Regolamenti generali sulla protezione dei dati (GDPR)
I regolamenti generali sulla protezione dei dati (" GDPR " in breve) sono stati molto di recente nelle notizie. Ma quali sono le nuove regole e in che modo influiscono sulla tua attività?
Lo sfondo
Nel 1995 la Commissione europea ha pubblicato la direttiva sulla protezione dei dati . Ciò ha richiesto a tutti gli Stati membri dell'UE di attuare la propria legislazione in materia di protezione dei dati per garantire che i dati personali dei loro cittadini fossero adeguatamente tutelati e per garantire che ai cittadini fossero garantiti diritti specifici per sapere quali dati erano tenuti su di loro da terzi e essere in grado di richiedere che i dati vengano corretti o cancellati, se del caso.
Tuttavia negli anni successivi il rapido sviluppo dei social media, degli smartphone e la continua evoluzione di Internet hanno dimostrato che le protezioni legali esistenti non erano adeguate. Di conseguenza, la Commissione europea ha proposto un nuovo regolamento: i regolamenti generali sulla protezione dei dati. A differenza della precedente direttiva sulla protezione dei dati che consentiva ai singoli membri dell'UE di attuare le regole a modo loro, i regolamenti del GDPR dovevano essere attuati come un unico regolamento a livello UE in un'unica data: il 25 maggio 2018.
Uno degli obiettivi principali del GDPR era estendere l'attuale regime di protezione dei dati in Europa per garantire che tutti i cittadini dell'UE avessero lo stesso livello di protezione, indipendentemente dal fatto che i loro dati fossero trattati o elaborati da un'impresa dell'UE o da un'impresa extra UE. La commissione ha dichiarato che il loro scopo era quello di garantire che tutti i cittadini avessero una serie standard di "diritti digitali" in un'epoca in cui i dati personali erano sempre più importanti per l'economia digitale del futuro.
Perché GDPR è importante?
Il GDPR è importante per tutte le imprese a causa sia dell'ampio ambito di applicazione dei regolamenti, sia a causa delle sanzioni significative in caso di non conformità. In caso di violazioni gravi, le ammende possono raggiungere il maggiore tra 20 milioni di euro o il 4% del fatturato globale .
GDPR estende inoltre la portata della potenziale responsabilità per qualsiasi violazione dei dati. Precedentemente c'era una distinzione tra i "controllori" di dati che possedevano effettivamente "processori" di dati e dati che erano stati contattati dal controllore per fare qualcosa con quei dati. Il primo potrebbe essere responsabile per qualsiasi perdita o uso improprio dei dati personali ma non di quest'ultimo. Tuttavia, in base a GDPR, sia il responsabile del trattamento che il processore saranno responsabili in solido. Ciò significa che una o entrambe le parti possono essere citate in giudizio da persone colpite o multate da autorità di regolamentazione.
Dal momento che molte aziende nel settore tecnologico sono probabilmente processori, ciò significa che con il GDPR queste aziende avranno ora una potenziale responsabilità che non avevano in precedenza!
Cosa richiede realmente GDPR?
GDPR stabilisce una serie di obblighi per chiunque stia controllando o elaborando i dati. Questo non vuole essere una guida esauriente, ma i requisiti di base sono i seguenti:
- Conoscere quali dati controlli e da dove li hai ottenuti
- Per qualsiasi dato che controlli o elabori, assicurati di farlo su base "legale" (ciò verrà spiegato più avanti)
- Adottare misure adeguate per proteggere i dati che controlli o elabora e per mimare eventuali rischi per tali dati
- Nel caso in cui si subappalti qualsiasi trattamento di dati che controlli, è necessario assicurarsi che il processore funzioni a standard di protezione equivalenti
- Dove si detengono dati "personali" o "sensibili" è necessario adottare ulteriori misure per garantire la protezione di tali dati. I dati personali sono ampiamente disegnati - anche un indirizzo email o un indirizzo IP possono essere considerati dati personali!
- Laddove una persona lo richieda, è necessario fornire una copia dei dati che si conservano su di essi in modo rapido e in un formato leggibile dalla macchina ("portabilità dei dati")
- Nel caso in cui un individuo lo richieda, è necessario rimuovere tutti i dati in suo possesso (il "diritto all'oblio")
"Base legale"
"Base legale" è una delle parti più importanti del GDPR. In sostanza richiede che tutti i dati raccolti o elaborati debbano essere fatti su base legale. Se non esiste una base legale, i dati non possono essere raccolti o elaborati e devono essere distrutti.
Esistono diversi scenari che contano come base legale:
- Dove l'utente ha esplicitamente acconsentito alla raccolta e al trattamento dei propri dati. Questa è la base legale più comune ed è anche abbastanza facile da soddisfare. È necessario comunicare all'utente in modo chiaro e inequivocabile quali dati si intende raccogliere e perché lo si sta facendo. Devi quindi dare all'utente la possibilità di aderire a tale raccolta (notare che questo deve essere opt-in e non opt-out)
- Dove è necessario raccogliere dati per soddisfare un contratto. È probabile che ciò sia anche una base legale comune ed è inteso a consentire la raccolta e il trattamento di dati per situazioni comuni come un negozio online che vende beni o servizi. In questa situazione il cliente ha stipulato un contratto acquistando beni o servizi, quindi sarebbe legittimo raccogliere le informazioni di fatturazione e spedizione e trasferirle su un processore di carta di credito, in quanto è necessario per soddisfare effettivamente tale contratto. Tuttavia, l'utilizzo di questi dati per uno scopo diverso (come il marketing) non sarebbe una base legale, in quanto non sarebbe necessario per soddisfare il contratto
- Dove richiesto dalla legge. Potrebbero esserci alcune situazioni in cui i dati devono essere raccolti ed elaborati perché richiesti dalla legge. Un buon esempio potrebbe essere che le banche e le istituzioni finanziarie sono spesso richieste dalla legge per conservare determinati documenti per un massimo di 6 anni
- Dove c'è un interesse vitale. È improbabile che questa base legale si incontri nel mondo degli affari in quanto è destinata a emergenze di vita o di morte e coprirebbe il trattamento dei dati da parte di istituzioni come i servizi di emergenza
- Dove richiesto per un compito pubblico. È anche improbabile che ciò si verifichi in quanto è inteso a consentire ai dipartimenti governativi o ad altri organismi ufficiali di essere in grado di raccogliere ed elaborare dati al fine di svolgere il proprio lavoro. Esempi potrebbero includere studi legali che hanno bisogno di raccogliere ed elaborare dati al fine di fornire un servizio come andare in tribunale
- Infine c'è "interesse legittimo". Questo è deliberatamente redatto in modo abbastanza vago ma essenzialmente consente la raccolta e il trattamento dei dati, c'è un interesse legittimo preponderante nel farlo. Un buon esempio potrebbe essere se una persona ha chiesto di non ricevere email di marketing da un'azienda, quindi ci sarebbe un interesse legittimo a mantenere l'indirizzo email di quella persona per garantire che le email di marketing non vengano inviate a quella persona, piuttosto che cancellare completamente i dati di quella persona e quindi rischiando di inviarli per email in futuro. Tuttavia c'è un bar alto per interesse legittimo - deve essere nell'interesse prevalente dell'individuo e non solo perché è conveniente per l'azienda
Vale anche la pena notare che, laddove i dati raccolti o elaborati siano "sensibili" (in pratica qualsiasi cosa abbia a che fare con razza, religione, preferenze sessuali, affiliazione politica, cartelle cliniche o appartenenza sindacale), si applica una serie molto più severa di requisiti legali - In linea di massima è possibile raccogliere o elaborare tali dati solo se esiste un esplicito consenso da parte dell'utente, è nel travolgente interesse pubblico o è richiesto dalla legge.
Che dire di Reincubate?
Per ulteriori informazioni sui diritti e gli obblighi di Reincubate ai sensi del GDPR, consultare la nostra politica sulla privacy .