Cos'è il GDPR?
Ecco le basi del GDPR.
Il regolamento generale sulla protezione dei dati dell'UE (GDPR) è il risultato di quattro anni di lavoro da parte dell'UE per allineare la legislazione sulla protezione dei dati a nuovi e precedentemente imprevisti modi in cui i dati vengono ora utilizzati.
Attualmente, il Regno Unito fa affidamento sulla legge sulla protezione dei dati del 1998, che è stata emanata in seguito alla direttiva sulla protezione dei dati dell'UE del 1995, ma sarà sostituita dalla nuova legislazione. Introduce multe più severe per non conformità e violazioni e dà alle persone più informazioni su ciò che le società possono fare con i loro dati. Inoltre, rende le norme sulla protezione dei dati più o meno identiche in tutta l'UE.
Perché è stato redatto il GDPR?
I driver dietro il GDPR sono duplici. In primo luogo, l'UE vuole dare alle persone un maggiore controllo sul modo in cui vengono utilizzati i loro dati personali, tenendo presente che molte aziende come Facebook e Google scambiano l'accesso ai dati delle persone per l'uso dei loro servizi. L'attuale legislazione è stata emanata prima che Internet e la tecnologia cloud creino nuovi modi di sfruttare i dati e il GDPR cerca di risolverli. Rafforzando la legislazione in materia di protezione dei dati e introducendo misure di applicazione più severe, l'UE spera di migliorare la fiducia nell'economia digitale emergente.
In secondo luogo, l'UE vuole offrire alle imprese un ambiente giuridico più semplice e chiaro in cui operare, rendendo la legge sulla protezione dei dati identica in tutto il mercato unico (l'UE stima che ciò farà risparmiare alle imprese 2,3 miliardi di euro l'anno).
Quando si applicherà il GDPR?
Il GDPR si applicherà in tutti gli stati membri dell'UE dal 25 maggio 2018. Poiché il GDPR è un regolamento, non una direttiva, il Regno Unito non ha bisogno di redigere una nuova legislazione - invece, si applicherà automaticamente. Mentre è entrato in vigore il 24 maggio 2016, dopo che tutte le parti dell'UE hanno accettato il testo finale, le imprese e le organizzazioni hanno tempo fino al 25 maggio 2018 fino a quando la legge non si applicherà effettivamente a loro.
Quindi a chi si rivolge il GDPR?
I "controllori" e i "processori" di dati devono rispettare il GDPR. Un controller di dati indica come e perché i dati personali vengono elaborati, mentre un processore è la parte che esegue l'elaborazione effettiva dei dati. Quindi il controllore potrebbe essere qualsiasi organizzazione, da una società a scopo di lucro a un'organizzazione benefica o governativa. Un processore potrebbe essere un'azienda IT che esegue l'elaborazione dei dati effettiva.
Anche se controllori e processori si trovano al di fuori dell'UE, il GDPR si applicherà comunque a loro purché si occupino di dati appartenenti ai residenti nell'UE.
È responsabilità del responsabile del trattamento assicurare che il loro processore rispetti le leggi sulla protezione dei dati e che i processori debbano rispettare le regole per mantenere le registrazioni delle loro attività di elaborazione. Se i processori sono coinvolti in una violazione dei dati, sono molto più responsabili secondo GDPR di quanto non fossero in base al Data Protection Act.
Quando è possibile elaborare i dati con GDPR?
Una volta entrata in vigore la legislazione, i responsabili del trattamento devono garantire che i dati personali siano trattati in modo lecito, trasparente e per uno scopo specifico. Una volta che lo scopo è soddisfatto e i dati non sono più necessari, dovrebbero essere cancellati.
Cosa si intende per "legale"?
' Lecitamente' ha una gamma di significati alternativi, non tutti i quali devono essere applicati. In primo luogo, potrebbe essere lecito se il soggetto ha acconsentito al trattamento dei dati. In alternativa, lecito può significare rispettare un contratto o un obbligo legale; per proteggere un interesse che è "essenziale per la vita" del soggetto. Se il trattamento dei dati è nell'interesse pubblico; o se farlo è nell'interesse legittimo del controllore, come prevenire le frodi.
Almeno una di queste giustificazioni deve essere applicata per elaborare i dati.
Come si ottiene il consenso ai sensi del GDPR?
Il consenso deve essere un'azione attiva e affermativa da parte dell'interessato, piuttosto che l'accettazione passiva in base ad alcuni modelli correnti che consentono caselle pre-tick o opt-out.
I controllori devono tenere un registro di come e quando una persona ha dato il consenso, e quella persona può ritirare il proprio consenso ogni volta che lo desidera. Se il modello attuale per ottenere il consenso non soddisfa queste nuove regole, è necessario aggiornarlo o interrompere la raccolta di dati con quel modello quando GDPR si applica nel 2018.
Quali dati contano come dati personali nell'ambito del GDPR?
L'UE ha sostanzialmente ampliato la definizione di dati personali ai sensi del GDPR. Per riflettere i tipi di dati che le organizzazioni ora raccolgono sulle persone, gli identificatori online come gli indirizzi IP ora si qualificano come dati personali. Altri dati, come le informazioni economiche, culturali o di salute mentale, sono anch'essi considerati informazioni di identificazione personale.
I dati personali pseudonimizzati possono anche essere soggetti alle regole GDPR, a seconda di quanto sia facile o difficile identificare i loro dati.
Qualsiasi cosa che contasse come dati personali ai sensi della legge sulla protezione dei dati si qualifica anche come dati personali ai sensi del GDPR.
Cos'è la pseudonimizzazione?
La pseudonimizzazione è il trattamento dei dati personali in modo tale che i dati personali non possono più essere attribuiti a un visitatore specifico senza l'uso di ulteriori informazioni, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative per garantire che i dati personali non sono attribuiti a una persona fisica identificata o identificabile.
Quando le persone possono accedere ai dati archiviati su di loro?
Possono anche chiedere che i dati, se errati o incompleti, vengano rettificati ogni volta che lo desiderano.
Qual è il "diritto di essere dimenticato"?
Gli individui hanno anche il diritto di richiedere che i loro dati vengano cancellati se non sono più necessari per lo scopo per il quale sono stati raccolti. Questo è noto come il "diritto all'oblio". In base a questa regola, possono anche richiedere che i loro dati vengano cancellati se hanno ritirato il consenso per i loro dati da raccogliere o opporsi al modo in cui vengono elaborati.
Il responsabile del trattamento è responsabile di comunicare ad altre organizzazioni (ad esempio, Google) l'eliminazione di eventuali collegamenti a copie di tali dati, nonché delle copie stesse.
Cosa succede se una persona o una persona desidera spostare i propri dati altrove?
I controllori devono ora memorizzare le informazioni delle persone in formati comunemente usati (come i file CSV), in modo che possano trasferire i dati di una persona a un'altra organizzazione (gratuitamente) se la persona lo richiede. I controllori devono farlo entro un mese dalla richiesta.
Cosa succede se si soffre di una violazione dei dati?
È tua responsabilità informare la tua autorità di protezione dei dati di qualsiasi violazione dei dati che rischi i diritti e le libertà delle persone entro 72 ore dall'organizzazione che ne viene a conoscenza. L'autorità del Regno Unito è l'ufficio del Commissario per le informazioni.
La scadenza è serrata, quindi probabilmente non conoscerai tutti i dettagli di una violazione dopo averla scoperta. Tuttavia, il tuo contatto iniziale con l'autorità di protezione dei dati dovrebbe delineare la natura dei dati interessati, all'incirca il numero di persone interessate, quali potrebbero essere le conseguenze per loro e quali misure hai già adottato o in programma di intervenire in risposta.
Prima di chiamare l'autorità per la protezione dei dati, è necessario informare le persone interessate dalla violazione dei dati. Coloro che non riescono a rispettare il termine di 72 ore potrebbero dover pagare una penalità fino al 2% delle loro entrate annuali mondiali, o 10 milioni di euro, a seconda di quale sia il più alto.
Se non si seguono i principi di base per l'elaborazione dei dati, come avere una base legale per farlo, ignorare i diritti degli individui sui loro dati, o trasferire dati in un altro paese, le multe sono anche peggiori. L'autorità di protezione dei dati potrebbe emettere una penale fino a 20 milioni di euro o il 4% del tuo fatturato annuale globale, a seconda di quale sia maggiore.
Fornisce inoltre disposizioni per il diritto all'oblio, aggiungendo la possibilità per le persone interessate di richiedere alle aziende di social media di cancellare qualsiasi post fatto durante l'infanzia, una buona opportunità per gli adulti imbarazzati di cancellare le cose che hanno detto durante la loro adolescenza.
Il progetto di legge propone inoltre di aggiornare le attuali norme sulla protezione dei dati espandendo la definizione di dati personali per includere indirizzi IP, cookie Internet e DNA.
Allineandosi con il GDPR, il Regno Unito spera di costruire un meccanismo di protezione dei dati potenziato che vada oltre il modello di adeguatezza che l'UE impone a paesi "terzi", consentendo ai dati personali di circolare liberamente tra il Regno Unito e l'UE.
Il governo sta già lavorando a una nuova legge sulla protezione dei dati che replica efficacemente il GDPR nella legislazione del Regno Unito, e David ha affermato che un tale passo è cruciale per il successo economico del Regno Unito.
La legge sui poteri investigativi è compatibile con GDPR?
Non è chiaro se un'altra nuova azione sarà ritenuta compatibile con GDPR una volta che il Regno Unito lascerà l'UE. Ad esempio, in base alla legge sui poteri investigativi del Regno Unito, gli ISP sono obbligati a raccogliere le cronologie web personali e conservare per un massimo di 12 mesi. Lo stato attuale riscrivendo alcune di leggi leggi che identiche competenze nella vecchia legge della DRIPA sono state ritenute illegali.
Ma Hancock ha scritto nell'ottobre 2017 che "la politica sulla sicurezza nazionale del Regno Unito non è mai stato un ostacolo significativo ai negoziati per la protezione dei dati".