Skip to main content

Gestire richieste sulla privacy nel Centro privacy

Obiettivi di apprendimento

Al completamento di questa unità, sarai in grado di:

  • Determinare in che modo gestire singole richieste sulla privacy nel Centro privacy Salesforce.
  • Creare e applicare una policy per il diritto all'oblio.
  • Creare e applicare una policy relativa alle richieste di accesso da parte di interessati.

Introduzione

In questa unità scoprirai in che modo il Centro privacy gestisce le richieste sulla privacy, i principi della privacy per i quali il Centro privacy può fornirti assistenza, nonché il ciclo di vita delle richieste di accesso ai dati.

Soddisfare le richieste degli interessati nel Centro privacy

Il Centro privacy può fornire assistenza diretta in relazione ai seguenti principi comuni a molte leggi sulla privacy dei dati.

Portabilità dei dati: diritto delle persone di chiedere al titolare del trattamento di fornire i loro dati personali in un formato strutturato, utilizzato comunemente e leggibile mediante computer. Ad esempio, è possibile trasmettere le informazioni al richiedente in un file CSV o JSON.

Diritto di cancellazione o diritto all'oblio: diritto delle persone di richiedere che il titolare del trattamento elimini o rimuova i loro dati personali in situazioni in cui quei dati non sono più necessari per la finalità originaria, quando l'interessato ritira il consenso o quando l'interessato si oppone al trattamento e non sussiste un interesse legittimo prevalente del titolare in relazione al trattamento.

Diritto di rifiuto esplicito: diritto delle persone di richiedere in qualsiasi momento che le aziende interrompano la vendita delle loro informazioni personali.

Vediamo in che modo il Centro privacy consente di gestire l'intero ciclo di vita delle richieste di accesso ai dati.

Che cos'è il ciclo di vita delle richieste degli interessati?

Quando ricevono richieste di accesso da parte di interessati, le aziende devono assicurarsi di ricevere, verificare, eseguire e rispondere sempre in modo accurato e tempestivo. Esamineremo queste quattro fasi una alla volta e vedremo come è possibile utilizzare il Centro privacy per gestire il ciclo di vita delle richieste.

Panoramica del ciclo di vita delle richieste degli interessati.

Ricezione

La fase della ricezione ha luogo quando si riceve una richiesta di un interessato. Il Centro privacy consente di tenere traccia delle richieste attraverso l'oggetto Privacy Request (Richiesta sulla privacy). Poiché ogni azienda è un caso a sé stante, questo oggetto è pensato per essere flessibile e può essere personalizzato in base ai propri processi interni. Ad esempio, potrebbe essere necessario tracciare la conformità a requisiti di settore o regionali in materia di privacy.

Matt ha predisposto l'oggetto Privacy Request (Richiesta sulla privacy) in modo da assicurare che Cumulus soddisfi il requisito che prevede l'evasione delle richieste entro 30 giorni. Nell'evadere una richiesta, Matt aggiorna i campi del record pertinenti, come Status (Stato), Start Date (Data iniziale) e Time (Ora) della richiesta.

Verifica

La fase di verifica consiste nella conferma che il richiedente sia effettivamente l'interessato, che la richiesta sia valida e che i dati non siano soggetti a conservazione a fini giudiziari o di altro tipo. Analogamente a quanto accade per fase di ricezione, i passaggi previsti per la verifica vengono definiti in base alle necessità dell'organizzazione.

Ad esempio, prima di soddisfare ciascuna richiesta che riceve, Cumulus Cloud deve confermarne la validità e assicurare che i dati non siano soggetti a conservazione a fini giudiziari oppure operativi. Quindi, Matt definisce l'oggetto Privacy Request (Richiesta sulla privacy) in modo da poter tracciare lo stato di approvazione delle verifiche.

Come abbiamo detto, il processo è personalizzabile. Ci sono molti modi in cui le aziende possono autenticare la validità di una richiesta del Centro privacy, ad esempio via email o attraverso un portale.

Esecuzione

La fase di esecuzione consiste nell'evasione della richiesta mediante il tipo di policy appropriato.

Nel caso di Cumulus Cloud, una volta che il processo di verifica è completo, è possibile elaborare la richiesta. Cumulus Cloud può applicare diverse policy, a seconda della natura della richiesta. Se la richiesta proviene da un interessato che desidera ricevere una copia dei propri dati, l'azienda applica una policy di portabilità. Se l'interessato desidera che i propri dati siano mascherati o cancellati, Cumulus Cloud applica una policy per il diritto all'oblio. Più avanti parleremo di come queste policy sono configurate in Cumulus Cloud. Mentre nel caso di Cumulus Cloud si tratta di un processo abbastanza semplice, alcune aziende possono dover gestire situazioni più complesse in relazione a richieste sui dati, ad esempio se sono presenti fornitori esterni che sono responsabili della gestione dei dati per loro conto.

Risposta

La fase di risposta consiste nel comunicare all'interessato che la sua richiesta è stata completata e nel condividere tutti i file richiesti dall'interessato o, in alternativa, nel comunicare all'interessato il motivo per cui la richiesta non è stata evasa.

Per la fase di risposta, Cumulus condivide un link a un file PDF che contiene le informazioni richieste dall'interessato.

Conservazione di dati coperti da privacy

Nel caso in cui siano in corso controversie legali o controlli attivi, le aziende sono spesso obbligate a conservare tutte le informazioni pertinenti e a impedire che siano eliminate o anonimizzate. Il contrassegno Privacy Hold (Conservazione ai fini di privacy) e l'elenco Hold Reasons (Motivi conservazione) consentono di contrassegnare record Individual (Persona), Person Account (Account personale), Lead, Contact (Referente) o User (Utente) come bloccati e di documentare il motivo del blocco. Queste informazioni possono essere utilizzate nei filtri relativi alla Policy sulla privacy per impedire che determinati record vengano elaborati.

La conservazione di dati coperti da privacy fa sì che i dati sensibili restino intatti, assicurando allo stesso tempo la trasparenza e il controllo del loro ciclo di vita.

Policy di portabilità e policy per il diritto all'oblio

Torniamo alla fase di esecuzione del ciclo di vita delle richieste di accesso ai dati e vediamo in che modo Matt utilizza due funzionalità del Centro privacy per consentire a Cumulus Cloud di ottemperare alle richieste relative ai dati dei clienti.

  • Le policy per il diritto all'oblio consentono di soddisfare le richieste dei clienti attraverso l'eliminazione o il mascheramento dei dati in record specifici.
  • Le policy di portabilità consentono di compilare e consegnare i dati personali ai clienti che avanzano richieste di accesso da parte dell'interessato.

Creare una policy per il diritto all'oblio

Quando Matt si accinge a creare una policy per il diritto all'oblio, per prima cosa definisce le informazioni pertinenti del cliente da elaborare per l'eliminazione.

Come abbiamo detto in precedenza, la configurazione di una policy per il diritto all'oblio nel Centro privacy è analoga alla creazione di una policy di gestione dei dati. Ma c'è un'importante differenza: per le richieste di portabilità e relative al diritto all'oblio è possibile scegliere soltanto un oggetto di primo livello. Questo perché le richieste di diritto all'oblio sono associate a una singola persona attraverso un ID record e non attraverso un filtro. Tuttavia, le policy per il diritto all'oblio sono in grado di elaborare una traccia digitale contenente informazioni personali (PII, Personally Identifiable Information) definita in modo dettagliato grazie al supporto di query su oggetti controllati e su più oggetti.

Per creare una policy per il diritto all'oblio, Matt esegue le seguenti operazioni:

  1. Definisce un oggetto controllante (ad esempio un oggetto Individual (Persona)) nella scheda RTBF Requests (Richieste di diritto all'oblio).
  2. Include oggetti controllati correlati su più livelli. Ad esempio, seleziona l'oggetto Individual (Persona) come oggetto controllante e poi raggruppa tutti i record Person Account (Account personale), Contact (Referente), Lead e User (Utente) correlati.

Come best practice, è opportuno testare la policy per il diritto all'oblio in una sandbox con dati, in modo da comprendere l'intera portata della policy prima di implementarla nell'organizzazione.

Rispondere alle richieste di diritto all'oblio

Matt può evadere singole richieste di diritto all'oblio dalla scheda RTBF Requests (Richieste di diritto all'oblio) del Centro privacy oppure può configurare il processo giornaliero Diritto all'oblio in modo che le richieste vengano evase automaticamente. Se utilizza l'oggetto Privacy Request (Richiesta sulla privacy), può anche monitorare l'avanzamento della risposta in quell'oggetto attraverso i campi Status (Stato), Date (Data) e altri campi personalizzati configurati da lui.

Creare una policy di portabilità

Successivamente, Matt si mette al lavoro per definire una policy di portabilità. Questa policy consente di ottenere una copia delle informazioni personali dell'interessato e generare file personalizzati in risposta alle richieste di accesso ai dati da parte degli interessati (DSAR, Data Subject Access Request).

Per creare una policy di portabilità, Matt esegue le seguenti operazioni:

  • Definisce un oggetto controllante.
  • Include oggetti correlati su più livelli, in base alle necessità.

Rispondere a richieste di accesso degli interessati relative alla portabilità

Una volta che Matt ha configurato una policy di portabilità, è semplice per Cumulus Cloud fornire a singoli clienti che lo richiedono una copia dei loro dati personali eseguendo queste operazioni:

  • Selezione della policy di portabilità da eseguire in DSAR Policy Manager (Gestore policy per le richieste di accesso dell'interessato) in Setup (Imposta).
  • Inserimento di un ID record (ad esempio l'ID di un record Individual (Persona)) per generare il file con le informazioni personali.
  • Accesso al file JSON attraverso il link riportato nel registro di portabilità disponibile in Setup (Imposta) per 60 giorni.
  • Monitoraggio dello stato della risposta nell'oggetto Privacy Request (Richiesta sulla privacy), se lo si utilizza.

Nota: il modo in cui si comunica con il clienti e si inviano loro i file di portabilità dipende dai requisiti specifici dell'organizzazione, perché il recupero delle richieste di accesso degli interessati dipende dal modo in cui l'organizzazione riceve quelle richieste.

Riepilogo

In questa unità hai acquisito familiarità con il ciclo di vita delle richieste di accesso ai dati nel Centro privacy, le funzionalità di conservazione dei dati coperti da privacy e come è possibile utilizzare il Centro privacy per rispettare i principi della privacy. Inoltre, hai appreso come creare policy per il diritto all'oblio. È arrivato il momento di rispondere all'ultimo quiz e guadagnare un nuovo badge scintillante.

Condividi il tuo feedback su Trailhead dalla Guida di Salesforce.

Conoscere la tua esperienza su Trailhead è importante per noi. Ora puoi accedere al modulo per l'invio di feedback in qualsiasi momento dal sito della Guida di Salesforce.

Scopri di più Continua a condividere il tuo feedback