La privacy è morta, lunga vita alla privacy
Pubblicato: 2022-05-22A maggio, le aziende hanno visto la rimasterizzazione di Y2K. È arrivato il regolamento generale sulla protezione dei dati in Europa e non è successo nulla. Le aziende di tutto il mondo e di tutti i settori si sono affrettate a raggiungere la conformità, temendo multe salate e l'ira dei consumatori.
Ma quasi tre mesi dopo l'entrata in vigore del regolamento, c'è stata poca azione.
Sebbene l'industria non abbia ancora visto ramificazioni al regolamento, il GDPR ha indotto molte organizzazioni a ripensare al modo in cui raccolgono e utilizzano i dati. Sempre più aziende stanno considerando la privacy come una questione aziendale degna di nota, non un ripensamento.
E un concetto sta rendendo più facile capire come dovrebbero essere trattati i dati, iniettando più privacy lungo il percorso: gestire i dati come valuta.
Dare un prezzo ai dati
Il concetto di dati come valuta è il successore di una rappresentazione più fisica che si trova nella frase "i dati sono il nuovo petrolio". Un concetto che ha coniato 20 anni fa in Europa, Michelle Dennedy, VP e chief privacy officer di Cisco, ha dichiarato che i dati sono il nuovo petrolio perché scorrevano attraverso i sistemi ed erano più preziosi dell'oro o di altre valute.
Se i dati fossero il nuovo petrolio, le aziende avrebbero solo bisogno della sicurezza per gestirli, assicurandosi che non perdano e non provochino incendi. Ma se, invece, i dati sono visti come una valuta, è "completamente dipendente dal tempo, dalla comprensione culturale, dalle condizioni e dal contesto", ha affermato Dennedy, in un'intervista con il CIO Dive.
Ogni valuta ha una "oscillazione", ha detto Dennedy. Prendi, ad esempio, cosa sta succedendo con le fluttuazioni dell'euro, che illustrano come i cicli elettorali possono influenzare le valutazioni valutarie.
Le organizzazioni ottengono il successo quando imparano a valutare le risorse. Se i dati vengono trattati con noncuranza e fattori interni o esterni hanno un impatto, le organizzazioni potrebbero trovarsi nel mirino delle autorità di regolamentazione.
Se i dati sono visti come una valuta, sono "interamente dipendenti dal tempo, dalla comprensione culturale, dalle condizioni e dal contesto".
Michelle Dennedy
VP e chief privacy officer di Cisco
"Se consideri i tuoi dati sensibili come una risorsa che ti provoca tanto danno se sono compromessi quanto i tuoi fondi effettivi, i tuoi dollari, allora ti comporterai in modo diverso", ha affermato Tanya Forsheit, partner e presidente della legge sulla privacy e la sicurezza dei dati ditta Frankfurt Kurnit Klein e Selz, in un'intervista al CIO Dive.
Mentre il concetto sta ottenendo il supporto principale, l'industria non è ancora arrivata. Le aziende che considerano i dati come valuta tornano rapidamente alle associazioni con il rischio, ritenendo che i dati siano qualcosa da perdere.
L'altro vincolo è il modo in cui le normative definiscono i dati personali. Il GDPR offriva una definizione ampia.
Negli Stati Uniti, i dati personali sono considerati informazioni di identificazione personale (PII). Ma ai sensi del GDPR, i dati personali sono tutte le informazioni che potrebbero essere utilizzate per identificare un individuo, inclusi gli ID dei dispositivi e gli indirizzi IP.
L'ampliamento dell'ambito dei dati personali aggiunge complicazioni al loro trattamento come valuta. I numeri di previdenza sociale, ad esempio, hanno molto più valore di un indirizzo e-mail. Ciò significa che il concetto di dati come valuta richiede un valore associato.
Se ci sono meccanismi per trattare gli indirizzi IP come centesimi e i numeri di previdenza sociale come banconote da cento dollari, allora ha un significato, ha detto Forsheit. "È una mentalità difficile da comprendere per qualcuno".
Le aziende erano affamate di dati
Se le aziende non raccogliessero dati in modo eccessivo, la semantica che circonda il loro trattamento e definizione sarebbe inutile. Ma ahimè, non è così.
A metà degli anni '90 Internet ha iniziato a orientarsi verso il commercio ed è diventato più facile ottenere dati, ha affermato Rebecca Herold, CEO dello studio di consulenza The Privacy Professor e co-fondatore e presidente di SIMBUS , una società di consulenza per la gestione della privacy e della sicurezza.
Prima di Internet, le aziende dovevano fare affidamento su annunci cartacei e posta per raggiungere potenziali acquirenti, ha affermato Herold, in un'intervista con il CIO Dive. Ma l'ascesa del commercio su Internet ha rivisto gli sforzi di marketing e le aziende non hanno più dovuto chiedere i dati dei clienti. Invece, le persone hanno semplicemente fornito informazioni.
"Le aziende negli Stati Uniti storicamente sono accumulatori di dati. È quello che fanno. Raccolgono tonnellate e tonnellate di dati, a volte anche senza necessariamente sapere qual è il loro obiettivo finale".
Tanya Forsheit
Partner e presidente della privacy e della sicurezza dei dati a Francoforte Kurnit Klein e Selz
Il settore ha visto "quanto fossero ansiose le organizzazioni di iniziare a raccogliere più dati di quelli di cui avevano veramente bisogno", ha affermato Herold.
Gli anni '90 sono serviti da presagio. Oggi le aziende raccolgono e archiviano più dati di quanti sappiano cosa fare, sperando che l'analisi dei big data e l'intelligenza artificiale semplificheranno l'analisi. Questa raccolta eccessiva ha avuto un impatto diretto sulla privacy.
"Le aziende negli Stati Uniti storicamente sono accumulatori di dati. Questo è quello che fanno", ha affermato Forsheit. "Raccolgono tonnellate e tonnellate di dati, a volte anche senza necessariamente sapere qual è il loro obiettivo finale".
Il GDPR sta lavorando per cambiare il modo in cui le aziende interagiscono con i dati, interrompendo l'uso dei dati personali in modi che i consumatori non si aspettavano o non sapevano fosse possibile, secondo Forsheit. Collegando set di dati disparati, gli analisti possono determinare e delineare le informazioni personali all'insaputa dell'utente, un'azione che il GDPR sta cercando di prevenire.
La privacy è possibile?
I dati possono avere un impatto positivo e negativo e le organizzazioni che temono ripercussioni normative e multe salate stanno lavorando per ripensare la raccolta e il trattamento dei dati.
Anche una maggiore regolamentazione oltre il GDPR sta avendo un impatto. Le autorità di regolamentazione statunitensi stanno cercando di intensificare e creare un ecosistema che tenga conto degli impatti sulla privacy dei servizi offerti dai giganti di Internet, come è avvenuto con la recente legislazione della California .
Le industrie di tutti i settori sono in un "periodo di risveglio" per l'utilizzo dei dati, ha affermato Herold. Il recente e ben pubblicizzato utilizzo dei dati da parte di Facebook ha messo in guardia il settore. Facebook era "addormentato al volante" quando ha mappato come vendere i dati", ha detto Herold. "Erano troppo fiduciosi".
Ci sono due problemi principali con i dati, ha detto Herold:
Le organizzazioni fanno troppe supposizioni su ciò che potrebbe e non potrebbe essere considerato un dato personale. E quelle stesse aziende non pensano che le persone possano analizzare i set di dati per ricavare informazioni personali su un individuo.
La maggior parte degli sviluppatori di app e molte aziende tecnologiche non dedicano abbastanza tempo alla progettazione dei controlli nelle loro soluzioni e prodotti. Invece, stanno facendo il minimo come richiesto dalla legge.
Ciò evidenzia il divario tra ciò che le aziende sono legalmente obbligate a fare e ciò che dovrebbero fare, ha affermato Herold.
Certamente la privacy è possibile, ma le aziende non hanno l'incentivo per farla diventare realtà.
"Le cose brutte che sono successe non sono perché non abbiamo leggi o non perché non abbiamo regolatori a cui importa", ha detto Forsheit. "È perché le aziende sono state affamate di dati, e in alcuni casi avide, e hanno raccolto il più possibile e quindi hanno cercato di sfruttarle il più possibile fino a quando non sono state catturate perché questo è, in molti modi, il modo americano ."