Se lavori nel settore della protezione dei dati o sei attivo solo online, probabilmente avrai sentito parlare del GDPR. Redatto e approvato dall’UE, è la legge sulla privacy e sulla sicurezza più severa al mondo. Tuttavia, il GDPR non è esclusivamente correlato ai paesi dell’UE. Perché il GDPR impone obblighi alle organizzazioni di qualsiasi parte del mondo se si trovano in possesso di dati di cittadini dell’UE.
Ecco perché è così importante garantire che la tua azienda sia conforme al GDPR.
Qui spiegheremo cos’è esattamente il GDPR e le importanti implicazioni. Ciò include argomenti di consenso, conformità e dati personali.
Cos'è il GDPR?
Il regolamento generale sulla protezione dei dati (GDPR) è il quadro giuridico che guida la raccolta e il trattamento dei dati personali dei residenti dell’Unione europea (UE). Il quadro è stato adottato per la prima volta nell’aprile 2016, ma non è entrato pienamente in vigore fino a maggio 2018.
Il GDPR è la legge sulla privacy e sulla sicurezza più severa al mondo. Questo perché un sito web è ancora responsabile ai sensi del GDPR anche se non commercializza beni o servizi specificamente ai residenti dell’UE. Qualsiasi sito che attrae visitatori europei è interessato.
Perché è stato implementato il GDPR?
Gli europei considerano da tempo la privacy un diritto necessario. Ecco perché, nella Convenzione europea dei diritti dell’uomo del 1950, è stato codificato che “Ogni individuo ha diritto al rispetto della sua vita privata e familiare, della sua casa e della sua corrispondenza”.
Tuttavia, la convenzione è stata oscurata dal progresso tecnologico.
Nel 1995, quindi, l’UE ha approvato la direttiva europea sulla protezione dei dati – per stabilire standard minimi di privacy e sicurezza dei dati. Utilizzando questi standard, ogni Stato membro redigerebbe la propria legislazione.
Ciò che gli standard non sono riusciti ad apprezzare è stata la vastità della raccolta di dati personali. Ciò che era necessario era un modo per garantire il consenso pubblico, fondamentale per l’atteggiamento dell’UE sulla privacy – quindi l’UE è tornata al tavolo da disegno.
Con un numero sempre maggiore di dati personali trovati online, l’UE si è mossa per aumentare la protezione dei cittadini dell’UE in modo energico. Sono state sollevate preoccupazioni in merito alla limitata portata regionale delle precedenti iniziative legislative, nonostante la portata globale della sfera online. Pertanto, i legislatori dell’UE hanno proposto una regolamentazione con una portata veramente globale.
Il risultato è stato GDPR.
Quali sono i principi del GDPR?
Nell’ambito del GDPR, sono stati delineati sette principi generali. Questi includono:
- Legalità, correttezza e trasparenza. Tutta la raccolta dei dati deve essere lecita, equa e trasparente per l’individuo.
- Limitazione dello scopo. La raccolta dei dati dovrebbe essere limitata solo alle finalità essenziali.
- Minimizzazione dei dati. Non vengono raccolti dati personali irrilevanti: devono riguardare lo scopo dichiarato.
- Accuratezza. I dati personali devono essere accurati e aggiornati.
- Limitazione dell’archiviazione. I dati personali possono essere conservati solo per il tempo necessario allo scopo dichiarato.
- Integrità e riservatezza. I dati personali consentiti per la raccolta devono essere mantenuti sicuri e protetti.
- Responsabilità. Il titolare del trattamento deve dimostrare in che modo sono conformi al GDPR.
Diritti sulla privacy e GDPR
Oltre ai sette principi, il GDPR riconosce anche molti diritti alla privacy per gli interessati. L’obiettivo fondamentale è quello di dare agli utenti un maggiore controllo e accesso ai propri dati personali. Pertanto, i dati personali non sono più di proprietà delle organizzazioni, ma semplicemente prestati per un certo periodo.
I diritti alla privacy per gli interessati includono:
- Il diritto di essere informati
- Il diritto di accesso
- Diritto di rettifica
- Il diritto alla cancellazione
- Il diritto di limitare il trattamento
- Il diritto alla portabilità dei dati
- Diritto di opposizione
- Diritti in relazione al processo decisionale automatizzato e alla profilazione
Quali sono i requisiti previsti dal GDPR?
Hai notato quelle scatole di biscotti su un sito web? Questo è il risultato del GDPR. Sono stati implementati in quanto, per essere conformi al GDPR, i clienti devono essere esplicitamente soddisfatti di qualsiasi raccolta di informazioni. Poiché i “cookie” sono piccoli file di dati personali, rientrano nel suo mandato.
Tuttavia, non sono tutti i requisiti del GDPR.
A seguito di una violazione dei dati, i siti devono informare tempestivamente i visitatori se i loro dati personali sono interessati. Dovranno farlo, anche se la loro legislazione locale non è così severa.
Inoltre, le organizzazioni devono condurre una revisione della sicurezza dei dati per garantire la conformità. E valutare se è necessario un responsabile della protezione dei dati (DPO) dedicato. Gli utenti del sito devono inoltre poter contattare il titolare del trattamento e chiedere la cancellazione dei propri dati personali.
Infine, tutte le informazioni di identificazione personale (PII) devono essere rese anonime; Il semplice consenso non è sufficiente. La pseudonimizzazione è consentita anche quando uno pseudonimo sostituisce l’identità di un consumatore. Ciò consente ai responsabili del trattamento dei dati di condurre comunque analisi dei dati senza mettere a repentaglio la privacy degli utenti.
Cosa succede se non sei conforme al GDPR?
Supponiamo che tu non riesca a ottenere il consenso esplicito per la raccolta dei dati personali? Non sei più conforme al GDPR.
Quindi, cosa succede?
Nella maggior parte dei casi, gravi violazioni del GDPR comporteranno multe salate fino a £ 17.000.000. Tuttavia, in alcuni casi, i regolatori di applicazione del GDPR potrebbero non multare l’azienda, ma richiedere semplicemente un’azione da parte del proprietario del sito.
Potrebbe sembrare migliore, tuttavia, può ancora offuscare in modo significativo la reputazione della tua azienda, portando a una perdita di clienti.
In entrambi i casi, la mancata conformità al GDPR può affondare e affonda le aziende. La maggior parte non ha i fondi necessari per pagare le multe da far venire l’acquolina in bocca, né subisce la perdita di affari.
Ciò ha portato ad alcune severe critiche al GDPR. I critici sostengono che ha creato un onere amministrativo eccessivo. C’è anche preoccupazione che, da un lato, le linee guida siano troppo vaghe per alcune aree, ad esempio i dati dei dipendenti. Mentre, d’altra parte, c’è la preoccupazione che l’onere legislativo continuerà ad aumentare nel tempo, ostacolando ulteriormente le attività online.
Conclusione
Qualunque sia la tua opinione sul GDPR, è qui per restare. Con quasi tutte le attività online significative interessate, è essenziale conoscere i dettagli del GDPR per rimanere conformi.
Se ritieni di essere interessato dal GDPR, ti consigliamo vivamente di leggere il regolamento di 88 pagine stesso.
Fonti:
https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp
https://dma.org.uk/article/what-is-gdpr-and-why-is-it-important
https://gdpr.eu/what-is-gdpr/?cn-reloaded=1
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/711097/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf