Pubblicato: 19 Dicembre 2023
Collaboratori: Matthew Kosinski, Amber Forrest
La privacy dei dati, chiamata anche "privacy delle informazioni", è il principio secondo cui una persona dovrebbe avere il controllo sui propri dati, compresa la capacità di decidere come le organizzazioni raccolgono, memorizzano e utilizzano i suoi dati.
Le aziende raccolgono regolarmente dati degli utenti come indirizzi e-mail, dati biometrici e numeri di carte di credito. Per le organizzazioni in questa economia dei dati, supportare la privacy dei dati significa adottare misure quali ottenere il consenso degli utenti prima di elaborare i dati, proteggerli da uso improprio e consentire agli utenti di gestirli attivamente.
Molte organizzazioni hanno l'obbligo legale di difendere i diritti sulla privacy dei dati in base a leggi come il Regolamento generale sulla protezione dei dati (GDPR). Anche in assenza di leggi formali sulla privacy dei dati, le aziende possono trarre beneficio dall'adozione delle misure sulla privacy. Le stesse pratiche e gli stessi strumenti che proteggono la privacy degli utenti possono difendere i dati e i sistemi sensibili dagli hacker malintenzionati.
La privacy dei dati e la sicurezza dei dati sono discipline distinte ma collegate. Entrambe sono componenti fondamentali della più ampia strategia di governance dei dati di un'azienda.
La privacy dei dati si concentra sui diritti individuali degli interessati, ovvero degli utenti che possiedono i dati. Per le organizzazioni, la pratica della privacy dei dati consiste nell'implementare politiche e processi che consentano agli utenti di controllare i propri dati in conformità con le normative sulla privacy.
La sicurezza dei dati si concentra sulla protezione dei dati da accessi non autorizzati e dall'uso improprio. Per le organizzazioni, la pratica della sicurezza dei dati è in gran parte una questione di implementazione dei controlli per impedire agli hacker e alle minacce interne di manomettere i dati.
La sicurezza dei dati rafforza la privacy garantendo che solo le persone giuste possano accedere ai dati personali per i motivi corretti. La privacy dei dati rafforza la sicurezza dei dati definendo le "persone giuste" e i "motivi corretti" per qualsiasi set di dati.
Iscriviti alla newsletter IBM
In molte organizzazioni, la privacy dei dati è supervisionata da un team interdisciplinare con i rappresentanti dei dipartimenti legale, conformità, IT e cybersecurity. Questi team elaborano le policy di gestione dei dati che regolano il modo in cui le loro organizzazioni raccolgono, utilizzano e proteggono i dati personali alla luce dei diritti alla privacy degli utenti. Progettano inoltre dei processi affinché gli utenti possano esercitare i propri diritti e implementare controlli tecnici per proteggere i dati.
Le organizzazioni possono utilizzare una varietà di framework sulla privacy dei dati su cui improntare le proprie politiche sui dati, tra cui il NIST Privacy Framework1 e i Fair Information Practice Principles.2 Inoltre, le specificità della strategia di governance dei dati di un'organizzazione dipendono in buona parte dalle leggi sulla privacy che l'azienda deve rispettare, se presenti.
Detto questo, esistono alcuni principi generali sulla privacy dei dati che compaiono nella maggior parte dei framework e dei regolamenti. Questi principi informano le politiche, i processi e i controlli sulla privacy dei dati di molte organizzazioni.
Gli utenti hanno il diritto di sapere quali dati detiene un'azienda. Gli utenti dovrebbero essere in grado di accedere ai propri dati personali su richiesta. Dovrebbero poter aggiornare o modificare tali dati secondo necessità.
Gli utenti hanno il diritto di sapere chi possiede i dati e l'uso che ne fa. Al momento della raccolta dei dati, le organizzazioni dovrebbero comunicare chiaramente cosa stanno raccogliendo e l'utilizzo che intendono farne. Dopo aver raccolto i dati, le organizzazioni devono tenere informati gli utenti sui principali dettagli relativi al trattamento dei dati, comprese le modifiche alle modalità di utilizzo e la condivisione con terze parti.
Internamente, le organizzazioni devono mantenere aggiornati gli inventari di tutti i dati in loro possesso. I dati devono essere classificati in base al tipo, al livello di sensibilità, ai requisiti di conformità e ad altri fattori pertinenti. Il controllo degli accessi e le politiche di utilizzo dovrebbero essere applicati in base a queste classificazioni.
Le organizzazioni dovrebbero ottenere il consenso dell'utente per lo storage, la raccolta, la condivisione o l'elaborazione dei dati, ove possibile. Se un'organizzazione conserva o utilizza dati personali senza il consenso del soggetto, dovrebbe avere un motivo convincente per farlo, ad esempio un utilizzo ai fini dell'interesse pubblico o di un obbligo legale.
Gli interessati dovrebbero avere la possibilità di esprimere dubbi o opporsi al trattamento dei propri dati. Dovrebbero poter revocare il loro consenso in qualsiasi momento.
Le organizzazioni devono impegnarsi a garantire che i dati che raccolgono e conservano siano accurati. Le imprecisioni possono portare a violazioni della privacy. Ad esempio, se un'azienda ha un vecchio indirizzo registrato, potrebbe accidentalmente inviare documenti sensibili alla persona sbagliata.
Un'organizzazione deve avere uno scopo definito per tutti i dati che raccoglie. Dovrebbe comunicare lo scopo agli utenti e utilizzare i dati solo per questo. L'organizzazione dovrebbe raccogliere solo la quantità minima di dati necessari per lo scopo dichiarato e conservarli solo fino al raggiungimento di tale scopo.
La privacy dovrebbe essere lo stato predefinito di ogni sistema e processo dell'organizzazione. Tutti i prodotti che l'organizzazione progetta o implementa dovrebbero considerare la privacy degli utenti come una caratteristica fondamentale e una preoccupazione chiave. La raccolta e il trattamento dei dati dovrebbero avvenire tramite consenso e non rinuncia. Gli utenti dovrebbero mantenere il controllo dei propri dati in ogni fase.
Le organizzazioni devono implementare processi e controlli per proteggere la riservatezza e l'integrità dei dati degli utenti.
A livello di processo, le organizzazioni possono adottare misure quali la formazione dei dipendenti sui requisiti di conformità e lavorare solo con fornitori e provider di servizi che rispettano la privacy degli utenti.
A livello di controlli tecnici, le organizzazioni possono utilizzare una serie di strumenti per salvaguardare i dati. Le soluzioni di gestione delle identità e degli accessi (IAM) possono applicare delle policy di controllo degli accessi basate sui ruoli in modo che solo gli utenti autorizzati possano accedere ai dati sensibili. Misurazioni di autenticazione complesse come il Single Sign On (SSO) e l'autenticazione a più fattori (MFA) possono impedire agli hacker di violare gli account degli utenti legittimi.
Gli strumenti di prevenzione della perdita di dati (DLP) possono rilevare e classificare i dati, monitorare l'utilizzo e impedire agli utenti di alterare, condividere o eliminare i dati in modo inappropriato. Le soluzioni di backup e archiviazione dei dati possono aiutare le organizzazioni a recuperare i dati smarriti o danneggiati.
Le organizzazioni possono anche utilizzare strumenti di sicurezza dei dati progettati specificamente per la conformità normativa. Questi strumenti spesso includono funzionalità come la crittografia, l'applicazione automatizzata delle policy e gli audit trail, che tengono traccia di tutte le attività relative ai dati rilevanti.
L’organizzazione media oggi raccoglie un’enorme quantità di dati sui consumatori, e si prevede che questa tendenza si intensificherà nei prossimi anni. Secondo il Data Privacy and Protection Survey 2023 di IDC,3 quasi il 70% delle organizzazioni prevede che la quantità di dati gestiti aumenterà nei prossimi tre anni.
Le organizzazioni hanno la responsabilità di garantire la privacy di questi dati, non per bontà d'animo, ma per una questione di conformità normativa, di livello di sicurezza e di vantaggio competitivo.
Istituzioni come le Nazioni Unite4 riconoscono la privacy come un diritto umano fondamentale e molti Paesi hanno adottato norme sulla privacy che sanciscono questo diritto per legge. La maggior parte di queste normative comporta severe sanzioni in caso di mancata conformità.
Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea è considerato una delle leggi sulla privacy dei dati più complete al mondo. Stabilisce regole rigorose che qualsiasi azienda, con sede all'interno o all'esterno dell'Europa, deve seguire quando elabora i dati dei residenti dell'UE. I trasgressori possono essere multati fino a 20 milioni di euro o al 4% del fatturato globale dell'azienda.
I Paesi al di fuori dell'UE hanno requisiti normativi simili, tra cui il GDPR del Regno Unito, il Personal Information Protection and Electronic Documents Act (PIPEDA) del Canada e il Digital Personal Data Protection Act dell'India.
Gli Stati Uniti non hanno predisposto leggi federali sulla protezione dei dati così radicali come il GDPR, ma hanno approvato alcuni atti legislativi più mirati. Il Children's Online Privacy Protection Act (COPPA) stabilisce le regole per la raccolta e il trattamento dei dati personali dei minori di 13 anni. L'Health Insurance Portability and Accountability Act (HIPAA) disciplina il modo in cui le organizzazioni sanitarie e le entità correlate gestiscono le informazioni sanitarie personali.
Le sanzioni previste da queste leggi possono essere significative. Nel 2022, ad esempio, Epic Games è stata multata per la cifra record di 275 milioni di dollari per violazioni del COPPA.5
Gli Stati Uniti hanno anche normative sulla privacy a livello statale come il California Consumer Privacy Act (CCPA), che offre ai consumatori della California un maggiore controllo su come e quando i loro dati vengono elaborati. Sebbene il CCPA sia forse la legge statale sulla privacy più conosciuta, ne ha ispirate altre, come il Virginia Consumer Data Protection Act (VCDPA) e il Colorado Privacy Act (CPA).
Oggi le organizzazioni raccolgono molte informazioni di identificazione personale (PII), come i numeri di previdenza sociale e i dati bancari degli utenti. Questi dati rappresentano un target per gli hacker, che possono utilizzarli per commettere furti di identità, rubare denaro o venderli sul dark web.
Inoltre, le aziende dispongono di dati sensibili proprietari che gli hacker potrebbero cercare, come la proprietà intellettuale o i dati finanziari.
Secondo il report Cost of a Data Breach 2023 di IBM, una violazione media costa a un’azienda 4,45 milioni di dollari. Molti fattori contribuiscono a questo prezzo, tra cui la perdita di affari dovuta al tempo di inattività del sistema e i costi per il rilevamento e la correzione della violazione.
Molti degli stessi strumenti che supportano la privacy dei dati possono anche ridurre la minaccia di violazioni e rafforzare il livello complessivo della cybersecurity. Ad esempio, le soluzioni IAM che impediscono l'accesso non autorizzato possono aiutare a fermare gli hacker applicando al contempo le policy sulla privacy. Gli strumenti per la sicurezza dei dati sono spesso in grado di rilevare attività sospette che potrebbero segnalare un attacco informatico in corso, consentendo al team di risposta agli incidenti di agire più rapidamente.
Allo stesso modo, dipendenti e consumatori possono difendersi da alcuni degli attacchi di ingegneria sociale più dannosi adottando le best practice sulla privacy dei dati. I truffatori spesso esplorano le app dei social media per trovare dati personali da utilizzare per creare convincenti compromissioni dell'e-mail aziendale (BEC) e stratagemmi di spear phishing. Condividendo meno informazioni e bloccando i propri account, gli utenti possono tagliare fuori i truffatori da una potente fonte di munizioni.
Rispettare i diritti di privacy degli utenti può talvolta conferire alle organizzazioni un vantaggio competitivo.
I consumatori potrebbero perdere la fiducia nelle aziende che non proteggono adeguatamente i dati personali. Ad esempio, la reputazione di Facebook ha subito un duro colpo in seguito allo scandalo di Cambridge Analytica.6 Spesso i consumatori sono meno disposti a condividere i loro preziosi dati con aziende che in passato non hanno rispettato la privacy.
Al contrario, le aziende con una reputazione nella protezione della privacy dei dati potrebbero avere più facilità a ottenere e usare al meglio dati degli utenti.
Inoltre, nell'economia globale interconnessa, i dati spesso passano da un'organizzazione all'altra. Un'azienda può inviare i dati personali raccolti a un cloud database per lo storage o a una società di consulenza per l'elaborazione. L'adozione di principi e pratiche di privacy dei dati può aiutare le organizzazioni a proteggere i dati degli utenti da un uso improprio, anche quando vengono condivisi con terze parti. In base ad alcune normative, come il GDPR, le organizzazioni sono legalmente responsabili di garantire che i venditori e provider di servizi mantengano i dati al sicuro.
Infine, le nuove tecnologie di intelligenza artificiale generativa possono porre problemi significativi alla privacy dei dati. Qualsiasi dato sensibile fornito a queste AI può diventare parte dei dati di addestramento dello strumento e l'organizzazione potrebbe non essere in grado di controllarne l'utilizzo. Ad esempio, gli ingegneri di Samsung hanno involontariamente condiviso il codice sorgente proprietario immettendo il codice in ChatGPT per ottimizzarlo.7
Inoltre, se le organizzazioni non hanno l'autorizzazione degli utenti a far passare i loro dati attraverso l'AI generativa, ciò potrebbe costituire una violazione della privacy secondo alcune normative.
Politiche e controlli formali sulla privacy dei dati possono aiutare le organizzazioni ad adottare questi strumenti di AI e altre nuove tecnologie senza infrangere la legge, perdere la fiducia degli utenti o far trapelare accidentalmente informazioni sensibili.
IBM Security Guardium è una famiglia di software per la sicurezza dei dati nel portafoglio IBM Security che rivela le vulnerabilità e protegge i dati sensibili on-premise e nel cloud.
Le soluzioni IBM Security ti aiutano a offrire un'esperienza del cliente affidabile e a far crescere l'azienda con un approccio olistico e adattativo alla riservatezza dei dati sulla base dei principi Zero Trust e di una protezione della privacy dei dati collaudata.
IBM Security Verify fornisce un motore di decisione centralizzato che aiuta ad automatizzare le regole di determinazione del consenso per tutti gli scopi di utilizzo dei dati.
La sicurezza dei dati è la pratica di proteggere le informazioni digitali da accessi non autorizzati, danneggiamento o furto durante l'intero ciclo di vita.
La governance dei dati favorisce la disponibilità, la qualità e la sicurezza dei dati di un'organizzazione attraverso politiche e criteri diversi.
La prevenzione della perdita di dati (DLP) si riferisce alle strategie, ai processi e alle tecnologie utilizzate dai team di cybersecurity per proteggere i dati riservati da furto, perdita e uso improprio.
Note a piè di pagina
Tutti i link sono esterni a ibm.com
1 NIST Privacy Framework, NIST
2 Fair Information Practice Principles, Federal Privacy Council
3 2023 Data Privacy and Data Protection Survey, IDC, February 2023
4 Dichiarazione Universale dei Diritti Umani, Nazioni Unite
5 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges, Federal Trade Commission, 19 dicembre 2022
6 The Cambridge Analytica Files, The Guardian
7 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT, Mashable, 6 aprile 2023