Uno Strumento, Tre Framework
Un team privacy elabora i file dei clienti europei ai sensi del GDPR il lunedì. Le cartelle cliniche ai sensi dell'HIPAA il martedì. I dati dei consumatori californiani ai sensi della CCPA il mercoledì.
Ogni norma ha regole diverse. Ogni documento richiede una configurazione diversa.
Passare tra tre set di regole ogni giorno genera errori. La configurazione sbagliata sul documento sbagliato provoca un fallimento di conformità o una perdita di dati.
I profili di conformità denominati risolvono questo problema. Una configurazione salvata per norma. Nessuna riconfigurazione manuale.
GDPR — Cosa Copre
Il GDPR copre tutti i dati personali. Si applica a qualsiasi individuo dell'UE identificabile. Non esiste un elenco fisso di ciò che conta. Qualsiasi informazione che riguarda una persona rientra nell'ambito.
Le categorie particolari — dati sanitari, credenze religiose, opinioni politiche — ricevono protezione aggiuntiva ai sensi dell'articolo 9.
Tipi di entità comuni per il lavoro documentale: nomi, indirizzi, ID nazionali, email, numeri di telefono, indirizzi IP, carte di credito.
La scelta giusta dipende dal contesto. Il GDPR non prevede un elenco fisso.
HIPAA — Cosa Copre
HIPAA Safe Harbor definisce esattamente 18 tipi di identificatori. Tutti e 18 devono essere rimossi dalle cartelle cliniche.
Due regole sorprendono i team:
- Le date vengono ridotte al solo anno. Mese e giorno vengono rimossi. L'anno rimane.
- Le aree geografiche inferiori allo stato devono essere rimosse.
Queste regole si applicano solo ai soggetti titolati e ai loro partner commerciali.
CCPA — Cosa Copre
La CCPA copre le informazioni personali collegate ai residenti californiani. L'ambito è ampio. Include identificatori diretti, attività su internet, cronologia degli acquisti, dati di geolocalizzazione, dati biometrici e inferenze di profilo.
Per il lavoro documentale, concentrati sugli identificatori diretti: nomi, SSN, patenti di guida, numeri di passaporto, email, numeri di conto, indirizzi IP, ID dispositivo.
La cronologia degli acquisti e i log di navigazione raramente compaiono come testo normale in un documento.
Perché il Cambio Manuale Fallisce
Il cambio manuale genera errori. Un file GDPR elaborato con una configurazione HIPAA applica regole sulle date che il GDPR non richiede. Un file HIPAA elaborato con una configurazione GDPR manca le regole geografiche che Safe Harbor richiede.
Gli studi mostrano che i cambi manuali di framework producono errori circa il 15% delle volte. Ogni errore è una mancanza di conformità o un evento di perdita di dati.
Il personale deve tenere a mente tre set di regole e applicare quello giusto ogni volta. Questo non è un processo. È un'ipotesi fatta quotidianamente.
Tre Configurazioni Denominate
"Standard GDPR — Clienti UE"
Rileva: nomi, indirizzi, ID nazionali, email, numeri di telefono, indirizzi IP, carte di credito.
Metodo: Redact.
Escludi le date a meno che la data di nascita non sia nell'ambito. Includi gli indirizzi IP per il lavoro con dati online.
"HIPAA Safe Harbor — Sanità"
Rileva: nomi di persone, date, località sub-statali, telefono, fax, email, SSN, numeri di cartella clinica, ID piani sanitari, numeri di conto, numeri di certificato, ID veicoli, ID dispositivi, URL, indirizzi IP, ID biometrici. Questo copre tutti i 18 tipi Safe Harbor.
Metodo: Redact. Per le date: mantieni l'anno. Rimuovi mese e giorno.
Aggiungi un pattern personalizzato per il formato del numero di cartella clinica della tua struttura.
"CCPA — Consumatore Californiano"
Rileva: nomi, indirizzi, numeri di telefono, email, SSN, patenti di guida, numeri di passaporto, carte di credito, indirizzi IP, URL, numeri di conto, ID dispositivo.
Metodo: Replace (preferibile per l'analisi) o Redact.
Ogni configurazione salvata blocca la decisione di conformità. L'operatore sceglie il profilo adatto al contesto legale del documento. Nessun elenco di entità da costruire. Nessun metodo da scegliere.
Tassi di Errore Prima e Dopo
Prima dei profili denominati: Il personale riconfigura manualmente per ogni norma. Il tasso di errore è vicino al 15%. Gli audit annuali trovano rilievi sull'applicazione del framework ogni anno.
Dopo i profili denominati: Il personale sceglie un profilo salvato. La configurazione è fissa. Il tasso di errore scende sotto il 2%. Gli errori rimanenti derivano dalla scelta del profilo sbagliato. La revisione QA li intercetta. Gli audit si concludono senza rilievi.
Il cambiamento chiave: la decisione di conformità si sposta dall'esecuzione quotidiana alla creazione del profilo. Uno specialista decide una volta. Ogni operatore la applica senza pensarci.
Gestione di un Team Multi-Framework
Assegna la proprietà. Un responsabile per norma. Il responsabile GDPR gestisce il profilo GDPR. Il responsabile HIPAA gestisce la configurazione HIPAA. Ogni responsabile rivede il proprio profilo ogni trimestre.
Instrada per fonte. I dati dei clienti UE usano il profilo GDPR. I dati sanitari USA usano il profilo HIPAA. I dati dei consumatori californiani usano il profilo CCPA.
Registra ogni esecuzione. I log di elaborazione registrano quale profilo è stato usato su ogni batch. Quando un revisore chiede come è stato gestito un file, la risposta è un nome di profilo, una data e un log di configurazione.
Propaga gli aggiornamenti. Quando l'EDPB emette nuove linee guida, il responsabile GDPR aggiorna la configurazione condivisa. Tutte le esecuzioni future recepiscono la modifica. Nessuno deve essere avvisato.
Per un approfondimento sulla governance dei profili e le prove per gli audit, vedi preset di anonimizzazione e coerenza degli audit GDPR. Per la copertura dettagliata delle entità HIPAA Safe Harbor, vedi de-identificazione HIPAA Safe Harbor per la ricerca sanitaria.
Conclusione
Tre norme. Tre profili salvati. Uno strumento.
La complessità risiede a livello di definizione del profilo. Non nell'elaborazione quotidiana. Gli operatori non devono conoscere le regole HIPAA sulle date. Devono sapere quale profilo si adatta al documento che hanno davanti.
Le configurazioni denominate riducono il carico cognitivo. Diminuiscono gli errori. Rendono la conformità dimostrabile.