La trasparenza deve essere una parte fondamentale di qualsiasi programma di tutela della privacy, soprattutto se la tua organizzazione è all'inizio del suo percorso in questo settore. Non solo la trasparenza è un componente fondamentale per le organizzazioni che cercano di creare fiducia, ma è anche richiesta da quasi tutte le moderne leggi sulla privacy, soprattutto attraverso i requisiti in termini di informative sulla privacy.
Le informative sulla privacy sono uno degli aspetti più visibili del programma di tutela della privacy della tua azienda, in quanto forniscono ai consumatori informazioni su come vengono utilizzate le loro informazioni personali, sui loro diritti e sulle terze parti con cui queste informazioni vengono condivise. Sono anche una delle aree più visibili per la valutazione delle pratiche di privacy da parte delle autorità di regolamentazione.
Ad esempio, le violazioni relative alla mancata fornitura di informazioni sulla privacy sono tra le più frequentemente applicate dalle autorità nazionali per la protezione dei dati. Pertanto, è importante comprendere i propri obblighi relativi alle informazioni da fornire, alle modalità e ai tempi di trasmissione. Al di là della conformità, un'informativa sulla privacy solida, chiara e accessibile offre alla tua organizzazione l'opportunità di comunicare le tue pratiche in materia di privacy ed è un punto di contatto importante per costruire un rapporto con i clienti che si basi sulla fiducia.
I vantaggi di avere un'informativa sulla privacy di questo tipo sono ovvi, ma allo stesso tempo può presentare diverse insidie per la tua azienda. Continua a leggere per saperne di più su cosa sono le informative sulla privacy, su cosa devi includere nelle tue informative e su come implementare le pratiche consigliate per conseguire la conformità alle leggi sulla privacy degli Stati Uniti.
Che cos'è un'informativa sulla privacy?
Un'informativa sulla privacy è un avviso pubblico che descrive le modalità con cui un'azienda raccoglie, utilizza, condivide e conserva le informazioni personali ed è tipicamente presentata sul sito Web e sulle altre proprietà Web di un'azienda. In generale, le informative sulla privacy devono essere presentate al consumatore al momento della raccolta di informazioni personali o prima.
Lo scopo principale di un'informativa sulla privacy è quello di informare le persone sulle modalità di trattamento delle loro informazioni e la maggior parte delle normative sulla privacy fornisce alle aziende un elenco di avvisi specifici che devono essere forniti ai consumatori. Nel contesto delle leggi sulla privacy degli Stati Uniti, questo include tipicamente le categorie di informazioni che vengono raccolte, le finalità per cui sono raccolte, le categorie di terzi a cui vengono divulgate le informazioni personali e le informazioni su come i consumatori possono esercitare i loro diritti. Comprendere i requisiti specifici per ciascuno Stato e garantire che le informazioni siano presentate in un formato chiaro e comprensibile è essenziale per soddisfare gli obblighi di trasparenza e sostenere il diritto dei consumatori a essere al corrente delle operazioni effettuare sui loro dati.
Le informative sulla privacy sono una delle prime aree che devono essere affrontate quando si sviluppa un programma di tutela della privacy per conseguire la conformità alle leggi sulla privacy degli Stati Uniti e devono essere monitorate regolarmente per tenere il passo con gli aggiornamenti normativi. Tuttavia, le informative sulla privacy non devono essere confuse con le policy sulla privacy, che invece sono documenti interni che definiscono le basi per la gestione delle informazioni personali all'interno di un'organizzazione.
Cosa deve includere un'informativa sulla privacy?
Quando ti approcci alle informative sulla privacy relative agli Stati Uniti, devi innanzitutto chiederti cosa dover includere in queste informative. La risposta è semplice: dipende. Tutte le leggi sulla privacy in vigore negli Stati Uniti contengono disposizioni relative alle informative sulla privacy e, mentre la necessità di fornire un'informativa sulla privacy ai consumatori è presente in tutte, non lo è invece il contenuto da includere.
Le sfumature dei requisiti relativi alle informative sulla privacy, diverse da una giurisdizione all'altra, fanno sì che un approccio unico per tutti non possa essere necessariamente applicato. Tuttavia, le aziende che operano in più giurisdizioni possono scegliere di includere informazioni per conformarsi a requisiti più severi. Per adottare uno dei due approcci, devi innanzitutto capire cosa è richiesto in ciascuna giurisdizione. La tabella di seguito fornisce una panoramica dei tipi di informazioni che le informative sulla privacy devono contenere in base alle leggi di ciascuno Stato.
| California | Colorado | Connecticut | Iowa | Utah | Virginia | |
| Categorie di informazioni personali | X | X | X | X | X | X |
| Finalità di raccolta/utilizzo | X | X | X | X | X | X |
| Origine delle informazioni personali | X | |||||
| Categorie di informazioni condivise con terzi | X | X | X | X | X | X |
| Categorie di terze parti | X | X | X | X | X | X |
| Come esercitare i diritti del consumatore | X | X | X | X | X | X |
| Come fare ricorso contro una decisione su un reclamo del consumatore | X | X | X | X | X | |
| Dettagli di contatto dell'azienda/del titolare del trattamento | X | X |
In termini di somiglianze tra i requisiti relativi alle informative sulla privacy degli Stati Uniti, la legge sulla privacy dei consumatori della California (CCPA), come modificata dalla legge sulla privacy della California (CPRA), si distingue marginalmente dal resto, richiedendo alle aziende di includere informazioni sull'origine da cui sono state raccolte le informazioni personali.
Tuttavia, ci sono tre elementi costanti in tutte e sei le leggi statali sulla privacy che devono essere inclusi nelle informative sulla privacy: le categorie di informazioni personali, le finalità di utilizzo e le categorie di terzi con cui le informazioni personali vengono condivise.
- Categorie di informazioni personali: devi informare i consumatori dei tipi di informazioni che possono essere raccolte, come nomi, indirizzi, date di nascita, ecc.
- Finalità d'uso: devi spiegare il più chiaramente possibile come intendi utilizzare le informazioni, le finalità (ad esempio, vendita o condivisione, pubblicità, mailing list) e per quanto tempo intendi conservare le informazioni per le finalità previste.
- Categorie di terze parti: devi includere i tipi di terze parti con cui devi condividere le informazioni personali per soddisfare le finalità previste, come fornitori di servizi, agenzie governative o consulenti legali. Assicurati di indicare le categorie di informazioni personali e di collegarle alla categoria di terzi con cui condividi ciascun tipo di informazione personale.
Inoltre, non dimenticare di prendere in considerazione chi dovrà effettivamente leggere queste informazioni: assicurati che il linguaggio utilizzato sia comprensibile e privo di gergo eccessivamente tecnico o commerciale.
Informative per i dipendenti (CPRA)
La CPRA ha ampliato l'applicabilità della CCPA facendo rientrare le informazioni dei dipendenti nell'ambito di applicazione della CCPA in California, il che impone alle aziende di riconoscere l'ampliamento dei diritti concessi ai dipendenti in relazione all'utilizzo delle loro informazioni e le diverse finalità per cui le informazioni personali possono essere trattate in questo contesto.
A seguito dell'ampliamento dell'ambito di applicazione della CCPA (e successive modifiche), le aziende devono anche assicurarsi di avere un'informativa sulla privacy che si concentri sugli aspetti peculiari del rapporto di lavoro e che informi i dipendenti dei loro diritti e delle tutele previste dalla CCPA (e successive modifiche).
Per i datori di lavoro che raccolgono e trattano le informazioni personali dei dipendenti californiani, l'informativa sulla privacy relativa ai dipendenti deve includere diverse informazioni aggiuntive rispetto a una tipica informativa che riguardano nello specifico la raccolta, l'utilizzo e la divulgazione delle informazioni personali nel contesto lavorativo.
Rendere operative le informative sulla privacy per gli Stati Uniti
Comprendere i requisiti è fondamentale. Metterli in pratica è essenziale e OneTrust può essere d'aiuto.
Il prodotto Gestione delle informative sulla privacy di OneTrust può aiutarti a redigere le informative sulla privacy in un'unica dashboard centralizzata e ti dà il controllo su come le puoi gestire in tutte le normative, lingue e proprietà digitali. Questo prodotto ti consente di scansionare siti Web e app per individuare dove devono essere presentate le informative e utilizza le integrazioni per inviarle in tempo reale nei punti di contatto pertinenti.
Richiedi una demo per saperne di più su come Gestione delle informative sulla privacy di OneTrust può aiutarti a rendere operative le informative sulla privacy per conseguire la conformità alle leggi sulla privacy degli Stati Uniti.