Ti sei mai stancato del tuo fornitore di telefonia mobile? Forse avevi un buon affare nei primi mesi, poi improvvisamente le tue tariffe aumentano o il tuo servizio diventa instabile. Forse hai concluso una chiamata con il servizio clienti dicendo: "Beh, ne ho abbastanza. Sto cambiando fornitore."
Grazie alle leggi sulla portabilità del numero di telefono, lasciare un fornitore non è una minaccia vuota. Le persone possono cambiare fornitore di servizi senza temere di perdere il numero di telefono che la loro famiglia e i loro amici (e gli spammer!) usano per contattarli.
E se questa stessa funzione di portabilità si applicasse a... i tuoi dati?
Diritti degli utenti secondo le leggi sulla portabilità dei dati
Se vivi in California, nell'Unione Europea e potenzialmente in altre giurisdizioni come l'Australia, puoi portare i tuoi dati - che si tratti di elenchi di contatti, foto, documenti, playlist - con te quando cambi fornitore. Le leggi sulla privacy, tra cui il Regolamento Generale sulla Protezione dei Dati (GDPR) e il California Consumer Privacy Act (CCPA) hanno già codificato la portabilità dei dati nella legge, mentre diversi governi hanno iniziato a introdurre una legislazione simile.
Porta i tuoi dati con te
Ma cosa significa esattamente portabilità dei dati?
Cos'è la portabilità dei dati?
La portabilità dei dati, secondo le leggi sulla privacy come il GDPR e il CCPA, consente agli individui di accedere, copiare o trasferire i dati che un'azienda mantiene sull'utente. Le leggi sulla portabilità dei dati permettono a un utente di trasferire i propri dati a un altro fornitore utilizzando un formato leggibile da macchina, comunemente usato e interoperabile.
Ad esempio, supponiamo che tu non sia soddisfatto del tuo attuale fornitore di streaming musicale online. Utilizzando i diritti di portabilità dei dati, puoi facilmente copiare tutte le tue playlist su un altro fornitore di streaming musicale. Oppure, se sei un appassionato di cinema, puoi portare con te i dati sulle tue preferenze di streaming di film e i tuoi spettacoli preferiti a un altro fornitore di streaming video.
Cosa dicono esattamente le leggi sui dati sulla portabilità?
“L'interessato ha il diritto di ricevere i dati personali che lo riguardano, che ha fornito a un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento a cui i dati personali sono stati forniti.”
-Articolo 20 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio
Il CCPA concede diritti simili di portabilità dei dati ai sensi della Sezione 1798.100(d), che afferma: “Un'azienda che riceve una richiesta verificabile da parte di un consumatore per accedere alle informazioni personali deve prendere prontamente provvedimenti per divulgare e consegnare, gratuitamente al consumatore, le informazioni personali richieste da questa sezione. Le informazioni possono essere consegnate per posta o elettronicamente, e se fornite elettronicamente, le informazioni devono essere in un formato portabile e, nella misura tecnicamente fattibile, in un formato facilmente utilizzabile che consenta al consumatore di trasmettere queste informazioni a un'altra entità senza ostacoli.”
Attualmente, ci sono legislazioni simili sulla portabilità dei dati in sospeso in Australia. La Commissione Australiana per la Concorrenza e i Consumatori (ACCC) e la Consumer Data Right (CDR) mirano a spostare la proprietà dei dati dei clienti dalle aziende ai clienti, consentendo ai clienti la possibilità di condividere i propri dati con altre aziende. Il governo australiano intende applicare questi nuovi diritti sui dati dei consumatori al settore bancario, seguito dal settore energetico e possibilmente altri.
Ci sono proposte di legge negli Stati Uniti a livello federale. I senatori Mark Warner, Richard Blumenthal e Josh Hawley hanno introdotto l'Augmenting Compatibility and Competition by Enabling Service Switching Act (ACCESS Act) nell'ottobre 2019. Riguardo alla portabilità dei dati, il disegno di legge afferma: “I grandi fornitori di piattaforme di comunicazione—cioè, fornitori che operano piattaforme di comunicazione con oltre 100 milioni di utenti attivi mensili negli Stati Uniti—devono operare interfacce trasparenti e accessibili a terzi che consentano agli utenti di trasferire in sicurezza i loro dati (direttamente all'utente o a un fornitore di comunicazioni concorrente che agisce su indicazione di un utente)...i fornitori concorrenti che ricevono dati portati devono proteggere adeguatamente i dati portati.”
In un comunicato stampa, il senatore Josh Hawley ha detto: “I tuoi dati sono la tua proprietà. Punto. I consumatori dovrebbero avere la flessibilità di scegliere nuove piattaforme online senza barriere artificiali all'ingresso. Questo disegno di legge crea requisiti attesi da tempo che aumenteranno la concorrenza e daranno ai consumatori il potere di spostare i loro dati da un servizio all'altro.”
Cosa significa la portabilità dei dati per le aziende?
La portabilità dei dati introduce impatti significativi sulle aziende.
In primo luogo, le leggi sulla portabilità dei dati possono essere utilizzate come misura antitrust, quindi preparati a una concorrenza più dura nei rispettivi mercati. In particolare, la concorrenza da parte delle startup potrebbe diventare più agguerrita. Le startup, che storicamente avevano accesso limitato ai dati dei consumatori, avranno ora un vantaggio quando i consumatori trasferiscono i loro dati a un altro fornitore.
In secondo luogo, le aziende devono ottimizzare il loro processo di trasferimento dei dati per essere tempestivo, completo e leggibile da macchina quando ricevono una richiesta di accesso ai dati dell'interessato (DSAR) da un consumatore. Per realizzare ciò, le aziende devono sapere dove si trovano i dati dei consumatori nei loro sistemi. Per realizzare ciò, le aziende devono sapere dove si trovano i dati dei consumatori nei loro sistemi e essere in grado di recuperarli quando necessario.
Dove sono i tuoi dati?
Un componente critico di un programma di privacy completo è sapere dove si trovano i tuoi dati. Le aziende possono condurre una valutazione della mappatura dei dati per comprendere come i dati fluiscono all'interno della loro organizzazione--dai moduli di raccolta dati a dove i dati sono archiviati. Il software di mappatura dei dati può aiutare in questo compito. Una volta che sai dove si trovano i dati, è importante classificarli in modo da poterli recuperare quando necessario. Il software di classificazione dei dati etichetta i dati scoperti per renderli facili da cercare, trovare, recuperare e tracciare. Il software di scoperta dei dati può quindi essere utilizzato per raccogliere e aggregare dati da una varietà di fonti e prepararli in formati che sia le persone che le macchine possono facilmente utilizzare.
Una soluzione progettata per gestire l'intero processo—dalla mappatura dei dati all'elaborazione delle richieste di accesso ai dati dell'interessato—è una piattaforma di privacy dei dati. Considerando i requisiti legali riguardanti il tempo che un'azienda ha per rispondere a una DSAR, considera l'uso di una piattaforma di privacy dei dati o di un software DSAR per aiutare ad automatizzare questi processi. (Per il CCPA, il termine per rispondere a una DSAR è di 45 giorni. Per il GDPR, è di 30 giorni.)
Quali formati di file puoi usare per trasferire i dati
Quando le aziende elaborano una DSAR, quale formato leggibile da macchina dovrebbero usare? L'interoperabilità dei formati di file può porre molti problemi. Riconoscendo le limitazioni che i formati di file hanno sulla ricerca dei dati, il National Institute of Standards and Technology (NIST) e più di 800 esperti del settore, accademici e governativi hanno iniziato a valutare questo problema nel 2013; insieme, hanno appena rilasciato il loro Big Data Interoperability Framework (NBDIF) questo ottobre. L'NBDIF del NIST è una guida che consente ai dati di essere interoperabili e portabili tra piattaforme.
| CORRELATO: Il Privacy Framework del NIST aiuta le aziende e le organizzazioni a comprendere, valutare e mitigare i loro rischi di privacy. Leggi di più qui→ |
La buona notizia per le aziende che elaborano DSAR è che né il GDPR né il CCPA attualmente includono formati di file specifici per la portabilità dei dati. Quindi, al momento, le aziende hanno l'opportunità di selezionare quale formato è migliore per loro. Tuttavia, è ancora importante per le aziende considerare quali formati sono standard per il loro settore. Se non c'è uno standard, considera formati aperti come CSV, XML e JSON.
Come trasferire effettivamente i dati
Le aziende devono trovare un modo per trasmettere in modo sicuro questi dati sensibili dei consumatori.
Il Procuratore Generale della California ha rilasciato regolamenti proposti nell'ottobre 2019 offrendo indicazioni su come trasferire in modo sicuro i dati.
“Se un'azienda mantiene un account protetto da password con il consumatore, può soddisfare una richiesta di conoscenza utilizzando un portale self-service sicuro per i consumatori per accedere, visualizzare e ricevere una copia portabile delle loro informazioni personali se il portale divulga completamente le informazioni personali a cui il consumatore ha diritto ai sensi del CCPA e di questi regolamenti, utilizza controlli di sicurezza dei dati ragionevoli e rispetta i requisiti di verifica stabiliti nell'Articolo 4.”
L'industria nel suo complesso riconosce che potrebbe essere difficile trasferire dati da un fornitore di servizi a un altro. Un programma chiamato Data Transfer Project (DTP) è un'iniziativa open-source che consente la portabilità dei dati tra più piattaforme online. Google ha fondato il Data Transfer Project nel 2018; altri membri del progetto includono Facebook, Microsoft, Twitter e Apple.
Il software di trasferimento file gestito (MFT) può aiutare le aziende con la crittografia dei dati sensibili.
Quali dati devi includere in una richiesta di portabilità dei dati?
Quali dati devono essere inclusi in una richiesta di portabilità dei dati? A dire il vero, non è ancora ben definito. I dati che gli utenti desiderano trasferire includono dati generati o forniti dall'utente come le loro rubriche, directory di amici o grafici sociali. Potrebbe includere informazioni passive sugli utenti come preferenze dedotte. Ma, che dire dei dati creati in collaborazione con altri? Dovrebbero essere inclusi quando si elabora una DSAR?
Aree problematiche relative all'elaborazione delle richieste di portabilità dei dati
Elaborare le richieste di portabilità dei dati può aprire un vaso di Pandora. Ad esempio, se un utente ha lavorato in collaborazione con un'altra persona per creare alcuni dati, un utente dovrebbe trasferire quei dati? E se i dati di un utente includono anche i dati di qualcun altro? Dovrebbero essere portabili? Devi ottenere il consenso dai collaboratori?
In risposta a queste incognite, Facebook ha pubblicato un whitepaper in cui l'azienda si interroga sui modi migliori per proteggere la privacy di un utente consentendo la portabilità. Ad esempio, cosa succede se una persona o un'entità richiede dati a tuo nome? Le aziende dovrebbero soddisfare tali richieste? Cosa succede se qualcuno presenta una DSAR fraudolenta? Le aziende sono attrezzate per convalidare correttamente gli utenti prima di fornire loro i loro dati sensibili dei consumatori? Dopo che i dati delle persone sono stati trasferiti, chi è responsabile se i dati vengono utilizzati in modo improprio o violati?
Le incognite relative a queste leggi e a questo processo probabilmente verranno risolte man mano che si presentano. Nei prossimi mesi ci si aspetta che i consumatori diventino informati sui loro diritti di accesso ai dati riguardo alla portabilità dei dati, soprattutto poiché gli utenti possono monetizzare i loro dati. Le aziende possono prepararsi avendo un piano di portabilità dei dati in atto insieme alle politiche e agli strumenti per attuare tali piani.
*Disclaimer: Non sono un avvocato e non offro consulenza legale. Se hai domande legali, consulta un avvocato autorizzato. Non do nemmeno consigli di moda, consigli sulle relazioni o raccomandazioni cinematografiche. Fidati, è meglio così.
Vuoi saperne di più su Software di Verifica dell'Identità? Esplora i prodotti Verifica dell'identità.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
