La maggior parte dei siti web raccolgono informazioni sui loro utenti, sia inviate dagli utenti che raccolte automaticamente attraverso i cookie e altre tecnologie. I proprietari di aziende hanno bisogno di informazioni per fornire i loro prodotti, pubblicizzare i loro servizi, comunicare con i clienti e i potenziali clienti, e migliorare la funzionalità del loro sito web. I clienti e i visitatori del vostro sito sono naturalmente preoccupati per ciò che accade alle loro informazioni personali – come vengono memorizzate, chi vi ha accesso e quali garanzie sono in atto per proteggere la loro privacy.
Virtualmente ogni paese ha emanato una sorta di leggi sulla privacy dei dati per regolare come vengono raccolte le informazioni, come vengono informati gli interessati e quale controllo un interessato ha sulle sue informazioni una volta trasferite. Il mancato rispetto della privacy dei dati applicabile può portare a multe, cause legali e persino al divieto di utilizzo di un sito in alcune giurisdizioni. Navigare in queste leggi e regolamenti può essere scoraggiante, ma tutti gli operatori di siti web dovrebbero avere familiarità con le leggi sulla privacy dei dati che riguardano i loro utenti. Alcune di queste includono:
Le leggi statunitensi sulla privacy dei dati
Non esiste un’unica legge federale completa che governi la privacy dei dati negli Stati Uniti. C’è un complesso mosaico di leggi settoriali e medio-specifiche, comprese le leggi e i regolamenti che riguardano le telecomunicazioni, le informazioni sanitarie, le informazioni di credito, le istituzioni finanziarie e il marketing.
Il Federal Trade Commission Act (15 USC § 41 et seq.) ha un’ampia giurisdizione sulle entità commerciali sotto la sua autorità per prevenire pratiche commerciali sleali o “ingannevoli”. Mentre la FTC non regola esplicitamente quali informazioni dovrebbero essere incluse nelle politiche di privacy dei siti web, usa la sua autorità per emettere regolamenti, far rispettare le leggi sulla privacy e intraprendere azioni per proteggere i consumatori. Per esempio, la FTC potrebbe intraprendere azioni contro le organizzazioni che…
- non implementano e mantengono ragionevoli misure di sicurezza dei dati.
- non rispettano i principi di autoregolamentazione applicabili all’industria dell’organizzazione.
- non seguono una politica di privacy pubblicata.
- Trasferire informazioni personali in un modo che non è indicato nella politica sulla privacy.
- Fare dichiarazioni inesatte sulla privacy e la sicurezza (mentire) ai consumatori e nelle politiche sulla privacy.
- Non fornire sufficiente sicurezza per i dati personali.
- Violare i diritti sulla privacy dei dati dei consumatori raccogliendo, elaborando o condividendo le informazioni dei consumatori è una violazione del quadro sulla privacy dei consumatori della FTC o delle leggi e dei regolamenti nazionali sulla privacy.
- Intraprendere pratiche pubblicitarie fuorvianti.
Altre leggi federali che regolano la raccolta di informazioni online includono:
- Il Children’s Online Privacy Protection Act (15 USC §6501 et seq.), noto anche come COPPA, che regola la raccolta di informazioni sui minori.
- L’Health Insurance Portability and Accounting Act (HIPAA – P.L.104-191), che regola la raccolta di informazioni sanitarie.
- Il Gramm Leach Bliley Act (15 USC § 6802 e seguenti) che regola le informazioni personali raccolte da banche e istituzioni finanziarie.
- Il Fair Credit Reporting Act (15 USC § 1681), che regola la raccolta e l’uso delle informazioni di credito.
Leggi statali sulla privacy dei dati
Oltre alle leggi e ai regolamenti federali, gli Stati Uniti hanno centinaia di leggi sulla privacy e sulla sicurezza dei dati tra i suoi stati, territori e località. Attualmente, 25 procuratori generali degli Stati Uniti supervisionano le leggi sulla privacy dei dati che regolano la raccolta, la conservazione, la salvaguardia, l’eliminazione e l’uso dei dati personali raccolti dai loro residenti, in particolare per quanto riguarda le notifiche di violazione dei dati e la sicurezza dei numeri di sicurezza sociale. Alcune si applicano solo alle entità governative, altre solo a quelle private e altre ancora a entrambe.
California Consumer Privacy Act (CCPA)
La legislazione statale sulla privacy dei dati più completa fino ad oggi è il California Consumer Privacy Act (CCPA), firmato in legge il 28 giugno 2018 ed entrato in vigore il 1 gennaio 2020. Il CCPA è una legislazione intersettoriale che introduce importanti definizioni e ampi diritti individuali dei consumatori e impone doveri sostanziali alle entità o alle persone che raccolgono informazioni personali su o da un residente della California. Questi doveri includeranno l’informare gli interessati quando e come i dati vengono raccolti, e dare loro la possibilità di accedere, correggere e cancellare tali informazioni. Queste informazioni devono essere divulgate in una politica sulla privacy esposta sul sito web dell’entità che raccoglie i dati.
New York SHIELD Act
Nel luglio 2019, New York ha approvato lo Stop Hacks and Improve Electronic Data Security (SHIELD) Act. Questa legge modifica la legge esistente di New York sulla notifica delle violazioni dei dati e crea più requisiti di sicurezza dei dati per le aziende che raccolgono informazioni sui residenti di New York. A partire da marzo 2020, la legge è pienamente applicabile. Questa legge amplia la portata della privacy dei consumatori e fornisce una migliore protezione per i residenti di New York dalle violazioni dei dati delle loro informazioni personali.
Altre leggi sulla privacy dei dati a livello statale
California e New York sono i primi stati a promulgare un’ampia legislazione che crea un impatto nazionale, ma anche molti altri stati americani stanno considerando leggi sulla privacy dei dati. Non avranno lo stesso aspetto del CCPA o dello SHIELD Act, ma probabilmente conterranno requisiti simili per le esigenze specifiche dello stato.
Come si può immaginare, l’alveare di leggi statali e federali sulla privacy negli Stati Uniti sono troppo complesse da riassumere completamente. È improbabile che vedremo presto una legge federale generale (anche se sta crescendo il sostegno per una legge federale). Quindi, come organizzazione che raccoglie ed elabora dati personali, è essenziale collaborare con un servizio come Osano per mantenere la conformità in questo ambiente difficile.
Legge internazionale sulla privacy dei dati: il GDPR
La più importante legislazione sulla protezione dei dati emanata fino ad oggi è il Regolamento generale sulla protezione dei dati (GDPR). Esso regola la raccolta, l’uso, la trasmissione e la sicurezza dei dati raccolti dai residenti di uno qualsiasi dei 28 paesi membri dell’Unione Europea. La legge si applica a tutti i residenti dell’UE, indipendentemente dalla posizione dell’entità che raccoglie i dati personali. Multe fino a 20 milioni di euro o il 4% del fatturato globale totale possono essere imposte alle organizzazioni che non rispettano il GDPR. Alcuni importanti requisiti del GDPR includono:
Consenso
I soggetti dei dati devono essere autorizzati a dare un consenso esplicito e inequivocabile prima della raccolta dei dati personali. I dati personali includono informazioni raccolte attraverso l’uso di cookie. Alcune informazioni solitamente non considerate “dati personali” negli Stati Uniti, come l’indirizzo IP del computer dell’utente, sono considerate “dati personali” secondo il GDPR.
Notifica della violazione dei dati
Le organizzazioni sono tenute a notificare le autorità di vigilanza e gli interessati entro 72 ore in caso di violazione dei dati che riguardano le informazioni personali degli utenti nella maggior parte dei casi.
Diritti degli interessati
Gli interessati (persone i cui dati sono raccolti e trattati) hanno determinati diritti relativi alle loro informazioni personali. Questi diritti dovrebbero essere comunicati agli interessati in una politica sulla privacy chiara e di facile accesso sul sito web dell’organizzazione.
- Il diritto di essere informati. Gli interessati devono essere informati sulla raccolta e l’uso dei loro dati personali quando i dati sono ottenuti.
- Il diritto di accedere ai propri dati. Una persona interessata può richiedere una copia dei suoi dati personali attraverso una richiesta di dati. I responsabili del trattamento dei dati devono spiegare i mezzi di raccolta, cosa viene trattato e con chi viene condiviso.
- Il diritto di rettifica. Se i dati dell’interessato sono imprecisi o incompleti, hanno il diritto di chiedervi di rettificarli.
- Il diritto di cancellazione. Gli interessati hanno il diritto di chiedere la cancellazione dei dati personali che li riguardano per determinati motivi entro 30 giorni.
- Il diritto di limitare il trattamento. Gli interessati hanno il diritto di richiedere la limitazione o la soppressione dei loro dati personali (anche se è ancora possibile conservarli).
- Il diritto alla portabilità dei dati. Gli interessati possono far trasferire i loro dati da un sistema elettronico a un altro in qualsiasi momento in modo sicuro senza interrompere la loro utilizzabilità.
- Il diritto di opposizione. Gli interessati possono opporsi a come le loro informazioni vengono utilizzate per scopi di marketing, vendita o non legati al servizio. Il diritto di opporsi non si applica quando viene eseguita l’autorità legale o ufficiale, un compito viene eseguito per l’interesse pubblico, o quando l’organizzazione ha bisogno di elaborare i dati per fornire un servizio per il quale ti sei iscritto.
Importanza delle politiche sulla privacy nelle leggi sulla privacy dei dati
Ogni sito web dovrebbe avere una politica sulla privacy che spiega ai suoi utenti quali informazioni vengono raccolte, come vengono utilizzate, come possono essere condivise, e come vengono protette. Per essere pienamente conformi alle leggi americane ed europee sulla protezione dei dati, tutti gli interessati dovrebbero avere l’opportunità di acconsentire alla raccolta di informazioni personali. Mentre molte informazioni sugli utenti sono fornite volontariamente quando si iscrivono alle newsletter, compilano moduli o inviano richieste via e-mail, le informazioni raccolte da terzi e attraverso l’uso di cookie dovrebbero essere divulgate, e gli utenti dovrebbero avere l’opportunità di acconsentire, bloccare o disattivare i cookie.
Rendere la vostra azienda conforme alle leggi sulla privacy dei dati
Anche se la vostra azienda ha sede in una giurisdizione che non ha implementato una legislazione completa sulla privacy dei dati, è essenziale considerare dove i vostri potenziali utenti potrebbero risiedere e quali regolamenti si applicano. Se avete intenzione di fare affari in California, New York o nell’Unione europea, dovreste avere familiarità con i requisiti del CCPA, dello SHIELD Act e del GDPR. Nella maggior parte dei casi, è più semplice e meno costoso per la vostra organizzazione aderire a questi standard per tutti i vostri clienti piuttosto che applicare regole diverse in base alla posizione.
La protezione dei dati sta diventando sempre più importante e influenzerà le decisioni degli utenti su dove fare la loro navigazione e i loro acquisti online. Sempre più spesso, la reputazione di un’azienda per la gestione responsabile dei dati personali sarà un vantaggio che può portare a un maggiore traffico sul sito web, a conversioni e a un impatto positivo sui profitti.
Se siete pronti a prendere sul serio le vostre leggi sulla privacy dei dati, iscrivetevi a Osano. Osano è una piattaforma di privacy dei dati facile da usare che rende immediatamente il tuo sito web conforme alla CCPA, SHIELD Act, GDPR e altre leggi sulla privacy. Osano è “la conformità in una scatola”, aiutando immediatamente il tuo sito web a rispettare le leggi sulla privacy dei dati. Diventa conforme ora.