La società di storage e gestione dei dati con sede in California afferma che è importante che le organizzazioni disegnino distinzioni tra sicurezza e privacy, poiché l'una non protegge dall'altra, soprattutto in a aula.
Secondo le leggi sulla privacy, le organizzazioni dovrebbero raccogliere solo la quantità minima di dati necessari per gestire il rapporto con un cliente, NetApp ha affermato Sheila Fitzpatrick, responsabile della privacy, sottolineando che se un'organizzazione subisce una violazione, conservare informazioni minime può ridurre il rischio complessivo rischio.
"Se subisci un attacco informatico, dovrai giustificare il motivo per cui stavi raccogliendo determinati dati", ha detto Fitzpatrick.
Secondo lei, è inevitabile che sorgano delle domande sul perché un'organizzazione detenga dati che non ha esplicitamente detto ai clienti che stava raccogliendo.
Ciò che preoccupa Fitzpatrick è che molte organizzazioni sembrano pensare che la privacy sia sinonimo di sicurezza e che disporre di una soluzione di sicurezza risolva l'aspetto della privacy.
"Se stai crittografando dati che non sei legalmente autorizzato ad avere, la sicurezza non ti aiuterà", ha detto.
"Se non disponi di un programma di conformità alla privacy, non ottieni il consenso e non gestisci i dati nel modo in cui li autorizzato a gestirlo, ma tu dici "oh, l'abbiamo crittografato" - a cosa ti serve dal punto di vista della privacy se non sei legalmente autorizzato ad averlo? dati?"
Parlando con ZDNet la scorsa settimana a Sydney per la conferenza Data + Privacy Asia Pacific, Fitzpatrick, con sede in California, ha affermato che sono finiti i giorni in cui il consenso alla raccolta dei dati viene ottenuto tramite un modulo di termini e condizioni (T&C) comprendente parole d'ordine e gergo legale che solo qualcuno con una laurea in giurisprudenza può sezionare.
"Il problema era che i termini e le condizioni erano così complicati e ambigui che in realtà non eri d'accordo su ciò che quelle organizzazioni stavano facendo con i tuoi dati; stavi acconsentendo a utilizzare il loro servizio e stavi acconsentendo a fornire determinate informazioni di cui avevano bisogno, ma non hai mai realmente acconsentito alla vendita di tali dati a un di terze parti, da condividere su Internet, da fare in modo che le organizzazioni frughino nei tuoi social media per trovare informazioni a cui indirizzarti - non è possibile che tu abbia acconsentito a quello", ha detto.
"È stato allora che le leggi sulla privacy hanno iniziato a farsi avanti e a dire: 'L'individuo conserva i suoi dati, non l'organizzazione che li raccoglie".
Andando avanti, Fitzpatrick ha affermato che questi termini e condizioni molto ambigui e ingombranti non saranno più validi; piuttosto devono essere chiari, espliciti, inequivocabili e facilmente comprensibili.
Fitzpatrick ha affermato che, sebbene l’Europa abbia tradizionalmente le leggi più restrittive, l’Asia Pacifico le sta in qualche modo superando. Tuttavia, le organizzazioni in Europa hanno sempre dovuto ottenere il consenso esplicito dell'individuo per l'archiviazione dati al fine di fornire beni e servizi, a meno che non ci fosse modo di fornire servizi senza averli dati.
Con Regolamento generale europeo sulla protezione dei dati (GDPR) che entrerà in vigore il prossimo maggio, le organizzazioni devono avere il consenso esplicito di un individuo per archiviare informazioni su di loro.
"Al di fuori dell'Europa, in particolare negli Stati Uniti, in Canada e nella regione APAC, non c'è mai stata una distinzione tra consenso implicito e forzato o consenso esplicito", ha affermato. "Le leggi non sono mai state veramente chiare su quale tipo di consenso, se dovesse essere esplicito, se il consenso tacito fosse accettabile."
Sebbene il GDPR si applichi solo alle organizzazioni che hanno una sede nell’UE, se offrono beni e servizi nell’UE o se monitorano il comportamento degli individui in nell'UE, Fitzpatrick ritiene che sia una buona pratica organizzativa guardare alle leggi più restrittive in cui l'organizzazione è presente e mappare la propria strategia sulla privacy in base a Quello. In teoria, ciò coprirà tutto ciò che è al di sotto di esso.
Con 35 anni di esperienza nel settore, l'avvocato internazionale specializzato in privacy ha spiegato che, poiché il GDPR è più restrittivo dell'attuale normativa australiana Legge sulla privacy del 1988, avrà la precedenza quando si tratterà di indagare e perseguire le organizzazioni con sede in Australia che violano il GDPR.
"Il mio messaggio è sempre presente: la tua più grande risorsa sono i dati, ma possono anche essere il tuo più grande danno", ha aggiunto Fitzpatrick.
In primo piano
- Windows 10 è troppo popolare per il suo bene?
- 5 modi per trovare il posto migliore per iniziare la tua carriera
- Ecco come l’intelligenza artificiale generativa cambierà in meglio la gig economy
- 3 motivi per cui preferisco questo Android da $ 300 rispetto al Pixel 6a di Google