SEI CONFORME ALLE NUOVE REGOLE DI PROTEZIONE DATI?

Cos’è il GDPR?

Il regolamento generale sulla protezione dei dati dell’UE (GDPR) rappresenta il culmine di quattro anni di sforzi per aggiornare la protezione dei dati al XXI secolo, in cui le persone concedono regolarmente le autorizzazioni per utilizzare le loro informazioni personali per svariati motivi in cambio di servizi, talvolta “gratuiti”.

Nel Regno Unito, GDPR è stato convertito in legge come modo per attuare la direttiva sulla protezione dei dati dell’UE del 1995 e sostituirà il Data Protection Act 1998. Il GDPR cerca di dare alle persone un maggiore controllo su come le organizzazioni usano i loro dati e introduce pesanti sanzioni per le organizzazioni che non rispettano le regole e per coloro che subiscono violazioni dei dati. Garantisce inoltre che la legge sulla protezione dei dati sia quasi identica in tutta l’UE.

 

Quali sono i dati personali ai sensi del GDPR?

L’UE ha sostanzialmente ampliato la definizione di dati personali ai sensi del GDPR. Per riflettere i tipi di dati che le organizzazioni ora raccolgono sulle persone, gli identificatori online come gli indirizzi IP ora si qualificano come dati personali. Altri dati, come le informazioni economiche, culturali o di salute mentale, sono anch’essi considerati informazioni di identificazione personale.

I dati personali pseudonimizzati possono anche essere soggetti alle regole GDPR, a seconda di quanto sia facile o difficile identificare i loro interessati al trattamento.

Qualsiasi cosa che contasse come dati personali ai sensi della legge sulla protezione dei dati si qualifica anche come dati personali ai sensi del GDPR.

 

Quando le persone possono accedere ai dati che memorizziamo su di loro?

Le persone possono chiedere l’accesso a “intervalli ragionevoli” e i Controllers devono generalmente rispondere entro un mese. Il GDPR richiede che i Controllers e i Processors debbano essere trasparenti su come raccolgono i dati, su cosa fanno e su come li elaborano e devono essere chiari (usando un linguaggio semplice) nello spiegare queste cose alle persone.

Le persone hanno il diritto di accedere a qualsiasi informazione che un’azienda detiene su di loro e il diritto di sapere perché i dati vengono elaborati, per quanto tempo sono archiviati e chi può vederli. Ove possibile, i responsabili del trattamento dei dati dovrebbero fornire un accesso diretto e sicuro affinché le persone possano rivedere le informazioni che un controllore memorizza su di loro. Possono anche chiedere che i dati, se errati o incompleti, vengano rettificati ogni volta che lo desiderano.

 

Cos’è il “diritto all’oblio”?

Gli individui hanno anche il diritto di chiedere che i loro dati vengano cancellati se non sono più necessari allo scopo per cui sono stati raccolti. Questo è noto come il “diritto all’oblio”. In base a questa regola, possono anche richiedere che i loro dati vengano cancellati se hanno ritirato il consenso per i loro dati da raccogliere o opporsi al modo in cui vengono elaborati.

Il responsabile del trattamento è responsabile di comunicare ad altre organizzazioni terze alle quali aveva trasmesso i dati (ad esempio, Google) l’eliminazione di eventuali collegamenti a copie di tali dati, nonché dei dati stessi.

 

Diritto alla portabilità

I Controllers devono ora memorizzare le informazioni delle persone in formati comunemente usati (come i file CSV), in modo che possano trasferire i dati di una persona a un’altra organizzazione (gratuitamente) se la persona lo richiede. I Controllers dovranno eseguire tale operazione entro un mese dalla richiesta.

 

Cosa succede in caso di Data Breach?

È responsabilità dei Controllers informare la tua autorità di protezione dei dati di qualsiasi violazione dei dati che metta a rischio i diritti e le libertà delle persone entro 72 ore da quando l’organizzazione ne viene a conoscenza. L’autorità del Regno Unito è l’Information Commissioners’ Office. Tale termine risulta abbastanza incongruo tale da non permettere al Controller di conoscere ogni dettaglio di una breccia dopo averlo scoperto. Tuttavia, il contatto iniziale con l’autorità di protezione dei dati dovrebbe delineare la natura dei dati interessati, all’incirca il numero di persone interessate, quali potrebbero essere le conseguenze per loro e quali misure il Controller ha già adottato o in programma di adottare in risposta.

Anche prima di chiamare l’autorità per la protezione dei dati, il Controller dovrà informare le persone interessate dalla violazione dei dati. Coloro che non riescano a rispettare il termine di 72 ore potrebbero dover pagare una penalità fino al 2% delle loro entrate annuali mondiali, o fino a 10 milioni di euro.

Se non si seguono i principi di base per l’elaborazione dei dati, come avere una base legale per farlo, ignorare i diritti degli individui sui loro dati, o trasferire dati in un altro paese, le multe sono anche peggiori. L’autorità di protezione dei dati potrebbe emettere una penale fino a 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale pena risulti essere più alta.

Se prendi le multe emesse di recente dall’ICO, che possono infliggere una sanzione massima di 500.000 sterline, e aumentarle sotto GDPR, puoi vedere quanto potrebbero diventare ben presto le pene più severe per ottenere una protezione dei dati errata. 

Quindi, in base al GDPR, il record di sterline inglesi di TalkTalk ammontava a £ 59 milioni in totale: si tratta di una parte considerevole delle entrate del terzo trimestre 2016 della compagnia telefonica, pari a £ 435 milioni. Nel frattempo, le ammende totali emesse dall’ICO per il 2016, che ammontavano a £ 880.500, sarebbero diventate £ 69 milioni dal 25 maggio 2018, secondo la società di mitigazione del rischio NCC Group – 79 volte superiore.

Tuttavia, è importante notare che, mentre le ammende massime che possono essere emesse diventeranno molto più alte sotto GDPR, la legislazione stabilisce che esse devono rimanere “proporzionate” alla violazione. Inoltre, se è possibile dimostrare che si sta lavorando duramente per garantire che la propria organizzazione sia conforme a GDPR, l‘ICO probabilmente non emetterebbe una multa elevata in caso di violazione, diversamente da come sarebbe altrimenti.

 

Il responsabile della protezione dei dati o DPO

Qualsiasi ente pubblico che esegue l’elaborazione dei dati deve assumere un responsabile della protezione dei dati, così come le società le cui attività principali implicano l’elaborazione dei dati che richiede di monitorare regolarmente le persone “su larga scala”, secondo la legislazione del GDPR, sebbene gli enti pubblici siano in vantaggio, in quanto diversi possono condividere lo stesso responsabile della protezione dei dati. Le organizzazioni dovrebbero fornire i dettagli di contatto di questa persona all’autorità di protezione dei dati.

Il compito del responsabile della protezione dei dati è quello di informare e consigliare l’organizzazione sulla conformità ai requisiti GDPR e sul monitoraggio della conformità. Inoltre fungeranno da punto di contatto principale dell’autorità di protezione dei dati e ci si aspetta che collaborino con l’autorità. Leggi un po ‘di più sul ruolo qui.

 

Soddisfare i requisiti GDPR

Il miglior consiglio è quello di iniziare a prepararsi il più presto possibile: il 25 maggio 2018 potrebbe sembrare lontano, ma c’è molto da fare bene. Immediatamente, dovresti cercare di assumere un responsabile della protezione dei dati, se necessario, e verificare lo stato attuale delle norme e delle norme sulla protezione dei dati, in particolare il consenso.

Anthony Merry, responsabile della protezione dei dati presso Sophos, ha detto che le aziende dovrebbero iniziare rivedendo lo stato attuale delle loro politiche di protezione dei dati, prima di aggiornarle.

“Le aziende devono rivedere le proprie politiche e tecnologie di protezione dei dati per verificare che siano conformi e non dovrebbero essere timidi di rivolgersi al proprio ente normativo locale o ad un consulente fidato per un consiglio che garantisca loro di essere nel giusto”, ha affermato. “Sii proattivo e proteggi i dati che detieni, crittografalo e tieniti sempre aggiornato con le tue soluzioni di sicurezza. Le violazioni dei dati si verificano ogni giorno – e l’UE ha appena aumentato le conseguenze di una sicurezza inadeguata”.

 

Il problema, tuttavia, è quanto tempo impiegherà questo processo

Justin Tivey, direttore legale dello studio legale Bond Dickinson, ha affermato che è fondamentale che le aziende inizino ora a mettere in forma le loro politiche.

“Il periodo di implementazione di due anni potrebbe sembrare rilassato, ma lo sarà solo per coloro che iniziano ad affrontare le questioni sollevate dal GDPR ora”, ha affermato.

“Le organizzazioni devono iniziare a capire quali dati acquisiscono, conservano e elaborano e la base legale per farlo: la privacy deve essere progettata in sistemi e processi e il rispetto dei diritti dei dati deve essere intensificato. Politiche e procedure per la gestione di qualsiasi sicurezza le violazioni devono essere in atto, ma al suo centro la protezione dei dati si basa sugli stessi problemi: capire quali dati si detengono e perché. “

Quindi elaborare le procedure che è necessario adottare o aggiornare per conformarsi. Introdurli il più rapidamente possibile in modo da poter iniziare a educare la tua forza lavoro su di loro.

Se lavori con fornitori di terze parti che vorrebbero essere considerati Processors, controlla quali sono le loro politiche di protezione dei dati e se sono conformi, in caso contrario, potrebbe essere il momento di presentare nuovamente offerte.

Vale anche la pena dare un’occhiata alla tecnologia che ti aiuterà a soddisfare i requisiti relativi alla cancellazione dei dati e alla portabilità dei dati.

Dott. Giovanni Gaeta
Associate
GDPR and DPO Specialist