Il Regolamento generale sulla protezione dei dati (GDPR) è una legislazione che ha aggiornato e unificato le leggi sulla privacy dei dati in tutta l'Unione europea (UE). Il GDPR è stato approvato dal Parlamento Europeo il 14 aprile 2016 ed è entrato in vigore il 25 maggio 2018.
Il GDPR sostituisce la direttiva UE sulla protezione dei dati del 1995. La nuova direttiva si concentra sul mantenimento della trasparenza delle imprese e sull'espansione dei diritti alla privacy degli interessati. Quando viene rilevata una grave violazione dei dati, la società è tenuta dal GDPR a informare tutte le persone interessate e l'autorità di controllo entro 72 ore. I mandati nel GDPR si applicano a tutti i dati prodotti dai cittadini dell'UE, indipendentemente dal fatto che la società che raccoglie i dati in questione si trovi all'interno dell'UE, nonché a tutte le persone i cui dati sono archiviati all'interno dell'UE, indipendentemente dal fatto che siano effettivamente cittadini dell'UE. . Il GDPR definisce anche le sanzioni in caso di non conformità.
Qual è lo scopo del GDPR?
Lo scopo del GDPR è proteggere le persone ei dati che li descrivono e garantire che le organizzazioni che raccolgono tali dati lo facciano in modo responsabile. Il GDPR impone inoltre che i dati personali siano conservati in modo sicuro; in parte, il regolamento afferma che i dati personali devono essere protetti contro "il trattamento non autorizzato o illegale e contro la perdita, la distruzione o il danneggiamento accidentale".
I motivi per la raccolta dei dati personali sono definiti anche nel GDPR; i dati raccolti devono essere per uno scopo specifico e legittimo e non devono essere utilizzati in alcun modo al di là di tale intenzione. Il regolamento suggerisce anche dei limiti alla quantità di dati raccolti, affermando che la raccolta dei dati dovrebbe essere "limitata a quanto necessario in relazione alle finalità per le quali vengono elaborati".
Questo articolo fa parte di
Cos'è la protezione dei dati e perché è importante?
- Che include anche:
- Confronto tra protezione dei dati e sicurezza dei dati e privacy dei dati
- 20 chiavi per una strategia di protezione dei dati aziendali di successo
- 5 sfide comuni in materia di protezione dei dati che le aziende devono affrontare
Scaricare1
Scarica subito l'intera guida GRATUITAMENTE!
Il GDPR afferma inoltre che l'organizzazione che raccoglie i dati deve garantire che siano accurati e aggiornati secondo necessità.
Ai sensi del GDPR, le aziende non possono elaborare legalmente le informazioni di identificazione personale (PII) di nessuna persona senza soddisfare almeno una delle seguenti sei condizioni.
- Consenso espresso dell'interessato.
- Il trattamento è necessario per l'esecuzione di un contratto con l'interessato o per l'adozione di misure per la conclusione di un contratto.
- Il trattamento è necessario per l'adempimento di un obbligo legale.
- Il trattamento è necessario per proteggere gli interessi vitali di una persona interessata o di un'altra persona.
- Il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
- Il trattamento è necessario ai fini degli interessi legittimi perseguiti dal titolare del trattamento o da terzi, salvo che tali interessi siano sovrascritti dagli interessi, diritti o libertà dell'interessato.
Inoltre, le aziende che effettuano l'elaborazione dei dati o monitorano gli interessati su larga scala devono nominare un responsabile della protezione dei dati (DPO). Il DPO è il prestanome responsabile della governance dei dati e garantisce la conformità dell'azienda al GDRP. Se un'azienda non rispetta il GDPR, le conseguenze legali possono includere multe fino a 20 milioni di euro (24.26 milioni di dollari) o il 4% del fatturato globale annuo. Inoltre, la persona in questo ruolo è responsabile di garantire che i principi di protezione dei dati appropriati siano applicati alla conservazione dei dati personali.
Le preoccupazioni riguardanti il regolamento generale sulla protezione dei dati includono la mancanza degli strumenti giusti per monitorare i dati in tempo reale.
Storia del GDPR
Le radici del GDPR dell'UE possono essere ricondotte alla Convenzione UE sui diritti umani del 1950, che stabiliva i diritti umani fondamentali che gli Stati membri devono rispettare.
Man mano che i computer divennero più onnipresenti negli ambiti aziendali e governativi, furono introdotte normative aggiuntive, come la Convenzione sulla protezione dei dati del 1981, che dichiarava la privacy come un diritto legale.
La direttiva europea sulla protezione dei dati del 1995 è la più strettamente correlata al GDPR ed è considerata il precursore di tale regolamento.
Quali dati protegge il GDPR?
Gli utenti devono dare il consenso a qualsiasi azienda o organizzazione che desideri raccogliere e utilizzare i dati personali. Come definito dal GDPR, i dati personali sono informazioni che si riferiscono a "una persona fisica identificata o identificabile", denominata "persona interessata".
I dati personali possono includere questi tipi di informazioni:
- Nome
- Numero identificativo
- Dati sulla posizione
- Qualsiasi informazione specifica per "l'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica"
- Dati biometrici acquisiti attraverso una qualche forma di processo tecnico, come l'imaging facciale o l'impronta digitale
- Informazioni relative alla salute o all'assistenza sanitaria di una persona
- Informazioni razziali o etniche di un individuo
- Opinioni politiche o credenze religiose
- Appartenenza sindacale
I dati personali possono consistere in qualsiasi cosa, da un nome, una foto, un indirizzo e-mail o dettagli del conto bancario a post su siti Web di social network, dati biometrici o indirizzo IP del computer di una persona.
7 principi del GDPR
Il GDPR stabilisce sette principi di base su cui basa le proprie normative e regole di conformità relative ai dati personali:
- Liceità, correttezza e trasparenza. L'interessato deve essere chiaramente informato su come verranno utilizzati i suoi dati.
- Limitazione dello scopo. I dati possono essere raccolti solo per scopi specifici.
- Minimizzazione dei dati. La quantità di dati raccolti è limitata a quanto necessario per un trattamento specifico.
- Le organizzazioni che raccolgono i dati devono garantirne l'accuratezza e aggiornarli secondo necessità. I dati devono essere cancellati o modificati quando una persona interessata fa tale richiesta.
- Limitazione dello spazio di archiviazione. I dati raccolti non verranno conservati più a lungo del necessario.
- Integrità e riservatezza. È necessario applicare misure di protezione adeguate ai dati personali per garantire che siano sicuri e protetti contro il furto o l'uso non autorizzato.
- I responsabili della raccolta dei dati sono responsabili di garantire la conformità con il GDPR.
I sette principi del GDPR sono alla base dei diritti specifici dell'interessato, tra cui:
- Diritto all'oblio. Gli interessati possono richiedere la cancellazione delle informazioni personali dalla memoria di un'azienda. L'azienda ha il diritto di rifiutare le richieste se può dimostrare con successo una base giuridica per il loro rifiuto.
- Diritto di accesso. Gli interessati possono esaminare i dati che un'organizzazione ha archiviato su di loro.
- Diritto di opposizione. Gli interessati possono rifiutare il permesso a una società di utilizzare o elaborare i dati personali dell'interessato. L'azienda può ignorare il rifiuto se soddisfa una delle condizioni legali per il trattamento dei dati personali dell'interessato ma deve darne comunicazione all'interessato e spiegarne le motivazioni.
- Diritto alla rettifica. Gli interessati possono aspettarsi che le informazioni personali inesatte vengano corrette.
- Diritto di portabilità. Gli interessati possono accedere ai dati personali che un'azienda ha su di loro e trasferirli.
Chi è soggetto alla conformità al GDPR?
Tutte le organizzazioni che raccolgono dati personali di qualsiasi cittadino di uno Stato membro dell'UE devono rispettare il GDPR. Ciò include le organizzazioni che risiedono al di fuori dell'Unione: devono comunque rispettare il GDPR se raccolgono i dati personali di un cittadino di uno stato membro.
La normativa si applica indipendentemente dal metodo utilizzato per raccogliere i dati personali; questo include i dati raccolti con metodi diversi dai siti web e altri strumenti Internet. Il GDPR definisce tre diversi ruoli relativi ai dati personali:
- Soggetto dei dati. Titolare dei dati personali.
- Titolare del trattamento. L'individuo o l'organizzazione che determina quali dati personali raccogliere e come verranno utilizzati.
- Responsabili del trattamento. La persona fisica o l'organizzazione che tratta i dati personali per conto del titolare.
Notifiche di violazione
In caso di violazione della sicurezza che interessi i dati personali memorizzati, il titolare del trattamento deve informare l'autorità di controllo entro 72 ore dalla violazione. L'autorità di controllo è definita come l'autorità pubblica che è stata designata dal paese membro dell'UE per supervisionare la conformità al GDPR.
Alcuni requisiti aggiuntivi rilevanti per le notifiche di violazione includono:
- Qualora la comunicazione non venga effettuata entro le 72 ore assegnate, il titolare del trattamento dovrà fornire il motivo del ritardo.
- Le notifiche di violazione devono includere, come minimo, la natura della violazione, il numero e i tipi di dati personali degli interessati che potrebbero essere compromessi e il numero di record di dati che potrebbero essere coinvolti.
- L'organizzazione di controllo dei dati deve anche descrivere le possibili conseguenze derivanti dalla violazione e descrivere le misure che saranno prese per mitigare gli effetti.
- La notifica della violazione dei dati deve essere consegnata direttamente alle vittime non sotto forma di annuncio generale.
- Il titolare del trattamento deve documentare la violazione e i rimedi applicati, nonché fornire la documentazione all'autorità di controllo per la verifica.
Multe e sanzioni in caso di non conformità
Le sanzioni per la non conformità o per le violazioni dei dati possono essere gravi. Vengono valutati diversi criteri per determinare le sanzioni appropriate, tra cui la gravità della violazione, la durata della violazione, il numero di soggetti interessati dalla violazione e il grado di danno subito dalla violazione.
Altri fattori che potrebbero influenzare le sanzioni includono:
- Se una violazione dei dati è stata causata da negligenza o intenzione
- Mancata tenuta di registrazioni adeguate della raccolta e del trattamento dei dati personali; le multe possono arrivare fino a 10 milioni di euro o al 2% dei ricavi annuali
- Non ottemperare a ordini impartiti dalle Autorità di controllo; queste multe possono arrivare fino a 20 milioni di euro o fino al 4% dei ricavi totali
Se le organizzazioni non si conformano al GDPR, potrebbero incorrere in sanzioni e azioni legali.
Sebbene il GDPR sia in vigore solo da pochi anni, ad oggi sono state inflitte multe significative, come ad esempio:
- British Airways. Più di 200 milioni di euro
- Hotel Marriot. Più di 100 milioni di euro
- Google Inc. 50 milioni di euro
GDPR e dati di terze parti
Esistono diverse normative in materia di dati personali ottenuti da soggetti diversi dagli interessati e relative alla condivisione di dati personali al di fuori dell'UE.
- Un responsabile del trattamento dei dati deve ottenere l'autorizzazione per trasferire i dati a un altro paese o organizzazione internazionale.
- Se i dati personali sono raccolti da fonti diverse dall'interessato, il titolare del trattamento deve fornire all'interessato una descrizione dei dati e della loro origine.
Alcuni critici hanno espresso preoccupazione per il recesso del Regno Unito dall'UE per quanto riguarda l'effetto sulla conformità del paese al GDPR. Il Regno Unito ha aggiornato il suo Data Protection Act del 1998 con una nuova legge chiamata Data Protection Act 2018. La nuova legge è strettamente conforme alle regole definite nel GDPR, ma ci si aspetta che le società del Regno Unito che fanno affari con i clienti o altre organizzazioni negli Stati membri dell'UE per ottemperare al GDPR.
6 passaggi per garantire la conformità al GDPR
Il GDPR descrive i risultati attesi di una gestione dei dati buona e responsabile, ma non definisce alcuna misura tecnica specifica che i raccoglitori di dati devono utilizzare per raggiungere tale obiettivo.
Alcune best practice per garantire la conformità con il GDPR includono:
- Chiedi sempre prima di raccogliere dati personali; gli interessati devono essere partecipanti disponibili.
- Raccogli solo ciò di cui hai veramente bisogno; le organizzazioni saranno responsabili di tutti i dati che raccolgono, indipendentemente dal fatto che li utilizzino o meno.
- Non condividere i dati con altre entità, a meno che gli utenti non abbiano acconsentito e le autorità di vigilanza abbiano approvato la transazione.
- Crittografa tutti i dati personali, sia a riposo che in volo.
- Garantire che almeno due copie di backup aggiornate e sicure di tutti i dati personali siano conservate in due posizioni distinte fuori sede.
- Disporre degli strumenti per modificare o eliminare facilmente elementi specifici di dati personali e per verificare e documentare le azioni.