Stato del GDPR nel 2021: aggiornamenti chiave e cosa significano

Pubblicato: 2022-03-10
Riepilogo rapido ↬ In qualità di professionisti del digitale, il GDPR ha avuto un impatto su ogni aspetto della nostra vita professionale e personale. Che tu sia dipendente da Instagram, invia messaggi alla tua famiglia su WhatsApp, acquisti prodotti da Etsy o dalle informazioni di Google, nessuno è sfuggito alle regole introdotte nel 2018.

Le direttive dell'UE hanno avuto un impatto praticamente su tutti i professionisti digitali poiché i prodotti e i servizi sono progettati tenendo conto del GDPR, indipendentemente dal fatto che tu sia un'azienda di web design nel Wisconsin o un marketer a Malta. Le implicazioni di vasta portata del GDPR non influiscono solo sul modo in cui i dati dovrebbero essere elaborati, su come dovrebbero essere costruiti i prodotti e su come i dati vengono trasferiti in modo sicuro all'interno e tra le organizzazioni. Definisce accordi internazionali di trasferimento dati come quello tra Europa e America.

Kevin Kelly, uno dei futuristi digitali più brillanti del mondo, afferma che "la tecnologia è una forza grande quanto la natura". Ciò che intende con questo è che i dati degli utenti e la tecnologia dell'informazione stanno causando uno dei periodi più profondi della storia umana dall'invenzione del linguaggio. Basta guardare cosa sta succedendo mentre i governi e le multinazionali della tecnologia sono alle prese per controllare Internet.

Solo la scorsa settimana, quando il governo australiano si è mosso per costringere i proprietari della piattaforma a pagare gli editori per i contenuti condivisi sulla loro piattaforma, Facebook ha deciso di bloccare le notizie per gli utenti australiani con un grande clamore da parte del governo australiano.

E questo in aggiunta alle controversie precedenti (l'organizzazione della rivolta del Campidoglio degli Stati Uniti, lo scandalo Cambridge Analytica) all'incrocio dove governo e tecnologia si incontrano.

In questo articolo, esamineremo come si è evoluto il GDPR dal 2018. Analizzeremo alcuni aggiornamenti dall'UE, alcuni sviluppi chiave e dove è probabile che il GDPR si evolverà. Esploreremo cosa significa per noi , come designer e sviluppatori. E vedremo cosa significa per le aziende sia all'interno che all'esterno dell'UE.

Nel prossimo articolo ci concentreremo sul consenso ai cookie e sul paradosso per cui gli esperti di marketing fanno molto affidamento sui dati dei cookie di Google Analytics ma devono rispettare le normative. E poi faremo un tuffo nel monitoraggio degli annunci proprietari quando iniziamo a vedere gli allontanamenti dai cookie di terze parti.

  • Parte 1: GDPR, aggiornamenti chiave e cosa significano
  • Parte 2: Consenso ai cookie per designer e sviluppatori

Un rapido riepilogo del GDPR

Iniziamo ricordandoci cos'è il GDPR. Il GDPR è diventato legge all'interno dell'UE il 25 maggio 2018. Si basa su 7 principi chiave:

  1. Legittimità, correttezza e trasparenza
    Devi elaborare i dati in modo che le persone capiscano cosa, come e perché stai elaborando i loro dati.
  2. Limitazione dello scopo
    Dovresti raccogliere dati solo per scopi chiari, specificati e legittimi. Non puoi quindi elaborarlo in modi incompatibili con i tuoi scopi originali.
  3. Minimizzazione dei dati
    Dovresti raccogliere solo i dati di cui hai bisogno.
  4. Precisione
    I tuoi dati devono essere accurati e tenuti aggiornati. I dati imprecisi devono essere cancellati o corretti.
  5. Limitazione di archiviazione
    Se i dati possono essere collegati a persone fisiche, puoi conservarli solo per il tempo necessario al raggiungimento delle finalità da te specificate. (Avvertenze per uso di ricerca scientifica, statistica o storica.)
  6. Integrità e riservatezza (cioè sicurezza)
    Devi assicurarti che i dati personali che detieni siano elaborati in modo sicuro. È necessario proteggerlo da elaborazioni non autorizzate o illecite e da perdite, distruzioni o danni accidentali.
  7. Responsabilità
    Ora sei responsabile dei dati in tuo possesso e dovresti essere in grado di dimostrare la tua conformità al GDPR.
Diagramma che mostra i sette principi del GDPR: liceità, integrità, archiviazione e limitazione delle finalità, minimizzazione e accuratezza dei dati e responsabilità, a cui si sovrappongono trasparenza, privacy e controlli
I principi del GDPR si basano su trasparenza, privacy e controllo degli utenti. (Credito immagine: Cyber-Duck) (Anteprima grande)

Alcune definizioni

  • CGUE
    Corte di giustizia dell'Unione europea. Le decisioni di questo tribunale chiariscono le leggi dell'UE come il GDPR.
  • DPA
    Autorità nazionali per la protezione dei dati. Ogni paese dell'UE ne ha uno. Il GDPR viene applicato e vengono emesse sanzioni a livello nazionale da questi organismi. L'equivalente del Regno Unito è l'Information Commissioner's Office (ICO). Negli Stati Uniti, la privacy dei dati in stile GDPR è in gran parte legiferata da ciascuno stato.
  • Commissione europea
    Il ramo esecutivo dell'Unione Europea (essenzialmente la funzione pubblica dell'UE). La Commissione Europea elabora la legislazione compreso il GDPR.
  • GDPR
    Il regolamento generale sulla protezione dei dati del 2018.

Aggiornamenti chiave dall'UE

Il GDPR non si è fermato da maggio 2018. Ecco un rapido riassunto di ciò che è accaduto da quando è entrato in vigore.

In che modo l'UE e i suoi Stati membri hanno implementato il GDPR?

La Commissione europea riferisce che il GDPR è quasi completamente implementato in tutta l'UE, anche se alcuni paesi - controlla la Slovenia - hanno trascinato i piedi. Tuttavia, la profondità di attuazione varia. L'UE afferma anche che i suoi paesi membri, a suo avviso, stanno usando i loro nuovi poteri in modo equo.

Tuttavia, ha anche espresso preoccupazione per l'insorgere di divergenze e frammentazioni. Il GDPR può funzionare efficacemente nel mercato unico dell'UE solo se gli Stati membri sono allineati . Se le leggi divergono, infanga l'acqua.

In che modo l'UE vuole che si sviluppi il GDPR?

Sappiamo che l'UE vuole che sia più facile per le persone esercitare i propri diritti ai sensi del GDPR. Ciò significa collaborazione transfrontaliera e azioni collettive . Vuole vedere la portabilità dei dati per i consumatori al di là di banche e telecomunicazioni.

Vuole inoltre rendere più facile per le piccole e medie imprese ( PMI ) conformarsi al GDPR. È probabile che ciò avvenga sotto forma di supporto aggiuntivo e strumenti come clausole contrattuali più standard – essenzialmente legali basate su modelli che le PMI possono copiare/incollare nei contratti – poiché l'UE non è disposta a piegare le regole per loro.

Grande sviluppo n. 1: la definizione inaspettatamente ampia di "controllore congiunto"

Bene, ecco il primo grande cambiamento da quando il GDPR è diventato legge. In due casi di prova che coinvolgono Facebook, la Corte di giustizia dell'Unione europea ha definito un'interpretazione di "contitolare del trattamento" molto più ampia del previsto.

Una situazione di contitolare del trattamento si verifica quando due o più titolari del trattamento hanno entrambi la responsabilità di rispettare i termini del GDPR. (Ecco una buona spiegazione dell'ICO sui controllori congiunti.) In sostanza:

  • Quando elabori i dati dei clienti, decidi con i tuoi colleghi contitolari che gestiranno ogni passaggio in modo da essere conforme al GDPR.
  • Tuttavia, tutti voi avete la piena responsabilità di garantire che l'intero processo sia conforme . Ciascuno di voi è pienamente responsabile nei confronti dell'autorità per la protezione dei dati nel paese che gestisce eventuali reclami.
  • Un individuo può presentare un reclamo contro ciascuno e tutti i contitolari del trattamento.
  • Siete tutti responsabili per qualsiasi danno causato, a meno che non siate in grado di dimostrare di non avere alcun collegamento con l'evento che ha causato il danno.
  • Un individuo può chiedere un risarcimento a qualsiasi contitolare del trattamento. Potresti essere in grado di reclamare parte di tale compenso dai tuoi colleghi controllori.

Nel primo caso di Facebook, la CGUE ha confermato che una società che gestiva una fan page di Facebook contava come controllore congiunto insieme a Facebook. Nella seconda, la CGUE ha anche confermato che una società che ha incorporato un pulsante Mi piace di Facebook sul proprio sito Web deteneva lo status di contitolare del trattamento con il social network.

Questi casi hanno suscitato shock nella comunità della privacy, poiché essenzialmente rende gli editori sociali, gli operatori di siti Web e i moderatori di pagine di fan responsabili dei dati degli utenti insieme a piattaforme come Facebook.

Tuttavia, la CGUE ha anche chiarito che responsabilità condivisa non significa uguale responsabilità . In entrambi i casi, la responsabilità spettava principalmente a Facebook: solo Facebook aveva accesso ai dati e solo Facebook poteva eliminarli. Quindi l'impatto di questa decisione potrebbe essere meno grave di quanto sembri all'inizio, ma è comunque di fondamentale importanza.

E questo potrebbe essere il motivo per cui alcuni siti, come il sito Web per la presidenza tedesca dell'UE nel 2020, bloccano i contenuti social incorporati per impostazione predefinita, fino a quando non hai specificamente aderito:

Screengrab di eu2020.de che mostra il contenuto del feed social bloccato fino all'attivazione del monitoraggio di terze parti
Alcuni siti stanno iniziando a bloccare la visualizzazione dei feed social incorporati sui loro siti per impostazione predefinita, offrendo agli utenti la possibilità di aderire con il monitoraggio. (Grande anteprima)

Grande sviluppo n. 2: ciao ciao scudo per la privacy, ciao CPRA

Il secondo grande cambiamento era più prevedibile: il Privacy Shield , il meccanismo che ha reso più facile per le aziende americane elaborare i dati dei clienti europei, è stato bocciato dai tribunali.

Ecco perché.

L'UE vuole proteggere i dati personali dei suoi cittadini. Tuttavia, vuole anche incoraggiare il commercio internazionale, oltre alla collaborazione transfrontaliera in settori come la sicurezza.

L'UE si considera — giustamente — un pioniere nella protezione dei dati. Quindi sta usando i suoi muscoli politici per incoraggiare i paesi che vogliono commerciare con il blocco per soddisfare i suoi standard di privacy dei dati.

Entra negli Stati Uniti. Le filosofie europee e americane sulla privacy dei dati sono diametralmente opposte . (In sostanza, il punto di vista europeo è che i dati personali sono privati ​​a meno che tu non dia il permesso esplicito. Il punto di vista americano è che i tuoi dati sono pubblici a meno che tu non richieda espressamente che siano mantenuti privati.) Ma essendo i due più grandi mercati di consumo del mondo, devono commercio. Quindi l'UE e gli Stati Uniti hanno sviluppato lo scudo per la privacy.

Il Privacy Shield è stato progettato per consentire alle aziende statunitensi di elaborare i dati dei cittadini dell'UE, a condizione che tali aziende abbiano sottoscritto i suoi standard di privacy più elevati.

Ma secondo la legge statunitense, il governo degli Stati Uniti potrebbe ancora monitorare quei dati. Ciò è stato contestato in una causa intentata dall'avvocato austriaco della privacy Max Schrems. La CGUE si è schierata con lui: lo scudo per la privacy è stato cancellato e le 5.300 PMI americane che hanno utilizzato lo scudo per la privacy non hanno avuto altra scelta che adottare le clausole contrattuali standard prescritte dall'UE.

Ovviamente, la sostituzione del Privacy Shield è nell'interesse di tutti e lo sarà. Ma gli esperti affermano che è probabile che la sua sostituzione venga nuovamente respinta a tempo debito perché gli approcci europei e americani alla privacy sono essenzialmente incompatibili.

Nel frattempo, in California, il California Consumer Privacy Act (CCPA) ispirato al GDPR del 2018 è stato rafforzato nel novembre 2020 con l'approvazione del California Privacy Rights Act (CPRA).

Il California Consumer Privacy Act (CCPA)

Il CCPA, entrato in vigore nel gennaio 2020, offre ai cittadini della California il diritto di rinunciare alla vendita dei propri dati . Possono inoltre chiedere la divulgazione dei dati raccolti e possono richiedere la cancellazione di tali dati. A differenza del GDPR, il CCPA si applica solo alle società commerciali:

  • Chi elabora i dati di oltre 50.000 residenti in California all'anno, OR
  • Che generano entrate lorde superiori a $ 25 milioni all'anno, OPPURE
  • Che guadagnano più della metà delle loro entrate annuali vendendo i dati personali dei residenti in California

Il California Privacy Rights Act (CPRA)

Il CPRA, che entrerà in vigore nel gennaio 2023, va oltre il CCPA . I suoi punti chiave includono:

  • Alza il livello delle aziende che elaborano i dati di 100.000 residenti in California all'anno
  • Offre maggiore protezione ai dati sensibili dei californiani , come razza, religione, orientamento sessuale, dati sanitari e documenti di identità
  • Triplica le multe per violazione dei dati dei minori
  • Dà ai californiani il diritto di richiedere la rettifica dei propri dati
  • Obbliga le aziende ad aiutare con le indagini CPRA
  • E istituisce una California Privacy Protection Agency per far rispettare la CPRA
Grafico che riassume il CPRA
La California sta rafforzando la sua legislazione sulla privacy con il CPRA, in arrivo nel 2023. (Grande anteprima)

Ulteriori spinte verso le leggi sulla privacy si stanno verificando in altri stati e insieme potrebbero rafforzare la necessità di misure federali sulla privacy sotto la nuova amministrazione Biden.

Grande sviluppo n. 3: consenso sui cookie

Nel maggio 2020, l'UE ha aggiornato la sua guida GDPR per chiarire diversi punti, inclusi due punti chiave per il consenso ai cookie:

  • I cookie wall non offrono agli utenti una scelta genuina, perché se rifiuti i cookie ti viene impedito di accedere ai contenuti. Conferma che i cookie wall non devono essere utilizzati.
  • Scorrere o scorrere i contenuti web non equivale a consenso implicito . L'UE ribadisce che il consenso deve essere esplicito.

Approfondirò questo argomento nel secondo articolo la prossima settimana.

Avviso sui cookie Cyber-Duck con monitoraggio degli annunci attivato per impostazione predefinita
L'UE ha aggiornato la sua guida sul consenso ai cookie. (Grande anteprima)

Grande sviluppo n. 4: Google e Apple iniziano a passare dal monitoraggio di terze parti

Mentre i grandi attori digitali capiscono come soddisfare il GDPR e come trasformare la legislazione sulla privacy a proprio vantaggio, alcuni sono già stati presi di mira.

Sia Google che Apple stanno affrontando cause antitrust , a seguito di denunce di società adtech ed editori.

In entrambi i casi, i denuncianti affermano che le grandi aziende tecnologiche stanno sfruttando la loro posizione dominante sul mercato.

Ancora una volta, di più su questo la prossima volta.

Altro dopo il salto! Continua a leggere sotto ↓

Grande sviluppo n. 5: grandi multe GDPR in arrivo da questa parte

Naturalmente, molte organizzazioni si sono affrettate a conformarsi al GDPR perché temevano le sanzioni che le autorità di regolamentazione potrebbero applicare. Queste multe hanno iniziato ad arrivare:

Il regolatore dei dati francese ha schiaffeggiato Google con una multa di 50 milioni di euro per "mancanza di trasparenza, informazioni inadeguate e mancanza di un valido consenso alla personalizzazione degli annunci", affermando che gli utenti "non erano sufficientemente informati" su come e perché Google ha raccolto i loro dati.

Il suo equivalente nel Regno Unito, l'ICO, ha multato il conglomerato alberghiero statunitense Marriott International Inc. per 18,4 milioni di sterline per non aver tenuto al sicuro 339 milioni di record di ospiti. L'attacco informatico del 2014 a Starwood Hotels and Resorts Worldwide, Inc., acquisito da Marriott nel 2016, è stato scoperto solo nel 2018.

L'ICO del Regno Unito ha anche multato British Airways per un record di 20 milioni di sterline per una violazione dei dati del 2018 dei dati personali e delle carte di credito di 400.000 clienti.

Poi c'è il mio preferito, una scioccante violazione della fiducia dei dipendenti da parte di H&M che ha portato a una sanzione di 35 milioni di euro.

Ecco a che punto siamo oggi.

Che cosa significa questo per voi?

In qualità di designer e sviluppatori, il GDPR ha, e continuerà ad avere, un grande impatto sui prodotti che progettiamo e costruiamo e nel modo in cui progettiamo per i dati.

Ecco cosa dovremmo sapere noi, come designer

  • Il GDPR è fondamentale per te perché progetterai i punti in cui gli utenti condividono i loro dati , quali dati vengono raccolti e come vengono elaborati.
  • Segui le migliori pratiche di Privacy by Design. Non provare a reinventare la ruota: se hai creato un banner per i cookie conforme, utilizza il tuo modello di progettazione collaudato.
  • Collabora con i tuoi team di conformità e sviluppo per garantire che i progetti soddisfino il GDPR e possano essere implementati. Chiedi solo i dati che ti servono.
  • Infine, chiedi ai tuoi utenti quali dati sono disposti a condividere e come vorrebbero che li utilizzassi. Se lo trovano inquietante, rivisita il tuo approccio.

Ecco cosa dovremmo sapere noi, come sviluppatori

  • Il GDPR è fondamentale per te perché abiliti l'elaborazione , la condivisione e le integrazioni dei dati.
  • Come regola generale con GDPR, adottare un approccio di accesso necessario . Inizia implementando tutto senza accesso, quindi concedi al tuo team l'accesso ai dati solo quando e quando è necessario (ad esempio dando agli sviluppatori l'accesso alla console di Google Analytics). Verifica e documenta mentre procedi.
  • Segui i principi di privacy by design e security by design. I modelli robusti e sicuri per l'implementazione dell'infrastruttura sono fondamentali.
  • Assicurati di essere coinvolto in anticipo sugli aspetti tecnici, ad esempio il consenso dei cookie/il monitoraggio delle conversazioni, in modo che ciò che è deciso possa essere implementato.
  • La mappatura dei processi mostra dove i dati vengono condivisi con diverse parti dell'azienda.
  • L'automazione offre una gestione sicura dei dati che riduce l'errore umano. Aiuta anche a impedire che le persone sbagliate accedano ai dati.
  • Le liste di controllo GDPR e, naturalmente, i libri pubblicati ti aiuteranno a gestire il tuo processo. Ancora una volta, verifica e documenta mentre procedi.

Ora vediamo come evolverà il GDPR nel prossimo futuro. Ci concentreremo su tre aree.

Tre aree in cui il GDPR si sta evolvendo rapidamente

1. Come l'UE sta implementando il GDPR

Per prima cosa, vediamo come il GDPR sarà ulteriormente integrato nel panorama legislativo.

L'UE vuole mantenere allineati i suoi Stati membri , perché ciò faciliterà le cause transfrontaliere e la collaborazione internazionale. Quindi ha rafforzato il fatto che i paesi non dovrebbero né deviare né oltrepassare il GDPR. Alcuni Stati membri, come ho detto, stanno rispettando a parole il regolamento. Altri vogliono superare gli standard del GDPR.

In cambio del loro allineamento, l'UE applicherà la conformità , lavorerà per consentire azioni collettive e azioni legali transfrontaliere più economiche e promuoverà anche la privacy e standard coerenti al di fuori dell'UE. Oltre a supporto e strumenti aggiuntivi per le PMI, potremmo anche vedere la certificazione per la sicurezza e la protezione dei dati fin dalla progettazione.

Infine, questo potrebbe sollevare qualche perplessità nella Silicon Valley: l'UE ha lasciato intendere che potrebbe prendere in considerazione divieti all'elaborazione dei dati per incoraggiare la conformità . Le multe da 50 milioni di euro non sono la fine del mondo per Google e i suoi amici. Ma il time out sul passo cattivo - e il conseguente cattivo PR - è una cosa molto diversa.

2. Come funziona il GDPR con l'innovazione

Il GDPR è stato progettato per essere neutrale dal punto di vista tecnologico e per supportare, non ostacolare, l'innovazione. Ciò è stato sicuramente testato negli ultimi 12 mesi e l'UE indica il rapido lancio delle app COVID-19 come prova del funzionamento della sua legislazione.

Possiamo aspettarci di vedere codici di condotta per categorie di dati sensibili (salute e ricerca scientifica). Questi saranno i benvenuti.

Tuttavia, stanno osservando da vicino gli innovatori. L'UE ha espresso preoccupazione per la privacy dei dati in video, dispositivi IoT e blockchain. Sono particolarmente preoccupati per il riconoscimento facciale (e presumibilmente vocale) e gli sviluppi nell'IA.

In particolare, la Commissione è profondamente preoccupata per quelle che chiama "imprese tecnologiche multinazionali", "grandi piattaforme digitali" e "pubblicità online e microtargeting". Sì, ancora una volta sta guardando te, Facebook, Amazon, Google e gli amici.

3. Come l'UE sta promuovendo gli standard GDPR al di fuori dell'UE

La nostra economia digitale è globale, quindi l'impatto del GDPR si estende oltre i confini dell'UE, e non solo in termini di conformità. L'UE sta definendo gli standard per la legislazione sulla protezione dei dati in tutto il mondo. Oltre al CCPA della California, vedi la LGPD del Brasile, oltre agli sviluppi in Canada, Australia, India e una manciata di stati americani.

Naturalmente, è nell'interesse dell'UE se altri paesi e blocchi commerciali corrispondono ai loro standard. Quindi sta promuovendo il GDPR attraverso diverse strade :

  • Attraverso “decisioni di mutua adeguatezza” con il Giappone ea breve con la Corea del Sud
  • Integrato negli accordi commerciali bilaterali, ad esempio con la Nuova Zelanda, l'Australia, il Regno Unito
  • Attraverso forum come l'OCSE, l'ASEAN, il G7 e il G20
  • Attraverso la sua Data Protection Academy per le autorità di regolamentazione dell'UE e internazionali

È particolarmente desideroso di potenziare l'innovazione attraverso flussi di dati affidabili e di consentire la cooperazione internazionale tra le autorità di contrasto e gli operatori privati.

L'UE è leader mondiale nella protezione dei dati. Dove va, altri seguiranno. Quindi, anche se non stai progettando/sviluppando per un pubblico dell'UE, devi essere consapevole di ciò che sta accadendo.

Cosa significa tutto questo per le aziende nell'UE?

Le aziende che operano nell'UE devono conformarsi al GDPR o rischiano di essere multate. Quelle multe possono essere piuttosto pesanti, come abbiamo visto. Quindi devi essere in grado di dimostrare che stai aderendo ai 7 principi del GDPR e alle indicazioni specifiche della tua autorità nazionale per la protezione dei dati.

Tuttavia, non è così semplice come sembra e in alcuni casi potresti scegliere di valutare il tuo rischio. Ti guiderò attraverso un esempio di questo la prossima volta.

Cosa significa questo per le aziende con sede al di fuori dell'UE?

Le implicazioni per le aziende con sede al di fuori dell'UE sono esattamente le stesse di quelle per i paesi dell'UE , se trattano dati personali provenienti dall'UE. Questo perché il GDPR si applica ai dati personali delle persone con sede nell'UE. Se vuoi elaborarlo, ad esempio per vendere a clienti nell'UE, devi rispettare le regole. Altrimenti rischi di essere multato, come Facebook e Google.

Ecco come viene applicato : se sei presente nell'UE, come fanno molte multinazionali, e non paghi una sanzione GDPR, i tuoi beni dell'UE potrebbero essere sequestrati. Se non sei presente, sei obbligato ai sensi del GDPR a nominare un rappresentante nell'UE. Eventuali multe saranno riscosse tramite tale rappresentante. In alternativa, potresti dover affrontare una complessa e costosa causa internazionale .

Ed ecco dove diventa complesso per tutti:

Se la tua base di clienti include persone nell'UE e cittadini di altri luoghi con leggi sulla privacy, come lo Stato della California, devi rispettare sia il California Consumer Privacy Act (CCPA) che il GDPR. Questi gruppi legislativi generalmente si allineano, ma non corrispondono.

Prendi i biscotti, per esempio. Ai sensi del GDPR, è necessario ottenere il consenso attivo da un utente prima di inserire un cookie sul suo dispositivo, esclusi quelli strettamente necessari per il funzionamento del sito.

Tuttavia, ai sensi del CCPA, devi rivelare quali dati stai raccogliendo e consentire ai tuoi clienti di negarti il ​​permesso di vendere i loro dati. Ma non devono concordare attivamente che puoi ritirarlo.

Ecco perché l'UE sta spingendo per standard internazionali per semplificare la conformità globale.

NB Se ti trovi negli Stati Uniti e attendi con impazienza la sostituzione di Privacy Shield, potresti invece prendere un foglio dal libro di Microsoft: loro e altri hanno dichiarato che rispetteranno il GDPR piuttosto che dipendere da qualsiasi meccanismo bilaterale per abilitare elaborazione dati.

Quali lezioni possono imparare web designer e sviluppatori dal GDPR?

La normativa sulla privacy è qui per restare e influisce su tutte le nostre priorità e flussi di lavoro. Ecco sei lezioni da ricordare mentre lavori con i dati dei clienti:

  1. Abbiamo dovuto fare uno sprint per rispettare il GDPR. Adesso è una maratona.
    Sappiamo che il GDPR continuerà ad evolversi insieme alla tecnologia che mira a regolamentare. Ciò significa che le nostre richieste non rimarranno le stesse. Non solo, ma il GDPR ha ispirato una legislazione simile, ma non identica, in tutto il mondo. Questi requisiti legali sono destinati a continuare a evolversi.
  2. La conformità crea vantaggio competitivo.
    Sebbene le prime grandi multe del GDPR siano state allucinanti, in realtà è la pubblicità negativa che molti ritengono più dannosa. Chi trae vantaggio da una grande fuga di dati? I concorrenti dell'azienda. D'altra parte, se incorpori la conformità al GDPR mentre rafforzi i tuoi processi di progettazione e sviluppo, sarai più in grado di adattarti all'evolversi delle normative.
  3. La conformità al GDPR e i migliori risultati di COVID-19 sono collegati da una progettazione incentrata sull'utente.
    Sappiamo che le aziende che hanno iniziato la loro trasformazione digitale sono state in grado di adattarsi meglio alla crisi del COVID-19. Il design incentrato sull'utente supporta anche il GDPR. Ha il processo e l'attenzione al cliente necessari per creare prodotti in linea con l'idea che i dati dei clienti sono preziosi e devono essere protetti. Ciò faciliterà l'evoluzione dei tuoi prodotti in linea con la legislazione futura.
  4. Puoi integrare la conformità nei tuoi prodotti digitali.
    La privacy by design è qui per restare. Se utilizzi già la progettazione del servizio, puoi includere le informazioni sui clienti come livello dati nei progetti del servizio. Se non lo fai, ora è un ottimo momento per iniziare. La mappatura in cui i dati vengono raccolti, elaborati e archiviati evidenzia i punti deboli in cui potrebbero verificarsi potenziali violazioni. Gli strumenti di conformità automatizzati aiuteranno a ridurre l'onere per le aziende, inoltre hanno il potenziale per rendere più sicura l'elaborazione dei dati.
  5. Il GDPR supporta l'innovazione, se lo fai bene.
    Alcuni avvertono che il GDPR sta soffocando l'innovazione limitando i flussi di dati e soprattutto dissuadendo le aziende dall'innovare con i dati. Altri indicano opportunità per innovare con blockchain, IoT e AI in modo sicuro e in cui i dati sono protetti. La verità? Sì, certo, puoi innovare ed essere conforme al GDPR. Ma l'etica nell'IA è fondamentale: devi rispettare i tuoi clienti e i loro dati.
  6. Tieni d'occhio i tuoi partner di terze parti.
    Ciò risale alla decisione dei contitolari del trattamento di cui sopra. Le aziende ora condividono la responsabilità dei dati dei clienti con le terze parti che li elaborano e tale trattamento deve essere documentato. Puoi aspettarti che controlli di terze parti, monitoraggio e obblighi contrattuali siano d'ora in poi una priorità per le aziende.

Ecco come potrebbe svilupparsi il GDPR

Uff. C'è molto da capire. Ma guardando al futuro, è qui che scommetto che vedremo dei cambiamenti.

  1. Il GDPR continuerà ad evolversi , con chiarezza proveniente da casi di test e potenzialmente ulteriori normative, incluso il regolamento ePrivacy.
  2. L'UE continuerà a promuovere l'adozione internazionale della normativa sulla privacy dei dati. Vedremo più paesi abbracciare la protezione dei dati, spesso inserita in accordi commerciali e di sicurezza.
  3. Se siamo fortunati, potremmo iniziare a vedere la convergenza internazionale della legislazione sulla privacy dei dati , soprattutto se gli Stati Uniti implementano la privacy dei dati a livello federale.
  4. Ma vedremo anche altri scontri tra l'UE e gli Stati Uniti, a causa dei loro approcci opposti alla privacy.
  5. Poiché "i dati sono il nuovo petrolio", potremmo vedere più situazioni in cui gli utenti ricevono prodotti e servizi gratuiti distribuendo dati tramite i cookie.
  6. Le aziende si sposteranno dai cookie di terze parti verso il monitoraggio e l'automazione lato server, al fine di rimanere conformi.
  7. Le aziende adotteranno Privacy by Design (PdB) e strumenti e processi di progettazione dei servizi, per aiutarli a rimanere conformi a più serie di leggi sulla privacy.
  8. E infine - e questo è definitivo - vedremo cause per la privacy sempre più grandi . Chi emergerà come vincitore: grandi sostenitori della tecnologia o della privacy? Questo non lo so, ma di una cosa possiamo essere certi: gli avvocati della privacy faranno un sacco di soldi.

Un'ultima parola sulla fiducia

Il tema alla base sia delle comunicazioni della Commissione europea che dei commenti degli esperti del settore è la fiducia . Le agenzie digitali come la nostra ora devono fornire prove della sicurezza dei dati e della conformità al GDPR, anche fino alle politiche di formazione del personale per la protezione dei dati. È nuovo. La priorità dell'UE è sostenere flussi di dati sicuri e protetti e l'innovazione, sia all'interno che all'esterno dell'UE. La conformità agli standard è la loro soluzione per questo. E noi, come designer e sviluppatori, abbiamo un ruolo cruciale da svolgere.

  • Parte 1: GDPR, aggiornamenti chiave e cosa significano
  • Parte 2: Consenso ai cookie per designer e sviluppatori

Ulteriori letture

  • Protezione dei dati, il sito dell'UE
  • Guida dell'ICO del Regno Unito sui cookie
  • GDPR Enforcement Tracker, registra le multe applicate ai sensi del GDPR
  • Lista di controllo GDPR, di Cyber-Duck (un ottimo punto di partenza)
  • Panoramica della legge sulla protezione dei dati negli Stati Uniti, a cura di ICLG
  • Guida al confronto tra GDPR e CCPA, a cura di DataGuidance e il forum sul futuro della privacy
  • CCPA vs CPRA, da IAPP
  • Sicurezza in base alla progettazione (Amazon)
  • Come proteggere i tuoi utenti con il Privacy By Design Framework, Heather Burns, Smashing Magazine