Il futuro in rapida evoluzione della privacy dei dati e come prepararsi ad affrontarlo

Se il stato attuale della privacy dei dati Se vi sembra un po' un disastro, non siete i soli. Negli Stati Uniti, sembra che ci stiamo avviando ad avere 50 stati con le proprie leggi sulla privacy prima che venga approvato qualcosa a livello federale. Questa mancanza di decisioni sta influenzando l'adattamento e l'innovazione nel settore dell'adtech. Molte aziende del settore tecnologico si sono sentite frustrate perché c'è troppa incertezza e, senza regole e parametri precisi, non c'è un percorso chiaro da seguire.

Questo articolo spiegherà cosa potrebbe esserci all'orizzonte per quanto riguarda le normative sulla privacy dei dati, i cambiamenti che le aziende tecnologiche stanno apportando e cosa possono fare gli inserzionisti per rimanere conformi nei prossimi anni di incertezza.

Cosa sta creando incertezza nei regolamenti sulla privacy dei dati?

Sono cinque i fattori principali che creano incertezza nella direzione della privacy dei dati.

  1. Nuove norme sulla privacy continuano a essere creati che confondono le acque per le aziende che operano negli Stati Uniti e nelle regioni globali. Un esempio: Ebbie Yazdani, direttore delle politiche federali di TechNet, ha illustrato ai partecipanti al National Press il costo delle normative statali. "Se permettiamo che si continui a costruire un mosaico di leggi statali, e/o se il Congresso non è in grado di prevenire completamente le leggi statali, ci sarà un costo enorme per l'economia e la leadership tecnologica dell'America", ha detto Yazdani, citando un'inchiesta di TechNet. studio che ha affermato che se 50 stati emanassero le proprie leggi sulla privacy, l'economia costerebbe 1.000 miliardi di dollari in 10 anni.
  1. Le normative esistenti vengono modificate per aggiungere ulteriori restrizioni. La California ha già modificato il CCPA con il CPRA e le autorità federali esistenti stanno estendendo la loro portata. Allo stesso modo, le cause legali aggiungono nuove definizioni alle normative, come le cause Schrems nell'UE. Un esempio: L'HHS (che regolamenta l'HIPAA) ha fornito che renderebbe i dati pseudonimi PHI ai sensi dell'HIPAA. se raccolti su siti gestiti da entità coperte. 
  1. Le cause legali stanno iniziando a creare scompiglio con l'aggiunta di dibattiti sulle modalità di applicazione delle normative a livello globale. Inoltre, il diritto di azione privata previsto da alcune leggi statali sulla privacy aumenta la probabilità di cause collettive. Esempio: Le cause e le multe non sono solo una reazione alle violazioni dei dati. Nel settembre 2022, Il commissario irlandese per la protezione dei dati (DPC) ha multato Instagram per aver violato la privacy dei bambini ai sensi del GDPR. L'annosa denuncia riguardava i dati dei minori, resi più pubblici quando gli utenti hanno aggiornato i loro profili ad account business per accedere agli strumenti di analisi. Meta sta combattendo la causa, in disaccordo con le modalità di calcolo della multa. 
  1. Il governo federale degli Stati Uniti sta lottando per capire il proprio ruolo. Ci sono stati tentativi di legislazione federale sulla privacy, ma non hanno avuto successo. E gli organismi federali esistenti stanno estendendo la loro autorità per cercare di coprire questa lacuna. Esempio: Il governo federale ha fatto diversi tentativi di approvare leggi federali sulla privacy. Il più importante è il Legge americana sulla privacy e la protezione dei dati (ADPPA) che non è stato approvato a causa delle preoccupazioni di conflitto con il California Privacy Act (CPA). 
  1. La tecnologia non ha un percorso chiaro per il futuro. Le aziende che raccolgono dati digitali e creano prodotti basati sui dati sono in disaccordo sul percorso da seguire, poiché non esiste uno stato futuro chiaro per le normative sulla privacy. Esempio: Google Chrome continua a ritardare la deprecazione dei cookie e a migliorare l'approccio agli argomenti in Sandbox, nonostante le preoccupazioni di terzi.

In tutta questa incertezza, l'utilizzo dei dati è sotto il microscopio dei procuratori generali degli Stati e dei regolatori della privacy dell'UE. Tutte le aziende che raccolgono, analizzano e utilizzano i dati sono vulnerabili e rischiano di essere oggetto di azioni legali e di spese per la mancata conformità.

Una legge federale degli Stati Uniti sostituirà presto le normative statali?

Alla fine del primo trimestre del 2023, c'erano cinque Stati con leggi sulla privacy firmate e altri 19 sono in fase di elaborazione, alcuni dei quali con più proposte di legge attive. Si prevede che circa quattro o cinque di queste saranno approvate nel 2023, mentre le altre seguiranno nel 2024 e negli anni a venire. 

Lo stato delle normative sulla privacy negli Stati Uniti da iapp (vedi mappa più aggiornata)

Ci sono stati alcuni tentativi a livello federale di stabilire nuove norme sulla privacy dei dati. Diversi leader federali, tra cui la senatrice Amy Klobuchar (D-Minn.), hanno presentato leggi federali sulla privacy dei dati senza successo. La senatrice Suzan DelBene (D-Wash.) ha proposto di legislazione sulla privacy dei dati online che darebbe ai consumatori il controllo sui propri dati e alla Federal Trade Commission il diritto di farli rispettare. 

Il tentativo recente più noto è stato l'American Data Privacy and Protection Act (ADPPA). L'ADPPA era una proposta di legge federale degli Stati Uniti sulla privacy online che, se fosse stata promulgata, avrebbe regolamentato il modo in cui le organizzazioni conservano e utilizzano i dati dei consumatori. Purtroppo, i sostenitori del CCPA della California ritenevano che l'ADPPA non fosse abbastanza forte da proteggere i californiani. La Presidente della Camera Pelosi si è allineata con i sostenitori californiani, rilasciando una dichiarazione che l'ADPPA "deve continuare a proteggere i californiani - e agli Stati deve essere consentito di affrontare i rapidi cambiamenti della tecnologia". 

L'American Data Privacy Protection Act (ADPPA) gode di un sostegno bipartisan ed è quanto di più vicino sia stato fatto negli Stati Uniti per approvare una legge completa sulla privacy dei dati dei consumatori. Ma non è ancora stata approvata. Nel 2023 la Rep. Kathy McMorris Rogers dovrebbe reintrodurre la legge.

Se prima o poi l'ADPPA dovesse diventare legge, è importante capire le differenze rispetto al CCPA. L'ADPPA va significativamente oltre il CCPA, in quanto pone l'onere di proteggere le informazioni su coloro che le elaborano anziché sugli individui che le generano. Ecco alcune delle principali differenze:

  • Definisce e limita gli usi consentiti dei dati.
  • Richiede valutazioni dell'impatto sulla privacy e sugli algoritmi.
  • Estende le tutele dei diritti civili online, proteggendo dalla manipolazione.
  • Fornisce all'individuo un diritto molto più ampio di fare causa.

L'ADPPA sarebbe la prima legislazione completa sulla privacy a estendere le tutele dei diritti civili alle discriminazioni nell'uso delle informazioni personali e a richiedere a tutte le aziende e alle organizzazioni non profit di incorporare la privacy by design nella valutazione dell'uso degli algoritmi.

Ma passerà presto?

C'è una notevole polarizzazione su questo argomento che sta creando paralisi. Con l'entrata in vigore delle normative di altri Stati nel prossimo futuro, sembra che il governo federale si baserà sull'esperienza degli Stati per definire un modello di funzionamento a livello nazionale. In altre parole, potremmo essere lontani anni dal vedere un regolamento nazionale che chiarisca e semplifichi la conformità alla privacy dei dati.

Che cos'è il regolamento ePrivacy rispetto al GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR)è il regolamento sulla privacy dei dati dell'Unione Europea, in vigore dal 2018 e considerato il più severo a livello globale. 

Recentemente è stato proposto nell'UE anche il Regolamento ePrivacy. Questo regolamento crea uno standard di consenso per i cookie. Il regolamento offre anche alcune regole di base per il trattamento dei dati, ad esempio per l'uso di dati pseudonimizzati o anonimizzati. Il regolamento sarà applicabile ai tradizionali fornitori di servizi di comunicazione elettronica, come gli operatori di telefonia mobile e fissa, ma riguarderà anche la messaggistica istantanea su Internet e le applicazioni VOIP (e-mail, app, ecc.), nonché le comunicazioni da macchina a macchina come l'IoT.

Mentre il GDPR si applica solo al trattamento dei dati personali, l'ePrivacy regola le comunicazioni elettroniche anche se riguardano dati non personali. Inoltre, nel caso dei cookie, l'ePrivacy ha generalmente la precedenza. Si prevede che il regolamento ePrivacy entrerà in vigore nel 2023, con un periodo di transizione di 24 mesi.

Gli Stati Uniti e l'Unione Europea hanno firmato verso la fine del 2022 un accordo che regola la raccolta di dati tra i governi degli Stati Uniti e dell'Unione Europea sui reciproci cittadini, chiamato "accordo di raccolta". Quadro sulla privacy dei dati UE-USA. Questo accordo sostituisce gli accordi precedenti (Privacy Shield e Safe Harbor), che erano stati annullati dalla Corte di giustizia dell'Unione europea (CGUE) a causa delle preoccupazioni legate alla sorveglianza da parte dei governi dell'UE dei soggetti interessati senza controlli. Il nuovo accordo impone limitazioni e salvaguardie all'accesso ai dati da parte delle agenzie di intelligence statunitensi e istituisce un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami dei cittadini europei relativi alla raccolta dei loro dati per scopi di sicurezza nazionale.

Sfruttare i dati digitali globali per il successo del marketing futuro

Sfruttate i dati sugli interessi in tempo reale per approfondire il coinvolgimento dei clienti e massimizzare i risultati per la pianificazione, il targeting, la misurazione e altro ancora.

Come sta cambiando l'Adtech per tenere conto della privacy dei dati?

Google

Google continua a diffondere la deprecazione dei cookie di terze parti in Chrome. Ora è stato rinviata alla seconda metà del 2024. Google sta cercando di dare l'impressione che la Privacy Sandbox sia praticabile, in modo da poter rispettare gli impegni presi con la CMA britannica. 

Il Il World Wide Web Consortium (W3C) ha recentemente affermato che la piattaforma pubblicitaria Topics di Google non è buona per la privacy, quindi non ci stanno lavorando. Il Gruppo Architettura Tecnica (TAG) del W3C ha sollevato una serie di preoccupazioni dalla loro revisione iniziale del progetto dell'API Topics. Il rappresentante del TAG ha scritto che l'API Topics proposta da Google non riesce a proteggere gli utenti da "tracciamento e profilazione indesiderati" e mantiene lo status quo di "sorveglianza inappropriata sul web". Il rappresentante ha commentato: "Non vogliamo che si proceda oltre".

Anche gli sviluppatori dei motori dei browser Webkit e Mozilla si sono espressi negativamente sull'approccio di Google, mettendo in guardia dalle carenze in termini di privacy. Mozilla si è spinto fino a dire che è più probabile che gli argomenti "riducano l'utilità delle informazioni per gli inserzionisti piuttosto che fornire una protezione significativa della privacy".

Mentre Google lavora per trovare una soluzione praticabile, le aziende sono ancora in grado di utilizzare i cookie di terze parti degli utenti di Chrome. Se da un lato questa è una buona notizia per alcuni, dall'altro il ritardo posticipa gli sforzi di sviluppo di soluzioni alternative e mantiene la privacy dei dati come una preoccupazione costante per gli inserzionisti che lavorano con questi dati.

FiduciaPid

Nel frattempo, le principali telecom europee hanno ottenuto il permesso di creare le proprie piattaforme pubblicitarie invece di perdere il business a favore delle big tech. Orange, Vodafone, Telefonica e Deutsche Telecom stanno creando TrustPid, una piattaforma pubblicitaria comune. Lo sviluppo di una piattaforma pubblicitaria "privacy first" è in cantiere da due anni. Essa consentirà alle quattro aziende di sviluppare un concorrente delle principali società tecnologiche, tra cui Amazon, Apple, Google e Meta. La piattaforma è stata sviluppata in conformità con il GDPR e con l'imminente regolamento ePrivacy, per cui potrebbe diventare un modello di privacy per le future piattaforme pubblicitarie.

Le aziende statunitensi stanno seguendo da vicino questa vicenda, poiché da anni le autorità di regolamentazione dell'UE affermano che l'unico modo per estrarre informazioni dal terminale di un utente per il targeting pubblicitario è il consenso. Ma i regolamenti rendono il consenso incredibilmente difficile da ottenere. Se TrustPid ha trovato un modo per farlo, il mondo sarà interessato a vedere cosa sta facendo che sia gradito alle autorità di regolamentazione dell'UE.

ID universali (UID)

I regolatori della privacy dell'UE stanno incoraggiando le aziende tecnologiche a passare all'obbligo di consenso per qualsiasi UID. Tuttavia, hanno un grosso problema con il modo in cui Apple sta attuando questo processo. La politica di trasparenza del tracciamento delle app di Apple costringe gli sviluppatori di app a visualizzare un ulteriore prompt (progettato da Apple) per richiedere il permesso agli utenti finali di "tracciare" l'utente, anche quando l'utente ha già acconsentito alla condivisione dei suoi dati attraverso lo strumento di consenso dello sviluppatore. I timori che ciò elimini la concorrenza basata sui dati e la scelta dei consumatori in tutto l'ecosistema Apple hanno ha dato il via a indagini da parte di diverse autorità europee

In conclusione? Per ora, il consenso è fondamentale. Ma non c'è ancora un percorso chiaro per il futuro. 

Cosa possono fare i pubblicitari per proteggersi dall'incertezza?

Alla fine, il governo federale degli Stati Uniti adotterà una legislazione che chiarirà la confusione tra le leggi statali. E alla fine Google eliminerà i cookie di terze parti. Tuttavia, entrambi questi cambiamenti importanti sono probabilmente lontani alcuni anni.

Nel frattempo, gli inserzionisti devono assicurarsi di lavorare con fornitori di dati che siano conformi a norme attive sulla privacy dei dati. La comprensione degli aspetti principali delle normative statali statunitensi è utile per verificare che i fornitori di dati di terze parti siano conformi alla privacy. Cercate partner di dati che abbiano diverse opzioni per la gestione del consenso (sia opt-out che opt-in). Inoltre, devono disporre di piani per la gestione delle richieste di dati e delle cause legali in materia di privacy. 

Aspetti chiave dei fornitori terzi di dati conformi alla privacy:

  • I regolamenti prevedono un'ampia definizione di informazioni personali che include gli ID pseudonimi. La normativa prevede un'ampia definizione di dati personali che ora include anche gli ID pseudonimi. Nota: ogni società di ad tech ha un ID univoco, che rappresenta comunque un trattamento di dati personali, quindi assicuratevi che lo gestiscano in modo appropriato. 

  • Hanno un chiaro opt-out e opt-in se necessario. Un fornitore conforme alle norme sulla privacy fornirà un chiaro opt-out e avrà un opt-in per i dati sensibili come salute, religione, ecc.

  • Hanno un modo per gestire le richieste di accesso ai dati. I dati pseudonimi sono difficili da verificare quando arriva una richiesta. Un fornitore che rispetta la privacy avrà già capito come fare. 

  • Hanno un piano per gestire un'azione legale privata. I procuratori generali hanno la possibilità di fare causa per far rispettare le leggi ed è importante sapere che il vostro fornitore di dati ha un piano per affrontare e dimostrare la conformità prima che venga intentata una causa formale.

Assicurarsi che i vostri partner lavorino nel rispetto delle normative sulla privacy dei dati oggi e in futuro è fondamentale. È meglio pianificare le restrizioni più severe ora, prima che sia troppo tardi, e l'unico modo per farlo è non farlo da soli, ma collaborare con uno staff di esperti. partner per i dati sulla privacy come ShareThis. 

Informazioni su ShareThis

ShareThis ha sbloccato il potere del comportamento digitale globale sintetizzando i dati di condivisione sociale, interesse e intenzione dal 2007. Alimentato dal comportamento dei consumatori su oltre tre milioni di domini globali, ShareThis osserva le azioni in tempo reale di persone reali su destinazioni digitali reali.

Iscriviti alla nostra newsletter

Ricevete le ultime notizie, i suggerimenti e gli aggiornamenti

Iscriviti

Contenuto correlato