Cos'è il GDPR?La nuova legge europea sulla privacy e sulla sicurezza dei dati include centinaia di pagine di nuovi requisiti per le organizzazioni di tutto il mondo.Questa panoramica del GDPR ti aiuterà a comprendere la legge e a determinare quali parti di essa si applicano al tuo caso. Il Regolamento generale sulla protezione dei dati (GDPR) è la legge sulla privacy e sulla sicurezza più severa al mondo.Sebbene sia stato redatto e approvato dall’Unione Europea (UE), impone obblighi alle organizzazioni ovunque, a condizione che prendano di mira o raccolgano dati relativi alle persone nell’UE.Il regolamento è entrato in vigore il 25 maggio 2018. Il GDPR imporrà dure multe contro coloro che violano i suoi standard di privacy e sicurezza, con sanzioni che raggiungono le decine di milioni di euro.
Con il GDPR, l’Europa segnala la sua ferma posizione sulla privacy e la sicurezza dei dati in un momento in cui sempre più persone affidano i propri dati personali a servizi cloud e le violazioni sono all’ordine del giorno.Il regolamento in sé è ampio, di vasta portata e abbastanza limitato nei dettagli, rendendo la conformità al GDPR una prospettiva scoraggiante, in particolare per le piccole e medie imprese (PMI).
Abbiamo creato questo sito Web per fungere da risorsa per i proprietari e i manager delle PMI per affrontare le sfide specifiche che potrebbero dover affrontare.Sebbene non sostituisca la consulenza legale, può aiutarti a capire dove concentrare i tuoi sforzi di conformità al GDPR.Offriamo anche suggerimenti sugli strumenti per la privacy e su come mitigare i rischi.Man mano che il GDPR continua a essere interpretato, ti terremo aggiornato sull'evoluzione delle migliori pratiche.
Se hai trovato questa pagina — 'cos'è il GDPR?' — è probabile che tu stia cercando un corso intensivo.Forse non hai ancora trovato nemmeno il documento vero e proprio (consiglio: ecco il regolamento completo).Forse non hai tempo per leggere tutto.Questa pagina è per teIn questo articolo, cerchiamo di demistificare il GDPR e, speriamo, di renderlo meno opprimente per le PMI preoccupate per la conformità al GDPR.
Storia del GDPR Il diritto alla privacy fa parte della Convenzione europea dei diritti dell'uomo del 1950, che afferma: 'Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza'. Su questa base l'Unione europea ha cercato di garantire la tutela di tale diritto attraverso la legislazione.
Con il progresso della tecnologia e l’invenzione di Internet, l’UE ha riconosciuto la necessità di protezioni moderne.Così nel 1995 ha approvato la Direttiva europea sulla protezione dei dati, stabilendo standard minimi di privacy e sicurezza dei dati, su cui ciascuno Stato membro ha basato la propria legge di attuazione.Ma Internet si stava già trasformando nei dati Hoover che è oggi.Nel 1994 è apparso online il primo banner pubblicitario.Nel 2000, la maggior parte degli istituti finanziari offriva servizi bancari online.Nel 2006 Facebook ha aperto al pubblico.Nel 2011, un utente di Google ha citato in giudizio l'azienda per aver scansionato le sue email.Due mesi dopo, l'autorità europea per la protezione dei dati ha dichiarato che l'UE necessitava di 'un approccio globale alla protezione dei dati personali' e sono iniziati i lavori per aggiornare la direttiva del 1995.
Il GDPR è entrato in vigore nel 2016 dopo l’approvazione del Parlamento Europeo e dal 25 maggio 2018 tutte le organizzazioni dovevano essere conformi.
Ambito, sanzioni e definizioni chiave In primo luogo, se tratti i dati personali di cittadini o residenti dell’UE, o offri beni o servizi a tali persone, il GDPR si applica a te anche se non ti trovi nell’UE.Ne parliamo meglio in un altro articolo.
In secondo luogo, le sanzioni per la violazione del GDPR sono molto elevate.Esistono due livelli di sanzioni, che raggiungono un massimo di 20 milioni di euro o il 4% delle entrate globali (a seconda di quale sia il più alto), inoltre gli interessati hanno il diritto di chiedere un risarcimento per i danni.Parliamo anche di più delle sanzioni GDPR.
Il GDPR definisce ampiamente una serie di termini legali.Di seguito sono riportati alcuni dei più importanti a cui facciamo riferimento in questo articolo:
Dati personali: i dati personali sono tutte le informazioni relative a un individuo che può essere identificato direttamente o indirettamente.Nomi e indirizzi email sono ovviamente dati personali.Anche informazioni sulla posizione, etnia, sesso, dati biometrici, credenze religiose, cookie web e opinioni politiche possono essere dati personali.Anche i dati pseudonimi possono rientrare nella definizione se è relativamente facile identificare qualcuno da essi.
Elaborazione dei dati: qualsiasi azione eseguita sui dati, sia automatizzata che manuale.Gli esempi citati nel testo includono la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'utilizzo, la cancellazione... quindi praticamente qualsiasi cosa.
Interessato: la persona i cui dati vengono trattati.Questi sono i tuoi clienti o visitatori del sito.
Titolare del trattamento: la persona che decide perché e come verranno trattati i dati personali.Se sei un proprietario o un dipendente della tua organizzazione che gestisce i dati, questo sei tu.
Responsabile del trattamento dei dati – Una terza parte che tratta i dati personali per conto di un responsabile del trattamento dei dati.Il GDPR prevede regole speciali per questi individui e organizzazioni.Potrebbero includere server cloud come Tresorit o fornitori di servizi di posta elettronica come Proton Mail.
Cosa dice il GDPR riguardo... Nel resto di questo articolo spiegheremo brevemente tutti i principali punti normativi del GDPR.
Principi di protezione dei dati Se tratti dati, devi farlo secondo i sette principi di protezione e responsabilità delineati nell'Articolo 5.1-2:
Liceità, correttezza e trasparenza: il trattamento deve essere lecito, corretto e trasparente per l’interessato.
Limitazione delle finalità: è necessario trattare i dati per gli scopi legittimi specificati esplicitamente all'interessato al momento della raccolta.
Minimizzazione dei dati: è necessario raccogliere ed elaborare solo la quantità di dati assolutamente necessaria per gli scopi specificati.
Accuratezza: è necessario mantenere i dati personali accurati e aggiornati.
Limitazione di archiviazione: è possibile archiviare i dati di identificazione personale solo per il tempo necessario allo scopo specificato.
Integrità e riservatezza: il trattamento deve essere effettuato in modo tale da garantire un'adeguata sicurezza, integrità e riservatezza (ad esempio utilizzando la crittografia).
Responsabilità: il titolare del trattamento dei dati ha la responsabilità di poter dimostrare la conformità al GDPR con tutti questi principi.
Responsabilità
Il GDPR afferma che i titolari del trattamento dei dati devono essere in grado di dimostrare di essere conformi al GDPR.E questo non è qualcosa che puoi fare a fatto avvenuto: se pensi di essere conforme al GDPR ma non puoi dimostrare come, allora non sei conforme al GDPR.Tra i modi in cui puoi farlo:
Assegna le responsabilità in materia di protezione dei dati al tuo team.
Conserva una documentazione dettagliata dei dati che raccogli, come vengono utilizzati, dove sono archiviati, quale dipendente ne è responsabile, ecc.
Forma il tuo personale e implementa misure di sicurezza tecniche e organizzative.
Disporre di contratti di accordo sull'elaborazione dei dati con terze parti con cui contrai l'elaborazione dei dati per te.
Nomina un responsabile della protezione dei dati (anche se non tutte le organizzazioni ne hanno bisogno, ne parleremo più approfonditamente in questo articolo).
La sicurezza dei dati
Sei tenuto a gestire i dati in modo sicuro implementando 'misure tecniche e organizzative adeguate'.
Per misure tecniche si intende qualsiasi cosa, dalla richiesta ai dipendenti di utilizzare l'autenticazione a due fattori sugli account in cui sono archiviati i dati personali fino alla stipula di contratti con fornitori di servizi cloud che utilizzano la crittografia end-to-end.
Le misure organizzative sono cose come la formazione del personale, l'aggiunta di una politica sulla privacy dei dati al manuale del dipendente o la limitazione dell'accesso ai dati personali solo ai dipendenti della tua organizzazione che ne hanno bisogno.
In caso di violazione dei dati, hai 72 ore per informare gli interessati o incorrere in sanzioni.(È possibile derogare a questo requisito di notifica se si utilizzano misure di sicurezza tecnologiche, come la crittografia, per rendere i dati inutilizzabili per un utente malintenzionato.)
Protezione dei dati fin dalla progettazione e per impostazione predefinita
D'ora in poi, tutto ciò che fai nella tua organizzazione deve, 'per impostazione predefinita e per impostazione predefinita,' considerare la protezione dei dati.In pratica, ciò significa che è necessario considerare i principi di protezione dei dati nella progettazione di qualsiasi nuovo prodotto o attività.Il GDPR tratta questo principio all’articolo 25.
Supponiamo, ad esempio, che tu stia lanciando una nuova app per la tua azienda.Devi pensare a quali dati personali l'app potrebbe raccogliere dagli utenti, quindi considerare i modi per ridurre al minimo la quantità di dati e come proteggerli con la tecnologia più recente.
Quando ti è consentito elaborare i dati
L'articolo 6 elenca i casi in cui è legale trattare dati personali.Non pensare nemmeno di toccare i dati personali di qualcuno (non raccoglierli, non archiviarli, non venderli agli inserzionisti) a meno che tu non possa giustificarlo con una delle seguenti:
L'interessato ha fornito un consenso specifico e inequivocabile al trattamento dei dati.(ad esempio, hanno aderito alla tua lista di posta elettronica di marketing.)
Il trattamento è necessario per l'esecuzione o la preparazione alla conclusione di un contratto di cui l'interessato è parte.(ad esempio, è necessario effettuare un controllo dei precedenti prima di affittare la proprietà a un potenziale inquilino.)
È necessario elaborarli per adempiere a un tuo obbligo legale.(ad esempio, ricevi un'ordinanza dal tribunale della tua giurisdizione.)
È necessario elaborare i dati per salvare la vita di qualcuno.(ad esempio, probabilmente saprai quando si applica questo.)
Il trattamento è necessario per svolgere un compito di interesse pubblico o per svolgere qualche funzione ufficiale.(ad esempio, sei un'azienda privata di raccolta rifiuti.)
Hai un interesse legittimo a trattare i dati personali di qualcuno.Questa è la base giuridica più flessibile, anche se i 'diritti e le libertà fondamentali dell'interessato' prevalgono sempre sui tuoi interessi, soprattutto se si tratta di dati di bambini.(È difficile fornire un esempio qui perché ci sono una serie di fattori che dovrai considerare per il tuo caso. L'ufficio del Commissario per l'informazione del Regno Unito fornisce indicazioni utili qui.)
Una volta determinata la base legale per il trattamento dei dati, è necessario documentare tale base e informare l'interessato (trasparenza!).E se in seguito decidi di modificare la tua giustificazione, devi avere una buona ragione, documentarla e avvisare l'interessato.
Consenso
Esistono nuove regole rigide su ciò che costituisce il consenso di un interessato al trattamento delle sue informazioni.
Il consenso deve essere 'liberamente prestato, specifico, informato e inequivocabile'.
Le richieste di consenso devono essere 'chiaramente distinguibili dalle altre questioni' e presentate in 'un linguaggio chiaro e semplice'.
Gli interessati possono revocare il consenso precedentemente fornito ogni volta che lo desiderano e tu devi onorare la loro decisione.Non è possibile semplicemente sostituire la base giuridica del trattamento con una delle altre giustificazioni.
I bambini sotto i 13 anni possono dare il consenso solo con il permesso dei genitori.
È necessario conservare la prova documentale del consenso.
Responsabili della protezione dei dati
Contrariamente alla credenza popolare, non tutti i titolari o responsabili del trattamento dei dati devono nominare un responsabile della protezione dei dati (DPO).Sono tre le condizioni alle quali è obbligatorio nominare un DPO:
Siete un'autorità pubblica diversa da un tribunale che agisce in veste giudiziaria.
Le tue attività principali richiedono il monitoraggio sistematico e regolare delle persone su larga scala.(ad esempio, sei Google.)
Le vostre attività principali sono il trattamento su larga scala di categorie particolari di dati elencati nell'articolo 9 del GDPR o dati relativi a condanne penali e reati menzionati nell'articolo 10. (ad esempio siete uno studio medico.)
Potresti anche scegliere di designare un DPO anche se non sei obbligato a farlo.Ci sono vantaggi nell'avere qualcuno in questo ruolo.I loro compiti di base riguardano la comprensione del GDPR e il modo in cui si applica all’organizzazione, consigliando le persone all’interno dell’organizzazione sulle loro responsabilità, conducendo corsi di formazione sulla protezione dei dati, conducendo audit e monitorando la conformità al GDPR e fungendo da collegamento con le autorità di regolamentazione.
Approfondiremo il ruolo del DPO in un altro articolo.
Il diritto alla privacy delle persone
Sei un titolare del trattamento e/o un responsabile del trattamento.Ma in quanto persona che utilizza Internet, sei anche un interessato.Il GDPR riconosce una serie di nuovi diritti alla privacy per gli interessati, che mirano a dare agli individui un maggiore controllo sui dati che prestano alle organizzazioni.Come organizzazione, è importante comprendere questi diritti per garantire la conformità al GDPR.
Di seguito è riportato un riepilogo dei diritti alla privacy degli interessati:
Il diritto ad essere informati
Il diritto di accesso
Il diritto di rettifica
Il diritto alla cancellazione
Il diritto di limitare il trattamento
Il diritto alla portabilità dei dati
Il diritto di opposizione
Diritti in relazione al processo decisionale automatizzato e alla profilazione.
Conclusione
Abbiamo appena trattato tutti i punti principali del GDPR in poco più di 2.000 parole.Il regolamento stesso (escluse le direttive di accompagnamento) è di 88 pagine.Se sei interessato dal GDPR, ti consigliamo vivamente di farlo leggere a qualcuno nella tua organizzazione e di consultare un avvocato per assicurarti di essere conforme al GDPR.
