Privacy dei dati: il costo per sbagliare

Pubblicato: 2022-10-12

Quando il regolamento generale sulla protezione dei dati (GDPR) dell'Europa è entrato in vigore nel maggio 2018, ha gettato le basi per una nuova generazione di leggi sulla privacy dei dati che offrono una maggiore protezione ai consumatori. Principi fondamentali come il consenso inequivocabile, la riduzione al minimo dei dati, la limitazione delle finalità e il diritto di opposizione avevano effettivamente trascritto nella legge le migliori pratiche consolidate sui dati.

Da allora, la legislazione sulla privacy in stile GDPR è stata adottata in tutto il mondo. Il CCPA della California ha dato il via agli Stati Uniti, seguito da molti altri stati (Colorado, Connecticut, Utah e Virginia) o in procinto di seguirlo (Michigan, New Jersey, Ohio e Pennsylvania). In tutto il mondo, abbiamo anche assistito all'introduzione di LGPD in Brasile e PIPL in Cina, solo per citarne due.

Una sfida ora affrontata dai titolari e dai responsabili del trattamento è l'ambiguità. Cioè, cosa significano effettivamente le clausole chiave di questi nuovi atti legislativi? Spesso, devono essere testati nei tribunali per chiarire la loro vera intenzione e stabilire un precedente legale. Questo sta accadendo ora in Europa, e i professionisti altrove possono imparare da questi casi e applicare i risultati prima che si imbattano in essi nei loro paesi.

L'Europa sta reprimendo la privacy dei dati

Le autorità di regolamentazione europee hanno sicuramente scoperto i denti nel 2022.

Clearview AI, una società di riconoscimento facciale, è stata multata di 20 milioni di euro dall'Agenzia italiana per la protezione dei dati e altri 9 milioni di euro dall'Ufficio del Commissario per le informazioni (ICO) del Regno Unito per il trattamento illegale di dati personali biometrici e di geolocalizzazione.

Il regolatore irlandese ha imposto a Meta (Facebook) 17 milioni di euro per la mancata messa in atto di misure tecniche e organizzative adeguate.

In Spagna, Google è stata multata di 10 milioni di euro per aver obbligato gli utenti ad accettare il trasferimento delle richieste di rimozione dei contenuti a una terza parte.

Più di recente, a causa della mancata protezione della privacy dei bambini durante l'utilizzo della piattaforma, TikTok potrebbe subire una multa di 27 milioni di sterline a seguito di una potenziale violazione delle leggi sulla protezione dei dati del Regno Unito.

Un tema comune che attraversa questi casi sono i principi fondamentali di "liceità, equità e trasparenza", il che significa che le aziende devono essere chiare con le persone su come verranno trattati i loro dati personali e che è stata stabilita una base giuridica adeguata per farlo.

Nel Regno Unito, l'azione esecutiva nel 2022 si è concentrata principalmente sull'invio non autorizzato di messaggi di marketing. Le nuove leggi sulla privacy dei dati come il GDPR richiedono una base legale, in genere il consenso o l'interesse legittimo, per il trattamento dei dati personali, che include attività di marketing.

Casi recenti* mostrano che questo requisito non è ancora chiaramente compreso (o viene volontariamente ignorato!):

  • Finance Giant Ltd ( £ 60.000 ): ha istigato l'invio di un totale confermato di 505.759 messaggi di marketing diretto non richiesti.
  • Bizfella Limited ( £ 30.000 ): ha istigato l'invio di 224.550 SMS di marketing diretto non richiesti.
  • H&L Business Consulting Limited ( £ 80.000 ): ha istigato l'invio di 451.705 SMS non richiesti per scopi di marketing diretto.

*I lettori possono ottenere i testi completi di tutte le sentenze dal sito Web dell'ICO e possono anche iscriversi per ricevere la newsletter "Azioni di applicazione" dell'ICO.

I consumatori vogliono sapere come vengono utilizzati i loro dati

Un tema importante che attraversa tutti questi casi (e altri) è che originariamente sono stati portati alla luce dai reclami dei consumatori. I consumatori ora hanno una maggiore comprensione dei loro diritti alla privacy dei dati e sono disposti a esercitare tali diritti se ritengono che i loro dati personali vengano utilizzati in modo improprio.

Quando si gestiscono i dati dei consumatori, è importante ricordare:

  • Il consenso valido richiede che gli individui abbiano una reale scelta e controllo.
  • Le persone dovrebbero essere esplicitamente informate che riceveranno messaggi di marketing.
  • Il consenso dovrebbe essere separato dalle altre politiche sulla privacy e/o termini e condizioni dei mittenti.
  • Il consenso indiretto può essere valido solo se sufficientemente chiaro e specifico.
  • Ci deve essere un mezzo semplice per consentire alle persone di rifiutare l'uso dei propri dati di contatto.

Alcune aziende sono cadute in altre insidie ​​della privacy

A seguito di una migrazione a un nuovo sistema CRM, Reed Online ha programmato inavvertitamente e-mail di marketing per i clienti che in precedenza erano stati cancellati/soppressi.

Tuckers Solicitors ha subito un attacco ransomware, che ha provocato una violazione dei dati personali. L'ICO ha stabilito che l'incapacità dell'azienda di attuare misure tecniche e organizzative adeguate le aveva rese vulnerabili agli attacchi.

Il Cabinet Office del governo del Regno Unito ha divulgato online gli indirizzi postali dei destinatari del New Year Honors 2020, un'incapacità di impedire la divulgazione non autorizzata delle informazioni delle persone.

Molti incidenti sulla privacy dei dati non fanno notizia

Mentre le violazioni di alto profilo fanno notizia, molti incidenti sono molto più banali.

L'ICO pubblica un rapporto trimestrale sulla sicurezza dei dati, con i più recenti problemi "non informatici" (cioè autoinflitti) tra cui:

  • Dati inviati tramite e-mail a un destinatario errato ( 22% )
  • Accesso non autorizzato ( 14 percento )
  • Dati inviati o inviati via fax a un destinatario errato ( 13 percento )
  • Perdita/furto di documenti o dati lasciati in luoghi non sicuri ( 8% )
  • Mancata redazione ( 6 per cento )

Queste tendenze indicano in gran parte l'errore umano e/o una formazione inadeguata e presentano un argomento convincente a favore dell'implementazione di pratiche di "privacy by design" in cui processi solidi riducono al minimo le opportunità di non conformità.

Non stiamo ancora vedendo le multe del "quattro percento delle entrate globali" che possono essere riscosse teoricamente, anche se non è detto che ciò non accadrà. La multa di British Airways (BA), come proposto, si è avvicinata prima di essere ridotta per una serie di fattori attenuanti, incluso l'impatto della crisi del Covid-19 sulle finanze di BA. Sebbene nessuna azienda voglia affrontare una violazione della privacy, ci sono fattori attenuanti che verranno presi in considerazione se si verifica, tra cui:

  • Se fosse una prima violazione
  • Gravità della violazione
  • Che sia stato intenzionale o accidentale
  • Notifica proattiva all'autorità di controllo
  • Azioni intraprese per ridurre l'impatto sugli interessati

Le autorità di regolamentazione saranno generalmente più indulgenti con le aziende che sono trasparenti su ciò che è andato storto, collaborano nell'assistere le indagini e si muovono rapidamente per mettere in atto misure che impediscano il ripetersi.

Questo è solo l'inizio…

C'è molto altro da dire su questo argomento. Vuoi saperne di più sulla legislazione sulla privacy dei dati nel mondo? Consulta la nostra Guida alle leggi e alla conformità globali sulla privacy .

Scarica la Guida