Termine ultimo per la conformità al GDPR: come essere conformi in un inglese semplice

Pubblicato: 2018-05-15
Roshni Shaikh
Collaboratore ospite

Basti pensare a cosa ha spinto aziende come Google, LinkedIn, Twitter e simili a modificare i propri termini e le proprie politiche sulla privacy una dopo l'altra. Devi aver notato le notifiche ormai.

Sì, Facebook è già sotto i riflettori per le discrepanze dei dati degli utenti. Ma guarda cosa sta succedendo a tutte le politiche sui cookie. Le aziende stanno aggiornando rapidamente i loro termini.

Cosa sta scatenando questa frenesia? Naturalmente, questo sta accadendo a causa di una legge che è riuscita a scuotere il mondo degli affari: il GDPR

La legge GDPR dell'Unione Europea entra in vigore dal 25 maggio 2018. Questo è stato nelle notizie sin dal suo inizio e adozione da parte del Parlamento dell'UE nell'aprile 2016.

La legge riguarderà le aziende che gestiscono una grande quantità di dati. Ciò vale per tutti i dati dei cittadini dell'UE, indipendentemente dalla loro ubicazione.

Che cos'è il GDPR e perché viene lanciato?

In parole povere, in quanto residente nell'UE, i miei dati sono protetti grazie al GDPR.

GDPR sta per Regolamento generale sulla protezione dei dati. Sostituisce la vecchia e obsoleta direttiva sulla protezione dei dati del 1995. Il GDPR è più rilevante oggi poiché molte cose sono cambiate in un periodo di due decenni.

I rapidi progressi tecnologici e l'elaborazione/utilizzo dei dati da parte delle aziende hanno portato a realizzare la necessità di una legge come il GDPR.

Questo nuovo regolamento sta entrando in vigore per restituire il controllo dei dati personali ai cittadini dell'UE. Viene messo in atto per controllare la capacità di un'azienda di sfruttare i dati personali del pubblico. Il GDPR viene lanciato per dare ai cittadini i loro diritti digitali .

Questa legge non richiede ai governi nazionali di approvare alcuna legislazione sanzionatoria. Ciò significa che è naturalmente applicabile a qualsiasi persona, organizzazione o impresa che tratti i dati dei cittadini dell'UE.

Questa legge si applica alla tua azienda indipendentemente dal fatto che la tua azienda operi a livello business to business o business to consumer.

In che modo il GDPR influenzerà la tua attività?

Riguardo all'effetto che l'ondata del GDPR ha avuto, ci sono sia buone che cattive notizie. Vediamo perché.

Alcuni proprietari di piccole imprese sono in preda al panico e si lamentano dell'improvviso sovraccarico di lavoro. Russel Xiam, proprietario di una società di assistenza prodotti, afferma che c'è così tanto da fare per migrare a piattaforme software conformi al GDPR.

Pianificare il GDPR equivale a rivedere le scelte aziendali. Russel Xiam

Ciò implica che le piccole imprese sono le più colpite.

John Higham, proprietario di Azybao, una società di project management, ha affermato che le persone si rifiutano di fare affari con le aziende europee perché temono di finire nel guaio.

Isabelle Trijt, un funzionario delle risorse umane dalla Germania, afferma:

Ho dovuto modificare/cambiare/eliminare le politiche di assunzione e assunzione dei dipendenti in modo da rimanere all'interno del cerchio conforme al GDPR. Ho dovuto anche assumermi la responsabilità di cancellare tutti i vecchi record contenenti i dati degli intervistati passati.

Per aggiungere a ciò, un imprenditore a Bruxelles è migrato a MailChimp da Convertkit perché Convertkit non offriva un'opzione di casella di controllo che consentisse all'utente di "scegliere" i dati. Ciò implica che gli imprenditori stanno abbandonando i fornitori di servizi di posta elettronica che non danno più controllo all'utente, sebbene Convertkit abbia aggiornato il loro funzionamento a partire da oggi.

Questo ha senso perché tu, come azienda, non dovresti essere messo in pericolo a causa delle regole che il tuo provider di servizi di posta elettronica non ha seguito. Dopotutto, il risponditore di posta elettronica potrebbe avere politiche che non si ritengono responsabili per eventuali perdite causate alla tua attività, giusto?

Sebbene sia raro che si verifichi uno scenario del genere, sarai comunque ritenuto responsabile per non essere conforme alle leggi in quanto è tuolista di posta elettronica.

D'altra parte, Sidney Burks, CTO e co-fondatore di Ivizone dalla Francia, afferma:

Le nuove politiche non hanno avuto un effetto enorme sulla nostra attività. Ciò potrebbe essere in gran parte dovuto al fatto che la legge francese prevedeva già requisiti piuttosto severi in materia di protezione dei dati e privacy. Il GDPR ci ha obbligato a portare la privacy dei dati al centro dei nostri prodotti e a pensarci da zero, tuttavia, mentre stiamo sviluppando una nuova versione per il nostro prodotto, siamo stati in grado di farlo in modo pulito ed efficiente.

Sidney aggiunge anche che il GDPR ha costretto le aziende a mettere in ordine le loro data house. Ora hanno aggiunto criteri aggiuntivi per eliminare i dati obsoleti e non necessari e rafforzato le politiche di sicurezza interne relative all'archiviazione e all'accesso ai dati. Ciò significa che forniscono un livello più elevato di sicurezza dei dati ai propri clienti.

Pertanto, se la tua azienda o organizzazione gestisce ed elabora i dati degli utenti, dovresti preoccuparti della sicurezza dei dati degli utenti. In questo caso sei obbligato a essere conforme al GDPR. Se la tua azienda non rispetta la legge GDPR, potresti dover affrontare pesanti sanzioni.

La sanzione più alta per la deviazione più grave ti costerà il 4% del tuo fatturato globale o 20 milioni di euro, a seconda di quale sia più alta (ulteriori informazioni sulle sanzioni nelle sezioni successive).

La legge GDPR si applica a ____?

C'è una grande confusione su chi si applica la legge. Ci sono poche fonti che parlano di cittadini dell'UE e ce ne sono altre che parlano di residenti nell'UE.

La confusione sorge quando le persone con diritti GDPR sono indicate come "interessati". Ma chi sono questi interessati?

Interessati, chi sono?

Il GDPR si applica a tutti i dati dei cittadini dell'UE?

O si applica solo alle persone che risiedono nell'UE?

L'interessato è definito come una persona fisica i cui dati personali sono trattati da un titolare o responsabile del trattamento. Il responsabile del trattamento o responsabile del trattamento potrebbe essere un'azienda o un'entità alle dipendenze dell'azienda che specifica il funnel di elaborazione dei dati.

Il termine “interessato” non ha una definizione specifica. In effetti, è una connotazione. Il GDPR richiede alle aziende di proteggere la privacy e le informazioni personali dei cittadini dell'UE in tutte le transazioni che si verificano all'interno degli Stati membri dell'UE. Secondo Cyber ​​Counsel, qualsiasi persona presente negli Stati membri dell'UE in un determinato momento diventa un interessato.

Quali sono i tipi di dati soggetti a controllo?

Il GDPR considera tutti i dati personali relativi a una persona fisica come un'appartenenza di tale persona. Il tipo di dati può includere:

  • Informazioni digitali
  • Dati biometrici
  • Dati genetici
  • Dati crittografati
  • Dati personali

I diritti dell'interessato:

1. Secondo il GDPR dell'UE, puoi scegliere di essere un interessato o meno. Ciò significa che puoi rifiutarti di ricevere il trattamento dei tuoi dati e, così facendo, eserciterai il tuo diritto a non essere un interessato.
2. Se scegli di essere un interessato, hai il diritto di essere informato sui tuoi dati. Detieni il diritto di richiedere l'elaborazione di tutte le informazioni che coinvolgono le tue informazioni personali.

3. Ti viene inoltre conferito pieno potere e autorità per modificare i tuoi dati personali o ritirarli in qualsiasi momento. Questo è il motivo principale per cui le aziende dovrebbero fornire opzioni di checkbox (discusse nella sezione precedente) per dare all'utente maggiore libertà e potere per ottenere il proprio consenso.

4. L'interessato può altresì opporsi al trattamento di alcuni/o di tutti i suoi dati qualora ritenga che i dati oggetto del trattamento siano inesatti o non corretti.

5. L'interessato può anche opporsi o opporsi al trasferimento dei propri dati da un prestatore di servizi a un altro. In aggiunta a ciò, in qualità di interessato, puoi anche richiedere la cancellazione dei tuoi dati dagli archivi. Ma tale diritto potrebbe non essere acquisito dall'interessato se i dati oggetto di trattamento sono per scopi legali, di salute pubblica, di ricerca, ecc.

In breve, si applica a tutti i residenti nell'UE indipendentemente dall'ubicazione dell'impresa, dall'organizzazione o dalla loro cittadinanza. E la violazione dei diritti degli interessati comporta pesanti sanzioni.

Quali sono i fattori che determinano una sanzione?

1. Violazioni passate – Se hai una storia di violazioni, dal punto di vista del GDPR o della Direttiva sulla protezione dei dati precedentemente attiva, questo sarà un fattore che determina l'importo della sanzione.
2. Causa – La violazione potrebbe essere intenzionale e con scopo di lucro. Oppure sarebbe stato il risultato di un passo trascurabile. In ogni caso, l'organo decisionale fissa l'importo della sanzione in base alla causa.
3. Tipo di informazione – Dipende dalla classificazione delle informazioni utilizzate. Ad esempio, un'azienda potrebbe aver utilizzato dati genetici o biometrici di una o più persone per scopi commerciali. Ciò potrebbe comportare una sanzione maggiore rispetto a informazioni come i dettagli sull'occupazione. Anche in questo caso, la sanzione è fissata interamente all'interno della discrezionalità e dei limiti delle leggi dell'UE.
4. Soluzioni e misure – Se hai adottato misure per mitigare i danni causati a una persona oa un gruppo di persone direttamente interessate dalla tua attività, anche questo diventerà un fattore decisivo.
5. Misure preventive – L'UE ha avuto un periodo di transizione di 2 anni prima di entrare in vigore e la piena applicazione a maggio 2018. Se la tua azienda ha adottato misure per rimanere conforme alle leggi GDPR e tuttavia si è verificata una violazione, questa sarà un punto da evidenziare prima che venga fissata la penalità.
6. Intenzione – Se il danno ai dati è stato intenzionale, questo potrebbe essere un fattore scatenante per una penalità.
7. Collaborazione e Rapporti – Se l'impresa è stata obbligata a collaborare con l'autorità di vigilanza per riparare il danno ed eventualmente annullare la violazione, questo funge da positivo che può ridurre la sanzione.
8. Segnalazione – Se la violazione è stata segnalata in modo proattivo dall'ente violatore stesso o se è stata portata a conoscenza da una fonte secondaria.

Si prega di notare che nessuno dei suddetti fattori garantisce una specifica sanzione poiché la determinazione dell'ammenda è completamente a discrezione delle leggi dell'UE.

Per ulteriori informazioni, fare riferimento ai principi fondamentali che portano all'applicazione della legge GDPR qui .

Nomina di un responsabile della protezione dei dati (DPO)

I dati in elaborazione nella tua azienda potrebbero dover essere sottoposti a monitoraggio. Se hai bisogno di aiuto per organizzare la tua attività per conformarsi al GDPR, l'organismo dell'UE consiglia di cercare la consulenza di esperti.

Ciascuno degli Stati membri dell'UE può nominare una o più autorità pubbliche indipendenti per contribuire a monitorare il rispetto delle leggi sui dati.

Secondo il GDPR, i responsabili della protezione dei dati dovrebbero essere nominati se la tua azienda opera ai seguenti livelli:

1. Organizzazioni che agiscono in qualità di autorità pubbliche

2. Aziende che si occupano di aggregazione e monitoraggio di dati su larga scala

3. Società che si occupano di trattamento su larga scala di informazioni personali cruciali

5 Miti sul GDPR

1. Le società statunitensi sono pesantemente colpite – Tutte le società (non solo le società statunitensi) con clienti dell'UE devono rispettare la legge.

2. I proprietari di piccole imprese non devono preoccuparsi del GDPR – Un'impresa piccola o grande: se gestisce i dati degli utenti, dovrebbe essere conforme al GDPR.

3. Il consenso dell'utente non è obbligatorio se l'utente sceglie di inserire le proprie informazioni personali durante l'abbonamento – Il consenso esplicito dell'utente sotto forma di casella di controllo è obbligatorio dal 25 maggio 2018.

4. Se non stai facendo affari all'interno dell'UE, non dovresti preoccuparti: se sei un'azienda che si occupa di dati dei cittadini dell'UE, indipendentemente dall'ubicazione dei cittadini, si applica il GDPR.

5. I dati dell'utente sono solo i dati forniti dagli utenti – Qualsiasi dato raccolto, generato, modificato, trasformato o acquisito sotto forma di cookie, il comportamento dell'utente è sempre un dato dell'utente.

Conclusione

Se sei un'azienda con un sito Web che raccoglie informazioni personali degli interessati, ora sei obbligato a implementare metodi legalmente conformi per acquisire informazioni sull'utente. Ad esempio, se hai un pop-up o un modulo di iscrizione sul tuo sito web, l'unico modo per assicurarti di ottenere il consenso dell'utente è:

  • Implementazione del metodo double opt-in che raggruppa solo i membri interessati con consenso.
  • Dare all'utente la possibilità di scegliere di regolare i propri dati.
  • Dare all'utente la possibilità di annullare l'iscrizione.
  • Garantire che tutti i servizi di terze parti che utilizzi siano conformi al GDPR.
  • Tenere sotto controllo le procedure di acquisizione dei dati.
  • Comunicare le vostre politiche sulla privacy in modo trasparente.
  • Designare un responsabile della protezione dei dati o educare e formare la tua azienda per evitare la violazione dei dati.
  • Garantire controlli regolari dei dati e accessibilità.
  • Ridurre al minimo i dati che conservi ed elabori.

Disclaimer: le informazioni di cui sopra sono esclusivamente a scopo informativo e di riferimento. Non rappresenta una consulenza legale. Si prega di rivolgersi a un consulente legale per qualsiasi ulteriore consiglio.