L'era delle leggi sulla privacy: Una guida completa

Gartner stima che entro la fine di quest'anno il 65% delle persone in tutto il mondo avrà i propri dati personali protetti da normative sulla privacy. Si tratta di un'ottima notizia per i consumatori, ma di una sfida difficile per le aziende che cercano di operare utilizzando i dati.

Leggi sulla protezione dei dati nel mondo di LA Piper (mappa interattiva)

Attualmente esistono oltre 120 normative sulla protezione dei dati e sulla privacy a livello globale. E molte altre sono in fase di elaborazione. Per le aziende che operano a livello globale, questa situazione può creare molta confusione. È fondamentale che gli inserzionisti comprendano queste normative per essere sicuri di rimanere conformi e di scegliere con fiducia fornitori di dati e partner che rispettino la privacy.

Questa guida completa illustra le leggi più restrittive in materia di protezione dei dati, in modo che gli inserzionisti possano capire meglio cosa possono o non possono fare con i dati di prima parte.

La mancata osservanza della privacy dei dati ha un prezzo elevato

I rischi principali in materia di privacy dei dati sono due:

  1. Perdere affari perché gli utenti hanno perso fiducia nel modo in cui gestite i loro dati.
  2. Essere multati dagli enti normativi per una gestione non conforme dei dati.

Entrambi i rischi comportano costi che possono danneggiare gravemente un'azienda. Per esempio, la legge brasiliana sulla protezione dei dati può richiedere il 2% del fatturato generato da un'azienda in Brasile, mentre il GDPR dell'Unione Europea può richiedere il 4% del fatturato globale dell'azienda. Sebbene molte di queste leggi siano ancora nuove, ci sono molti aziende che sono già state multate per importi significativi

Informazioni rapide sulle grandi multe del GDPR:

  • La multa più elevata finora è quella inflitta ad Amazon dal GDPR nel 2021, pari a 877 milioni di dollari. 
  • Meta (ex Facebook) è stata colpita nel 2022 con una multa di 433 milioni di dollari. 
  • Il le maggiori multe del GDPR anche Google, che è stata colpita due volte con multe per un totale di 65 milioni di dollari. 
  • Il GDPR ha multato un stima di 1.000 aziende negli ultimi 2 anni con multe cumulative di 1,25 miliardi di dollari.

Per le aziende che operano solo negli Stati Uniti, ci sono regolamenti da rispettare Stato per Stato. Il primo regolamento attivo è stato il CCPA della California, che prevede una multa di 7.500 dollari per ogni singola violazione della privacy dei dati dei consumatori. Finora sono state multate dieci aziende, ma gli importi totali non sono stati resi noti. Ciò che è chiaro è che regolamenti come il CCPA possono causare un incubo di risoluzione delle richieste e spese aggiuntive una volta che i consumatori individuano un problema.

Le aziende devono prendere precauzioni per evitare sanzioni per mancata conformità. Ciò è particolarmente vero per gli operatori di marketing che fanno pubblicità utilizzando molti dati per identificare il pubblico target e stipulare contratti pubblicitari. Per questo è fondamentale che gli inserzionisti comprendano chiaramente le politiche più rigorose e le domande importanti da porre internamente ed esternamente per garantire la conformità.

Regolamenti sulla privacy dei dati di rilievo

Le normative di cui si parla di più oggi sono quelle che sono state approvate per legge con periodi di tolleranza o quelle che stanno attivamente elargendo multe. Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea è uno dei più severi e più pubblicizzati. La legge brasiliana sulla protezione dei dati (LGPD) è stata emanata dopo il GDPR ed è la normativa più significativa del Sud America. Negli Stati Uniti, il Consumer Data Privacy Act (CCPA) della California è stato il primo a essere approvato, con il Privacy Act del Colorado e il Consumer Data Protection Act (CDPA) della Virginia alle spalle. Ecco la ripartizione di queste normative attive che stanno creando un precedente per il resto del mondo.

Regolamento generale sulla protezione dei dati (GDPR)

  • Data di approvazione della legge: 14 aprile 2016
  • Data di entrata in vigore: 25 maggio 2018
  • Definizione: Il GDPR impone alle aziende di richiedere alcune autorizzazioni per la condivisione dei dati e conferisce agli individui il diritto di accedere, cancellare o controllare l'uso di tali dati. Il GDPR consente l'autorizzazione opt-in quando l'utente si iscrive attivamente per ricevere e-mail o newsletter fornendo il proprio indirizzo e-mail e talvolta il proprio nome e altre informazioni personali. Si noti che anche il Regno Unito ha una propria versione del GDPR: REGNO UNITO GDPR
  • Applicazione: Le singole autorità di protezione dei dati (DPA) dei 27 Stati membri dell'UE applicano il GDPR. Le autorità di protezione dei dati sono indipendenti dal governo. Il loro ruolo è quello di indagare sui reclami, fornire consulenza su questioni relative alla protezione dei dati e stabilire se il GDPR è stato violato.
  • Sanzioni: Per le violazioni particolarmente gravi, la multa può arrivare a 20 milioni di euro o al 4% del fatturato globale dell'anno fiscale precedente, a seconda di quale sia il valore più alto. Per le violazioni meno gravi sono previste multe fino a 10 milioni di euro, o fino al 2% del fatturato globale dell'anno fiscale precedente, a seconda di quale sia il valore più alto. 
  • Cosa significa per gli inserzionisti: Il GDPR si applica a tutte le aziende che trattano i dati personali di cittadini o residenti dell'UE o che offrono loro beni o servizi. Tutte le aziende che rientrano in questa descrizione devono aderire a questi sette principi:
    1. Liceità, correttezza e trasparenza - Il trattamento deve essere lecito, corretto e trasparente per l'interessato.
    2. Limitazione delle finalità - Dovete trattare i dati per le finalità legittime specificate esplicitamente all'interessato al momento della raccolta.
    3. Minimizzazione dei dati - Dovete raccogliere ed elaborare solo i dati assolutamente necessari per gli scopi specificati.
    4. Accuratezza - Dovete mantenere i dati personali accurati e aggiornati.
    5. Limitazione della memorizzazione - È possibile memorizzare i dati di identificazione personale solo per il tempo necessario allo scopo specificato.
    6. Integrità e riservatezza - Il trattamento deve essere effettuato in modo da garantire sicurezza, integrità e riservatezza adeguate (ad esempio, utilizzando la crittografia).
    7. Responsabilità - Il responsabile del trattamento dei dati ha la responsabilità di poter dimostrare la conformità al GDPR di tutti questi principi.

È inoltre importante che gli inserzionisti siano consapevoli delle nuove e rigide regole su ciò che costituisce un'attività di marketing. consenso dell'interessato per elaborare le loro informazioni.

  • Il consenso deve essere "liberamente dato, specifico, informato e non ambiguo".
  • Le richieste di consenso devono essere "chiaramente distinguibili dalle altre questioni" e presentate in un "linguaggio chiaro e semplice".
  • Gli interessati possono revocare il consenso precedentemente prestato ogni volta che lo desiderano e voi dovete rispettare la loro decisione. Non potete semplicemente cambiare la base giuridica del trattamento con una delle altre giustificazioni.
  • I minori di 13 anni possono dare il consenso solo con l'autorizzazione di un genitore.
  • È necessario conservare la prova del consenso.

Legge generale sulla protezione dei dati del Brasile (LGPD)

  • Data di approvazione della legge: 14 agosto 2018.
  • Data di entrata in vigore: 18 settembre 2020.
  • Definizione: La LGPD regola il trattamento dei dati personali con lo scopo di proteggere i diritti fondamentali di libertà e privacy delle persone. Qualsiasi organizzazione, a prescindere dalla sua ubicazione, che abbia clienti o committenti in Brasile, deve essere conforme alla LGPD. Ciò significa che non sono solo i cittadini brasiliani a essere protetti dai dati personali, ma qualsiasi individuo i cui dati siano stati raccolti o elaborati all'interno del Brasile.
  • Applicazione: Una parte di questa legge prevedeva la creazione di un'autorità federale di regolamentazione indipendente, l'Autoridade Nacional de Proteção de Dados (ANPD). Il suo ruolo è quello di interpretare e applicare la LGPD e di agire come autorità di vigilanza nazionale.
  • Sanzioni: Le autorità possono applicare sanzioni amministrative in caso di violazione della LGPD. Tra le sanzioni, ci sono avvisi e multe, che possono variare dal 2% del fatturato dell'azienda in Brasile nell'ultimo anno fiscale, limitato in totale a 50.000.000,00 (cinquanta milioni di reais) per infrazione. Esiste anche la possibilità di una multa giornaliera per costringere l'entità a cessare le violazioni.
  • Cosa significa per gli inserzionisti: Tutte le aziende che raccolgono informazioni sugli utenti mentre si trovano in Brasile devono garantire la conformità a questi standard, compreso l'ottenimento di un consenso inequivocabile all'utilizzo dei loro dati personali. Se seguite le regole del consenso opt-in per il GDPR, sarete conformi alla LGPD.

Legge sulla privacy dei consumatori della California (CCPA E CPRA)

  • Data di approvazione della legge: 28 giugno 2018 è stato approvato il CCPA. Il CPRA è un emendamento al CCPA ed è stato approvato il 3 novembre 2020.
  • Data di entrata in vigore: Il CCPA è entrato in vigore il 1° gennaio 2020. L'emendamento CPRA è entrato in vigore il 1° gennaio 2023.
  • Definizione: Questa legge fondamentale garantisce nuovi diritti alla privacy per i consumatori californiani, tra cui:
    • Il diritto di conoscere le informazioni personali che un'azienda raccoglie su di loro e come vengono utilizzate e condivise;
    • Il diritto di cancellare le informazioni personali raccolte (con alcune eccezioni);
    • Il diritto di rinunciare alla vendita o alla condivisione dei propri dati personali; e
    • Il diritto alla non discriminazione per l'esercizio dei propri diritti CCPA.

Nel novembre 2020, gli elettori della California hanno approvato Proposizione 24, il CPRAche ha modificato il CCPA e ha aggiunto nuove tutele della privacy a partire dal 1° gennaio 2023. A partire dal 1° gennaio 2023, i consumatori godranno di nuovi diritti oltre a quelli sopra citati, quali:

  • Il diritto di correggere le informazioni personali inesatte che un'azienda ha su di loro; e
  • Il diritto di limitare l'uso e la divulgazione delle informazioni personali sensibili raccolte su di loro.
  • Applicazione: Il Procuratore generale della California ha la piena autorità di applicare il CCPA. Detto questo, l'emendamento al CPRA ha concesso all'Agenzia per la protezione della privacy della California pieni poteri amministrativi, autorità e giurisdizione per l'attuazione e l'applicazione del CCPA; il Procuratore generale ha mantenuto i poteri di applicazione. 
  • Sanzioni: Le violazioni del CCPA sono soggette all'applicazione da parte dell'ufficio del procuratore generale della California, che può richiedere sanzioni civili di 2.500 dollari per ogni violazione o di 7.500 dollari per ogni violazione intenzionale, dopo aver ricevuto un avviso e un'opportunità di rimedio di 30 giorni.
  • Cosa significa per gli inserzionisti: Le aziende che sono soggette al CCPA hanno diverse responsabilità, tra cui quella di rispondere alle richieste dei consumatori di esercitare tali diritti e di fornire ai consumatori alcuni avvisi che spiegano le loro pratiche in materia di privacy

Legge sulla protezione dei dati dei consumatori della Virginia (VCDPA)

  • Data di approvazione della legge: 2 marzo 2021
  • Data di entrata in vigore: 1 gennaio 2023
  • Definizione: Il VCDPA dà ai consumatori il diritto di accedere ai propri dati personali e di chiederne la cancellazione da parte delle aziende. Inoltre, impone alle aziende di effettuare valutazioni sulla protezione dei dati in relazione al trattamento dei dati personali per scopi pubblicitari e di vendita mirati. La legge prevede anche alcune restrizioni sull'uso di dati de-identificati, ovvero modificati in modo da non identificare più direttamente le persone da cui sono stati ricavati. 
  • Applicazione: Il Procuratore generale della Virginia è l'unico ente che può far rispettare il VCDPA e chiedere un risarcimento danni. 
  • Sanzioni: Le violazioni possono comportare sanzioni civili fino a 7.500 dollari per singola violazione da parte dei consumatori. Inoltre, le aziende possono essere ritenute responsabili del rimborso delle spese ragionevoli sostenute dall'ufficio, comprese le spese legali.
  • Cosa significa per gli inserzionisti: La legge della Virginia non è molto diversa dal CCPA, ma è importante notare che non specifica le entrate delle aziende. Ciò significa che si applica a qualsiasi azienda di qualsiasi dimensione che elabora dati.

Un elenco completo delle normative dei Paesi di tutto il mondo è disponibile qui.

Nuove norme sulla privacy in arrivo nel 2023

Altre norme sulla privacy sono in fase di elaborazione, ma ecco alcune delle principali che entreranno in vigore nel prossimo futuro.

La legge sulla privacy del Colorado (CPA)

  • Data di approvazione della legge: 7 luglio 2021
  • Data di entrata in vigore: 1 luglio 2023
  • Definizione: La legge sulla privacy del Colorado offre agli abitanti del paese il diritto di rinunciare alla pubblicità mirata, alla vendita dei propri dati personali e ad alcuni tipi di profilazione. A partire dal 1° luglio 2024, i responsabili del trattamento dovranno rispettare l'opt-out universale selezionato dall'utente per la pubblicità mirata e la vendita. I residenti del Colorado hanno anche il diritto di accedere, correggere e cancellare i propri dati personali, nonché il diritto alla portabilità dei dati. I responsabili del trattamento avranno generalmente 45 giorni per rispondere alle richieste dei consumatori.
  • Applicazione: La conformità al CPA viene applicata esclusivamente dal Procuratore generale del Colorado o dal procuratore distrettuale. 
  • Sanzioni: Secondo il CPA, le violazioni sono soggette a sanzioni civili ai sensi del Colorado Consumer Protection Act, che prevede sanzioni civili non superiori a 20.000 dollari per ogni violazione da parte di un singolo consumatore.
  • Cosa significa per gli inserzionisti: Essendo un'altra legge a tutela dei consumatori, questa si aggiungerà alle attività della California e della Virginia. Ciò significa che se un'azienda viene accusata di una violazione in uno Stato, questa potrebbe rapidamente estendersi ad altri Stati con normative simili.

La legge sulla privacy dei dati del Connecticut (CTDPA)

  • Data di approvazione della legge: 10 maggio 2022
  • Data di entrata in vigore: 1 luglio 2023
  • Definizione: Il CTDPA fornisce ai residenti del Connecticut i seguenti diritti enumerati:
    • Il diritto di accedere ai dati personali che un responsabile del trattamento ha raccolto su di loro.
    • Il diritto di correggere le inesattezze nei propri dati personali.
    • Il diritto di cancellare i propri dati personali, compresi i dati personali che il responsabile del trattamento ha raccolto tramite terzi.
    • Il diritto di ottenere una copia dei propri dati personali in un formato portatile e facilmente utilizzabile che consenta di trasferirli facilmente a un altro titolare del trattamento.
    • Il diritto di non partecipare:
      • la vendita dei loro dati personali;
      • il trattamento dei dati personali ai fini della pubblicità mirata; e
      • profilazione che può avere impatti legali o altri impatti significativi.
  • Applicazione: Il Procuratore generale del Connecticut ha l'autorità esclusiva di applicare il CTDPA.
  • Sanzioni: Fino a 5.000 dollari per violazione. Oltre alle sanzioni civili, il Procuratore generale può intentare una causa per ottenere ulteriori danni.
  • Cosa significa per gli inserzionisti: Le aziende che raccolgono ed elaborano i dati personali dei residenti del Connecticut devono:
    • Fornire informazioni sui tipi di dati personali trattati, sulle finalità del trattamento, sull'eventuale condivisione dei dati personali con terzi e sulle modalità con cui i consumatori possono esercitare i vari diritti (ad es. accesso, cancellazione) sui propri dati personali.
    • Limitare la raccolta dei dati personali a ciò che è adeguato, pertinente e ragionevolmente necessario per le finalità specifiche per le quali i dati sono trattati (noto anche come "minimizzazione dei dati").
    • Ottenere il consenso prima di trattare i dati sensibili di un consumatore.
    • Rispondere alle richieste di esercizio dei diritti dei consumatori concessi ai sensi del CTDPA.
    • Effettuare valutazioni prima di trattare i dati personali in un modo che presenta un rischio elevato di danno per i consumatori (chiamate "valutazioni sulla protezione dei dati"). Ciò include il trattamento dei dati personali a fini di pubblicità mirata, vendita o profilazione e il trattamento di dati sensibili.

Legge sulla privacy dei consumatori dello Utah (UCPA)

  • Data di approvazione della legge: 24 marzo 2022
  • Data di entrata in vigore: 31 dicembre 2023
  • Definizione: I consumatori godono di quattro diritti principali ai sensi dell'UCPA:
    • Diritto di accesso - il diritto di confermare se un responsabile del trattamento sta trattando i propri dati e il diritto di accedere a tali dati personali.
    • Diritto di cancellazione - il diritto di chiedere all'azienda di cancellare i propri dati personali forniti al responsabile del trattamento.
    • Diritto alla portabilità dei dati - il diritto di ottenere una copia dei propri dati personali in un formato facilmente utilizzabile.
    • Diritto di rinunciare a determinati trattamenti - il diritto di rinunciare al trattamento dei propri dati personali ai fini della pubblicità mirata o della vendita di dati personali.
  • Applicazione: Il Procuratore generale dello Utah ha l'autorità esclusiva di applicare l'UCPA.
  • Sanzioni: Una volta ricevuta la notifica, le aziende hanno 30 giorni di tempo per risolvere la violazione. Se non viene risolta entro tale periodo, il procuratore generale può imporre sanzioni e danni fino a 7.500 dollari per ogni violazione.
  • Cosa significa per gli inserzionisti: Questa legge è più semplice per le aziende rispetto a quelle della California, della Virginia e del Colorado. Se un'azienda è conforme a queste normative più severe, non dovrebbero esserci cambiamenti quando questa legge entrerà in vigore.

Protezioni federali dei dati negli Stati Uniti

Sebbene negli Stati Uniti la privacy dei dati dei consumatori sia gestita per lo più a livello statale, esistono numerose normative a livello federale che si applicano a determinati settori e che devono essere rispettate.

Legge sulla protezione della privacy online dei bambini (COPPA)

Il COPPA impone determinati requisiti agli operatori di siti web o servizi online diretti a bambini di età inferiore ai 13 anni e agli operatori di altri siti web o servizi online che sono effettivamente a conoscenza del fatto che stanno raccogliendo informazioni personali online da un bambino di età inferiore ai 13 anni.

Legge sulla portabilità dell'assicurazione sanitaria e sulla contabilità (HIPAA)

L'Health Insurance Portability and Accountability Act del 1996, comunemente noto come HIPAA, è una serie di standard normativi che delineano l'uso e la divulgazione leciti delle informazioni sanitarie protette (PHI). La conformità all'HIPAA è regolata dal Dipartimento della Salute e dei Servizi Umani (HHS) e applicata dall'Ufficio per i Diritti Civili (OCR).

Legge Gramm Leach Bliley (GLBA)

Il Gramm-Leach-Bliley Act impone alle istituzioni finanziarie (società che offrono ai consumatori prodotti o servizi finanziari come prestiti, consulenza finanziaria o sugli investimenti o assicurazioni) di spiegare ai clienti le loro pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.

Legge sulle segnalazioni di credito (Fair Credit Reporting Act) (FCRA)

Il Fair Credit Reporting Act protegge le informazioni raccolte dalle agenzie di segnalazione dei consumatori, come gli uffici di credito, le società di informazioni mediche e i servizi di selezione degli inquilini. Le informazioni contenute in un rapporto di consumo non possono essere fornite a nessuno che non abbia uno scopo specificato nella legge. Le aziende che forniscono informazioni alle agenzie di segnalazione dei consumatori hanno anche specifici obblighi legali, tra cui quello di indagare sulle informazioni contestate. Inoltre, chi utilizza le informazioni per scopi creditizi, assicurativi o occupazionali deve informare il consumatore quando viene intrapresa un'azione negativa sulla base di tali rapporti. 

Domande da porre ai fornitori di dati per garantire la conformità alla privacy dei dati

Quando si lavora con fornitori di dati e partner, è più importante che mai assicurarsi che questi trattino i dati personali in modo appropriato. Ecco le domande fondamentali da porre per verificare che i nuovi fornitori di dati siano conformi alle normative attuali e future.

  1. Nella vostra azienda esiste un team separato per la privacy che si occupa della conformità alla normativa sulla privacy? Oppure la privacy è incorporata nella progettazione?
  2. Quale documentazione conservate sui dati che state raccogliendo, come il consenso, le modalità di utilizzo, la sede di archiviazione, il dipendente responsabile, ecc.
  3. Quali sono le misure di sicurezza adottate per l'archiviazione dei dati?
  4. Come gestite i requisiti di opt-in e opt-out imposti dalle autorità regionali di regolamentazione della privacy?
  5. Cosa state facendo per affrontare le recenti leggi dello Stato americano?
  6. Cosa state facendo per affrontare le recenti normative GDPR?
  7. Come potete assicurarvi di gestire i dati sensibili in modo conforme alla privacy, in particolare i dati sanitari o religiosi?
  8. Avete intenzione di sottoporvi a un audit/revisione della privacy per un'eventuale certificazione quest'anno? Se sì, con quale organizzazione intendete lavorare?

Queste domande forniscono un quadro chiaro della serietà del fornitore di dati in materia di protezione dei dati e della privacy, nonché della sua preparazione a dimostrare la conformità alle normative internazionali. La collaborazione con fornitori di dati come ShareThis, che pongono la privacy dei dati in primo piano nelle loro pratiche commerciali, consentirà agli inserzionisti di preoccuparsi meno della conformità alla privacy dei dati e di concentrarsi invece sul successo pubblicitario.

Informazioni su ShareThis

ShareThis ha sbloccato il potere del comportamento digitale globale sintetizzando i dati di condivisione sociale, interesse e intenzione dal 2007. Alimentato dal comportamento dei consumatori su oltre tre milioni di domini globali, ShareThis osserva le azioni in tempo reale di persone reali su destinazioni digitali reali.

Iscriviti alla nostra newsletter

Ricevete le ultime notizie, i suggerimenti e gli aggiornamenti

Iscriviti

Contenuto correlato