Le aziende pubbliche più preziose al mondo oggi sono tutte guidate dai dati.

Alcune delle aziende più significative al mondo, tra cui Facebook, Apple, Amazon, Netflix e Google (collettivamente note come FAANG sul mercato azionario), hanno costruito i loro modelli di business sui dati in aree come la pubblicità, l'e-commerce, i prodotti tecnologici e i modelli di abbonamento. I dati rimangono una forza trainante sulla strada verso la Quarta Rivoluzione Industriale, dove l'intelligenza artificiale, l'internet delle cose (IoT), il machine learning e la biotecnologia, tra gli altri, definiscono il futuro del nostro lavoro e della società.

E mentre non c'è dubbio che i dati abbiano generato un enorme valore economico nell'era della trasformazione digitale, è anche vero che dietro la maggior parte dei punti dati ci sono le persone. Le persone si preoccupano di come vengono utilizzati i loro dati personali. Vogliono proteggere la loro reputazione, mantenere la loro autonomia e onorare la loro dignità. Si preoccupano della privacy; le persone devono sapere a quali aziende possono affidarsi.

Fonte: NIST

La fiducia è ora un componente critico per il successo di un'azienda. La fiducia crea fedeltà al marchio a lungo termine e advocacy tra i clienti. Una perdita di fiducia, possibilmente derivante dall'uso improprio o dall'hacking dei dati personali, incoraggia i clienti a portare il loro business altrove, il che influisce negativamente sulle valutazioni aziendali. (Basta guardare Yahoo come esempio: dopo un'estesa violazione dei dati, i clienti sono fuggiti in massa, contribuendo a milioni di perdite di valutazione.) Le aziende possono costruire fiducia rispettando la privacy dei consumatori e fornendo valore alla vita dei loro clienti. Tuttavia, questo deve essere fatto metodicamente; le aziende possono ottenere la fiducia dei clienti attraverso decisioni etiche integrate nei loro modelli di business.

Le aziende comprendono che fiducia e privacy sono critiche, ma come si traduce questo nella pratica? Come proteggono le aziende e le organizzazioni la privacy delle persone, pur utilizzando i dati delle persone? Come affrontano le aziende i rischi per la privacy, che possono rappresentare rischi reputazionali, e i rischi di conformità, che possono causare problemi legali per un'azienda? I rischi per la privacy sono inclusi insieme ad altri elementi nel portafoglio di rischio aziendale della tua azienda? La tua azienda ha un budget allocato con le risorse corrette per affrontare adeguatamente il rischio per la privacy?

Con così tante parti in movimento nel panorama della privacy, può essere difficile sapere da dove iniziare. Ciò che manca in questa equazione è un linguaggio comune e strumenti pratici per affrontare le esigenze di privacy. È esattamente ciò che il NIST Privacy Framework vuole risolvere.

Cos'è il NIST Privacy Framework?

Il NIST Privacy Framework è un framework volontario che aiuta le aziende e le organizzazioni a comprendere, valutare e mitigare i loro rischi per la privacy. NIST sta per National Institute of Standards and Technology, un'unità del Dipartimento del Commercio degli Stati Uniti, che promuove l'innovazione attraverso lo sviluppo di standard scientifici e tecnologici. NIST ha rilasciato una bozza preliminare del framework a settembre 2019 e spera di avere la versione 1.0 finalizzata entro la fine del 2019. Il framework, scritto in termini semplici, si sforza di includere stakeholder di diversi settori e livelli di anzianità per definire obiettivi di privacy e implementare politiche di privacy condivise.

Il NIST Privacy Framework fornisce:

- Un linguaggio comune per comunicare il rischio per la privacy con gli stakeholder interni ed esterni
- Un modo per allineare approcci politici, aziendali e tecnici per ridurre i rischi per la privacy
- Un metodo per identificare e dare priorità alle azioni, comprese le attività e i risultati comuni di protezione della privacy, per ridurre i rischi per la privacy

All'interno di questo framework, le aziende e le organizzazioni possono raggiungere i loro attuali obiettivi di conformità alla privacy, oltre ad anticipare i futuri progressi tecnologici e le regolamentazioni sulla privacy per i loro futuri prodotti e servizi. Il Privacy Framework è indipendente dalla tecnologia, si applica indipendentemente da qualsiasi legge e giurisdizione specifica, e funziona in collaborazione con l'esistente NIST Cybersecurity Framework rilasciato nel 2018.

Come funziona il NIST Privacy Framework

La bozza preliminare del NIST Privacy Framework è composta da tre parti: il Core, i Profili e i Livelli di Implementazione.

Il Core aiuta le organizzazioni a identificare i loro obiettivi generali di privacy.

I Profili aiutano le organizzazioni a comprendere il loro attuale rischio per la privacy e a capire le lacune per raggiungere la gestione desiderata del rischio per la privacy. Le cinque principali aree funzionali includono:

1. Identificare
2. Governare
3. Controllare
4. Comunicare
5. Proteggere

Fonte: NIST

I Livelli di Implementazione sostengono il processo decisionale organizzativo riguardo al rischio per la privacy. Questo tiene conto dei sistemi specifici di un'organizzazione, dei prodotti, dei servizi e delle risorse disponibili per aiutare a gestire i rischi.

Come il framework per la privacy e il framework per la cybersecurity si relazionano

Come si relaziona il NIST Privacy Framework al NIST Cybersecurity Framework? Due parole: violazioni della privacy. I rischi per la cybersecurity e la privacy vanno di pari passo.

Entrambi i framework—il NIST Privacy Framework e il NIST Cybersecurity Framework—affrontano collaborativamente i rischi di violazione della privacy. Questo è particolarmente importante considerando le tecnologie emergenti come l'IoT e l'IA.

Il NIST Privacy Framework ha cinque funzioni: Identificare, Governare, Controllare, Comunicare e Proteggere.

Il NIST Cybersecurity Framework ha cinque funzioni: Identificare, Proteggere, Rilevare, Rispondere e Recuperare.

La funzione "Proteggere" del NIST Privacy Framework si sovrappone al NIST Cybersecurity Framework. Questo si riferisce a:

Gestione delle identità, autenticazione e controllo degli accessi
Sicurezza dei dati
Politiche, processi e procedure di protezione dei dati
Manutenzione
Tecnologia protettiva

Fonte: NIST

Come utilizzare il Privacy Framework

Dirigenti aziendali, team legali, team di sicurezza e dipartimenti correlati utilizzano il NIST Privacy Framework come riferimento informativo per una varietà di cose. Potrebbero utilizzare il framework per rafforzare la responsabilità all'interno della loro organizzazione, stabilire o migliorare un programma di privacy, applicare al ciclo di vita dello sviluppo del sistema, utilizzare nell'ecosistema di elaborazione dei dati di un'azienda e prendere decisioni di acquisto informate su quali fornitori lavorare.

Tieni presente che il NIST Privacy Framework è solo questo, un framework. Non è uno standard. Non è una certificazione. È un punto di partenza per le organizzazioni per comprendere i loro rischi per la privacy e adottare un piano che affronti al meglio quei rischi.

Fonte: NIST

Qual è il valore?

Il Privacy Framework aiuta le aziende a costruire fiducia con i loro clienti, a soddisfare gli obblighi di conformità alle regolamentazioni sulla privacy attuali e future, e a facilitare un dialogo sulla privacy in un'azienda. La fiducia si costruisce nel tempo con i clienti di un'azienda, le terze parti e i regolatori.

Fonte: NIST

Con l'aiuto del Privacy Framework, le aziende possono creare migliori pratiche di ingegneria della privacy come la privacy by design o la privacy by default. Questo aiuta le aziende ad anticipare nuove leggi sulla privacy e le incoraggia a essere proattive.

Prendere decisioni di acquisto informate

Sebbene la bozza del NIST Privacy Framework sia indipendente dalla tecnologia, incoraggia le persone a utilizzare i requisiti di rischio per la privacy di NIST per prendere decisioni di acquisto informate quando acquistano prodotti, software e servizi, e quando lavorano con terze parti.

Cosa puoi fare ora

NIST sta cercando commenti pubblici sulla bozza preliminare del NIST Privacy Framework fino alle 17:00 EDT del 24 ottobre 2019. Dopo aver incorporato eventuali aggiornamenti basati sul periodo di commento pubblico, NIST prevede di rilasciare la versione 1.0 del NIST Privacy Framework entro la fine del 2019.

Argomenti futuri di NIST riguardanti il rischio per la privacy

Dopo il rilascio della Versione 1.0 del NIST Privacy Framework alla fine del 2019, NIST prevede di affrontare altri argomenti correlati alla privacy, tra cui tecnologie emergenti, valutazioni del rischio per la privacy, forza lavoro sulla privacy, rischio di re-identificazione e standard tecnici.

*Disclaimer: Non sono un avvocato e non sto offrendo consulenza legale. Se hai domande legali, consulta un avvocato abilitato.*

MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.