, l'accesso e la gestione delle violazioni per i dipendenti.

Tieni presente che potrebbe sovrapporsi ad altre policy aziendali. Ciò include gli standard di sicurezza, le policy relative alla conservazione dei documenti e la gestione della proprietà riservata o intellettuale.

Fase 7: formare i dipendenti

Il 32% delle violazioni della sicurezza riguarda le truffe di phishing.

Una cosa semplice come un'e-mail può costare alla tua azienda la sua reputazione, o peggio, la sua esistenza. Ed è per questo che è così importante formare i dipendenti.

Il programma di formazione dovrebbe concentrarsi sui rischi associati al ruolo di ciascun dipendente, nonché su eventuali lacune note in termini di conoscenze e competenze. Per la maggior parte dei tuoi dipendenti, ciò comprende l'identificazione dei dati a cui hanno accesso, le modalità con cui potrebbe verificarsi una violazione, le modalità di segnalazione degli incidenti e l'uso corretto di telefoni di lavoro, computer portatili, ecc.

I corsi di formazione devono essere regolari, specialmente quando si verificano cambiamenti in termini di posizione, struttura, rischi o obblighi.

Fase 8: misurare le prestazioni

Imposta KPI per assicurarti che il programma proceda come previsto. Prendi in considerazione quanto segue:

• cosa deve misurare la tua organizzazione e perché;
• i metodi per il monitoraggio, la misurazione, l'analisi e le valutazioni;
• quando effettuare il monitoraggio e la misurazione;
• quando analizzare, valutare e segnalare i risultati del monitoraggio.

Gli audit sono un buon modo per garantire che il programma sia implementato e mantenuto in modo efficace. Sono necessari sia un audit interno per misurare le tue prestazioni, sia uno esterno per misurare quelle dei tuoi fornitori.

Il programma di tutela della privacy deve misurare:

• la percentuale di dipendenti formati;
• il numero di violazioni e mancati incidenti;
• il numero di trasferimenti o valutazioni d'impatto completate;
• il tempo medio impiegato per indagare e segnalare le violazioni;
• il tempo medio di risposta alle singole richieste di accesso.

Una volta completata l'analisi, i risultati devono essere tradotti in registri da sottoporre all'esame della dirigenza. In questo modo potrai apportare miglioramenti e modifiche in base alle tue esigenze.

Conclusione: un programma di tutela della privacy non può essere eseguito manualmente

Il mondo della privacy dei dati è in continua evoluzione.

Oggi, il 66% dei paesi ha una qualche forma di legislazione sulla protezione dei dati e il 10% ne sta preparando una.

Ciò significa che la tua azienda deve rimanere conforme a tutte queste normative in rapida evoluzione, il tutto gestendo le richieste dei consumatori e documentando le attività di trattamento e i trasferimenti di dati. Non è credibile che un'organizzazione possa fare tutto ciò manualmente.

È qui che entra in gioco OneTrust.

OneTrust offre alla tua azienda una soluzione di conformità potente e facile da utilizzare che ti aiuta a gestire il programma di tutela della privacy su larga scala. Semplifica le tue operazioni di gestione della privacy. Guarda OneTrust in azione o fai una prova gratuita.