Che cos'è la conformità al GDPR: tutto ciò che devi sapere sui tuoi dati e su come vengono utilizzati
A partire dal 25 maggio 2018, IL Regolamento generale sulla protezione dei dati (GDPR) le regole sono entrate in pieno vigore in tutto il Unione Europea (UE). Le leggi GDPR stabiliscono linee guida su come le informazioni personali vengono raccolte, elaborate e utilizzate, disciplinando anche il diritto di controllare ciò che viene utilizzato. Eliminazione della cronologia delle ricerche di Chrome è una cosa, ma il GDPR è molto più di una semplice opzione sulla privacy. anche GDPR colpisce tutti i paesi che trattano dati personali di individui all'interno dell'UE. Le multe sono salate per coloro che non rispettano correttamente il GDPR. La linea di fondo è che il GDPR protegge i residenti dell'UE e dà loro il diritto di controllare quali informazioni una persona o un'azienda trattiene e utilizza.
IL Scandalo Facebook e Cambridge Analytica del 2018 ha messo in luce i concetti di pubblicità personalizzata e raccolta di dati e ha evidenziato i pericoli di tali pratiche. In sintesi, la società di analisi britannica Cambridge Analytica è stata accusata di aver raccolto dati da milioni di Account Facebook senza il consenso e la conoscenza degli utenti per influenzare le abitudini di voto nelle presidenziali del 2016 Elezione.
Fonte: inedito, Flickr: Catalogo libri attraverso www.shopcatalog.com, CC BY SA 2.0
Lo scandalo Cambridge Analytica + Facebook potrebbe anche aver avuto un ruolo nel voto sulla Brexit. Facebook avrebbe aperto la porta per rendere possibile un così grossolano tradimento della fiducia.
Nonostante sia stato creato per gestire il modo in cui le aziende gestiscono i dati, il GDPR mira a proteggere chiunque utilizzi il web. Se fai acquisti online, consenti i cookie sui siti Web, ti iscrivi ai social network e persino ti iscrivi alle newsletter, le nuove normative riguardano direttamente te e il modo in cui navighi. Se condividi dati personali con un'altra persona o azienda, il GDPR gioca un ruolo nel modo in cui i dati vengono utilizzati.
Ecco tutto ciò che devi sapere.
Che cos'è il GDPR?
Fonte: https://gdpr.eu/
L'UE Regolamento generale sulla protezione dei dati (GDPR) è il risultato di quattro anni di lavoro dell'UE per allineare la legislazione sulla protezione dei dati a modalità nuove e precedentemente impreviste di utilizzo dei dati.
Il Regno Unito si basa già sul Data Protection Act 1998, che è stato emanato in seguito alla Direttiva sulla protezione dei dati dell'UE del 1995, ma la nuova legislazione lo sostituirà. Il GDPR introduce multe più severe per la non conformità e le violazioni e offre alle persone più voce in capitolo su ciò che le aziende possono fare con i propri dati. Rende inoltre le norme sulla protezione dei dati più o meno identiche in tutta l'UE.
Perché è stato redatto il GDPR?
I driver alla base del GDPR sono duplici.
Primo, l'UE voleva dare alle persone un maggiore controllo su come vengono utilizzati i loro dati. Molte aziende come Facebook e Google scambiano l'accesso ai dati delle persone per l'utilizzo dei loro servizi. L'attuale legislazione è stata emanata prima che Internet e la tecnologia cloud creassero nuovi modi di sfruttare i dati e il GDPR cerca di affrontare questo problema. Rafforzando la legislazione sulla protezione dei dati e introducendo misure di applicazione più rigorose, l'UE spera di migliorare la fiducia nell'emergente economia digitale.
Secondo, l'UE vuole offrire alle imprese un ambiente giuridico più semplice e più evidente in cui operare, producendo dati legge di protezione identica in tutto il mercato unico (l'UE stima che ciò farà risparmiare alle aziende un totale di 2,6 miliardi un anno).
Quando è entrato in vigore il GDPR?
Il GDPR è entrato in vigore il 25 maggio 2018. Poiché il GDPR è un regolamento, non una direttiva, il Regno Unito non ha avuto bisogno di elaborare una nuova legislazione. Invece, le leggi si applicavano automaticamente. Il regolamento è effettivamente iniziato il 24 maggio 2016, quando tutte le sezioni dell'UE hanno concordato il testo finale. Tuttavia, le imprese e le organizzazioni avevano tempo fino al 25 maggio 2018 per applicare la legge.
A chi si applica il GDPR?
I "titolari" e i "responsabili del trattamento" dei dati devono rispettare il GDPR. Un titolare del trattamento indica come e perché i dati personali vengono elaborati, mentre un responsabile del trattamento è una parte che effettua l'effettivo trattamento dei dati. Quindi il controllore potrebbe essere qualsiasi organizzazione, da un'azienda a scopo di lucro a un ente di beneficenza o persino un governo. Un processore potrebbe essere un'azienda IT che esegue l'effettivo trattamento dei dati.
Come accennato in precedenza, ma molto importante, i titolari e i responsabili del trattamento con sede al di fuori dell'UE richiederanno comunque la conformità al GDPR quando trattano dati appartenenti a residenti nell'UE.
È responsabilità del titolare del trattamento garantire che l'incaricato del trattamento rispetti la legge sulla protezione dei dati e gli stessi incaricati del trattamento devono attenersi alle regole per conservare i registri delle loro attività di elaborazione. Se i responsabili del trattamento sono coinvolti in una violazione dei dati, sono molto più responsabili ai sensi del GDPR di quanto non lo fossero ai sensi del Data Protection Act.
Come si presta il consenso ai sensi del GDPR?
Il consenso deve essere un'azione attiva e affermativa da parte dell'interessato, piuttosto che l'accettazione passiva in alcuni modelli attuali che consentono caselle preselezionate o opt-out.
I controllori devono registrare come e quando un individuo ha dato il consenso e che gli individui possono ritirare il proprio consenso quando lo desiderano. Se il tuo attuale modello per ottenere il consenso non soddisfa queste nuove regole, dovrai aggiornarlo o interrompere la raccolta di dati in base a tale modello.
Cosa conta come dati personali ai sensi del GDPR?
L'UE ha notevolmente ampliato la definizione di dati personali ai sensi del GDPR. Per riflettere i tipi di dati che le organizzazioni ora raccolgono sulle persone, gli identificatori online come gli indirizzi IP si qualificano come dati personali. Altri dati, ad es informazioni economiche, culturali e sulla salute mentale, sono anch'esse considerate informazioni di identificazione personale.
I dati personali pseudonimizzati possono anche essere soggetti alle regole del GDPR, a seconda di quanto sia facile o difficile identificare di chi sono i dati.
Tutto ciò che contava come dati personali ai sensi della legge sulla protezione dei dati si qualifica anche come dati personali ai sensi del GDPR.
Quando posso accedere ai dati che le aziende memorizzano su di me?
Puoi chiedere l'accesso a "intervalli ragionevoli" e i controllori devono generalmente rispondere entro un mese. Il GDPR richiede che titolari e responsabili del trattamento siano trasparenti su come raccolgono i dati, cosa ne fanno e come li elaborano. Le spiegazioni devono essere chiare (utilizzando un linguaggio semplice) nel descrivere le politiche e le procedure relative ai dati.
Tu hai il diritto di accedere a qualsiasi informazione che una società detiene su di te, e il diritto di sapere perché tali dati vengono elaborati, per quanto tempo viene conservato, E chi riesce a vederlo. Ove possibile, i responsabili del trattamento dei dati dovrebbero fornire alle persone un accesso diretto e sicuro per esaminare quali informazioni vengono memorizzate da un responsabile del trattamento su di loro.
Puoi anche chiedere che tali dati, se errati o incompleti, vengano rettificati quando vuoi.
Qual è il "diritto all'oblio" del GDPR?
Hai il diritto di richiedere che i tuoi dati vengano cancellati se non sono più necessari per lo scopo per cui sono stati raccolti. Questo scenario è noto come il "diritto all'oblio". In base a questa regola, puoi richiedere che i tuoi dati vengano cancellati se hai revocato il consenso alla loro raccoltao opporti al modo in cui viene elaborato.
Il responsabile del trattamento è responsabile di informare altre organizzazioni (ad esempio Google) di eliminare qualsiasi collegamento a copie dei dati e le copie stesse.
E se volessi spostare i miei dati altrove?
I titolari del trattamento devono ora archiviare le informazioni delle persone nei formati di uso comune (come i file CSV) per trasferire i dati di una persona a un'altra organizzazione (gratuitamente) se la persona lo richiede. I controllori devono farlo entro un mese.
Cosa succede se un'azienda subisce una violazione dei dati?
È responsabilità dell'azienda informare l'autorità per la protezione dei dati di qualsiasi violazione dei dati che metta a rischio i diritti e le libertà delle persone entro 72 ore dal momento in cui l'organizzazione ne viene a conoscenza. L'autorità del Regno Unito è l'Ufficio del Commissario per le informazioni. Il commissario per l'informazione Elizabeth Denham ritiene che l'amministrazione abbia bisogno di più risorse per far fronte alla polizia GDPR e rispondere alle organizzazioni che le notificano violazioni. Nel marzo 2017, ha dichiarato alla sottocommissione per gli affari interni dell'UE che erano necessari maggiori finanziamenti per assumere e trattenere persone qualificate.
Tale scadenza è abbastanza stretta da significare che le aziende probabilmente non conosceranno ogni dettaglio di una violazione fino a quando non la scopriranno. Tuttavia, il loro contatto iniziale con la loro autorità per la protezione dei dati dovrebbe delineare il natura dei dati interessati, approssimativamente quante persone sono colpite, quali conseguenze potrebbero significare per loro, E quali misure hanno già adottato o pianificano di agire in risposta.
Anche prima di chiamare l'autorità per la protezione dei dati, l'azienda dovrebbe informare le persone interessate dalla violazione dei dati. Coloro che non rispettano la scadenza di 72 ore potrebbero incorrere in una penale fino al 2% delle loro entrate mondiali annuali, o 10 milioni di euro ($11,305,550 a partire dal 12 luglio 2020 e soggetto a fluttuazioni valutarie), qualunque sia il valore più alto.
Ok, quali altre multe ci sono per non aver rispettato il GDPR?
Se un'azienda non segue i principi di base per l'elaborazione dei dati, come il consenso, ignorando i diritti delle persone sui propri dati o trasferendo i dati in un altro paese, le multe sono peggiori. L'autorità per la protezione dei dati personali potrebbe emettere una sanzione fino a 20 milioni di euro ($22,611,500 al 12 luglio 2020 e soggetto a fluttuazioni valutarie) o al 4% del fatturato annuo globale dell'azienda, a seconda di quale sia il valore maggiore.
