WHITE PAPER

Guida alla privacy e alla conformità

1Guida alla privacy e alla conformità

IntroduzioneIn seguito all'introduzione continua di nuove normative in materia di privacy e protezione dei dati in tutto il mondo, stiamo assistendo a una tendenza globale che obbliga le aziende ad adottare una strategia di conformità multiregionale per la privacy dei consumatori e la sicurezza dei dati personali. Tra le normative che i leader globali dovranno rispettare vi sono il Regolamento generale per la protezione dei dati (GDPR) dell'Unione Europea, il California Consumer Privacy Act (CCPA), il Personal Information Protection and Electronic Documents Act (PIPEDA) del Canada e molte altre.

Le aziende globali non possono permettersi di ignorare queste nuove leggi e normative sulla privacy. Da un punto di vista puramente finanziario, le moderate multe imposte durante i primi 12 mesi dall'entrata in vigore del GDPR ora sono state sostituite da multe molto più pesanti, raggiungendo lo sconcertante limite legale, previsto dal GDPR, del 4% del fatturato globale annuale.

Tuttavia, il costo pagato dalle società multinazionali è molto superiore a quello meramente finanziario. È a rischio la fiducia dei clienti. Se i clienti ritengono che un'azienda non sia in grado di proteggere la loro preziosa privacy, ne risentiranno le vendite e l'efficacia del marketing. Le aziende oggi devono disporre del consenso esplicito prima di trattare i dati personali. Senza la fiducia non può esserci il consenso e, quindi, non si ottengono dati. Risultato? Campagne di vendita e di marketing inefficaci.

La privacy e la governance delle identità aiutano le aziende globali a creare solidi rapporti con utenti e clienti, aumentando la loro fedeltà e, quindi, i ricavi.

2Guida alla privacy e alla conformità

La necessità di una strategia di conformità multiregionaleIn base ai dati forniti dalle Nazioni Unite, 107 paesi hanno introdotto una legislazione atta a garantire la protezione dei dati e la privacy. Attualmente, il 68% dei paesi dispone di una legislazione esistente o in attesa di essere attuata.

Mentre il campo di applicazione delle normative dei singoli paesi e stati varia, le leggi delle maggiori economie sono in genere le più severe. Ma il filo conduttore è che le aziende che operano in tutto il mondo devono poter tener testa a un'ampia varietà di normative sulla privacy simili per vari aspetti, ma che, a un livello più dettagliato, presentano molte importanti differenze.

Nel caso delle normative, i dettagli sono importanti. La maggior parte delle normative richiede l'implementazione di varie identità dei clienti. Da un punto di vista pratico, non ha senso tentare di rispettare i requisiti di ogni regione implementando singole soluzioni IT locali. Dopotutto, la maggior parte delle aziende globali desidera un database centralizzato con una panoramica completa e unificata

dei clienti.

Alcune aziende stanno pensando a una strategia basata sull'implementazione delle disposizioni più rigorose in materia di privacy dei dati, applicandole poi in tutto il mondo. Tuttavia, nemmeno questo funzionerà, in quanto alcuni dei requisiti relativi alla privacy dei dati si escludono reciprocamente. Ad esempio, se sia secondo il GDPR che il CCPA le aziende devono ottenere il consenso prima di raccogliere i dati personali, le specifiche cambiano. In sostanza, una schermata statica comune per il consenso dell'utente non è ipotizzabile.

Protezione dei dati e legislazione sulla privacy in tutto il mondo

3Guida alla privacy e alla conformità

Ai sensi del GDPR, le organizzazioni non possono utilizzare, al fine di ottenere il consenso, caselle precompilate sulle pagine di destinazione di contenuti specifici atti a generare lead. Il consenso deve essere concesso dal cliente piuttosto che il contrario. Ciò significa che i consumatori devono attivamente selezionare la casella per accettare. Ai sensi del CCPA, tuttavia, il tacito consenso è ancora consentito, perciò le caselle precompilate sono comunque conformi. Una tale differenza può causare problemi ai leader globali che devono affrontare la prospettiva di rivolgersi a diversi grandi mercati con soluzioni che devono mostrare moduli di registrazione diversi.

Inoltre, alcune delle nuove normative vietano un'eccessiva raccolta dei dati. Le aziende possono raccogliere solo i dati personali necessari al servizio o al prodotto che offrono. Non è consentito chiedere il numero di telefono o il sesso solo per inviare una newsletter tramite e-mail o consentire di scaricare un white paper. Ciò significa che le aziende devono ripensare e riprogettare le proprie user experience ed eliminare tutti i campi dei dati dalle pagine di registrazione e altri moduli, altrimenti considerati eccessivi. Nelle regioni nelle quali non ci sono tali restrizioni, i team di marketing potrebbero voler raccogliere dati aggiuntivi.

Ciò che serve è una soluzione di gestione delle identità dei clienti centralizzata con la flessibilità necessaria ad adattarsi alle singole normative regionali: un sistema in grado di offrire diverse interfacce utente a seconda della posizione del consumatore.

Affrontare la sfida globalePer rispettare le normative globali, proteggere i dati dei clienti e conservare la fiducia dei consumatori, le aziende globali dovrebbero implementare soluzioni di gestione degli accessi e delle identità dei clienti (CIAM) flessibili, per proteggere i dati e le credenziali dei clienti con una crittografia avanzata e un controllo degli accessi con ambito. Anziché tentare di affrontare le normative una alla volta non appena si presentano e dover ricominciare da capo ogni volta, l'approccio più prudente è implementare una soluzione abbastanza flessibile da rispettare le normative correnti e future.

Che si tratti di creare questa soluzione CIAM in-house o di implementare un prodotto commerciale di livello professionale, le organizzazioni devono assicurarsi che il proprio sistema di gestione delle identità sia in grado di affrontare le questioni normative più importanti, come il consenso, il diritto di opporsi, il diritto di accesso ed eliminazione dei dati, la portabilità dei dati, la sicurezza e altro.

Consenso

Un aspetto comune delle varie normative regionali è il mandato che prevede che le organizzazioni debbano ottenere il consenso prima di raccogliere e trattare i dati personali. I requisiti per l'ottenimento di un valido consenso e che stabiliscono quando esso sia necessario variano a seconda delle normative applicabili. Pertanto, le aziende devono implementare una soluzione in grado di supportare le user experience (come i moduli web) e i modelli di progettazione per chiedere il consenso al momento della registrazione di un account, nonché dopo l'accesso all'account in una qualsiasi fase del percorso dei clienti. Le user experience devono essere completamente personalizzabili, per supportare sia casi di concessione che di rifiuto.

4Guida alla privacy e alla conformità

Diritto di opporsi

I consumatori devono essere in grado di opporsi all'utilizzo dei propri dati personali per determinati tipi di trattamento, come il direct marketing o le analisi statistiche. Ciò richiede una soluzione con un centro di preferenze personalizzabile che consentirà ai clienti di selezionare o deselezionare i tipi di trattamento dei dati che desiderano.

Diritto di accesso

Molte leggi concedono al consumatore il diritto ad accedere, esaminare e correggere i propri dati personali destinati al trattamento e, in alcuni casi, a richiedere ulteriori informazioni sull'utilizzo e la divulgazione dei dati stessi. Anche questo richiede un centro di preferenze per la gestione delle identità personalizzabile, che consenta ai clienti di richiedere l'accesso ai propri dati. Le aziende, poi, possono dare seguito alla richiesta ed estrarre i dati da un database centrale o da altri sistemi che contengono i dati dei clienti.

Diritto alla cancellazione dei dati

Il GDPR, il CCPA e altre normative prevedono il diritto, spesso denominato "diritto all'oblio", che permette ai consumatori di richiedere la rimozione di tutti o parte dei propri dati personali, impedendone la diffusione a terzi o il trattamento da parte di terzi. Le aziende devono garantire che la propria soluzione CIAM consenta di eliminare in modo sicuro e irreversibile i record dei dati, compresi i backup, per contribuire a prevenire la distribuzione accidentale di dati dannosi.

Portabilità dei dati

Le normative in materia di conformità prevedono che ai consumatori venga fornita una copia dei propri dati in un formato utilizzato comunemente e leggibile dalle macchine, per consentire agli utenti di trasferire i propri dati a un'altra organizzazione senza ostacoli. Pertanto, le aziende devono implementare soluzioni che consentano richieste simili e siano in grado di estrarre i dati da un database centralizzato o da altri sistemi che contengono i dati dei clienti, esportandoli in formati di dati comuni, come JSON.

Sicurezza e notifica delle violazioni

Le aziende devono implementare misure di sicurezza dei dati adeguate, per proteggere i dati personali che trattano e la privacy dei consumatori interessati. Sono comprese anche misure espressamente riportate in alcune normative, come la crittografia dei dati personali in transito e inattivi. Inoltre, le organizzazioni devono notificare ai consumatori eventuali violazioni dei dati entro un determinato periodo di tempo da quando ne vengono a conoscenza. Queste importanti misure di sicurezza devono essere pienamente rispettate dalla soluzione di gestione delle identità.

5Guida alla privacy e alla conformità

Accesso con ambito

Che sia sviluppata in-house o acquistata da terzi, la soluzione CIAM deve fornire livelli di autorizzazione altamente granulari, per garantire il pieno controllo su quali persone e quali applicazioni possano accedere o meno ai dati dei clienti e manipolarli, in base a ruoli e responsabilità. Un controllo minuzioso degli accessi deve essere applicato a tutte le colonne, le righe e i campi di dati. Ad esempio, dovrebbe essere possibile definire i ruoli che consentono agli sviluppatori di effettuare operazioni di gestione delle applicazioni senza permettere loro di accedere ai dati dei clienti.

ConclusioneOltre a soddisfare le normative in materia di conformità relative alle identità dei clienti, offrire garanzie sulla privacy e sulla sicurezza è fondamentale per le organizzazioni globali che desiderino costruire rapporti digitali profondi e basati sulla fiducia con i propri clienti. I consumatori hanno aspettative sempre più alte rispetto alla privacy e alla sicurezza dei propri dati personali.

Le sempre più numerose leggi e normative regionali e i tanti casi pubblicizzati di abuso di dati, violazioni e furti di identità hanno notevolmente elevato lo standard relativo alle aziende globali considerate degne custodi dei dati personali. Quando i clienti memorizzano i dati in un'organizzazione, stipulano un contratto di fiducia. Se questa fiducia viene infranta, in genere è molto difficile ricostruirla.

Anziché tentare di rafforzare la fiducia gestendo le nuove normative regionali caso per caso, ora è giunto il momento di implementare soluzioni di gestione delle identità di livello enterprise, globali e flessibili in grado di soddisfare le esigenze di oggi e del futuro.

Per ulteriori informazioni, leggete il nostro white paper GDPR,

CCPA e non solo: come la governance delle identità aiuta le

aziende a garantire la conformità e ad aumentare la fiducia

dei clienti.

Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24/7/365. Per scoprire perché i principali brand del mondo si affidano ad Akamai, visitate il sito www.akamai.com, blogs.akamai.com o seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations. Data di pubblicazione: 2/20.