A maggio 2018, l'Europa è passata alle norme aggiornate sul trattamento dei dati personali stabilite dal Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679 del 27 aprile 2016 o GDPR - Regolamento generale sulla protezione dei dati). Questo regolamento, che è entrato in vigore in tutti i 28 paesi dell'UE, ha sostituito la Direttiva quadro sulla protezione dei dati personali 95/46 / CE del 24 ottobre 1995. Una sfumatura importante del GDPR è il principio extraterritoriale delle nuove norme europee per la trattamento dei dati personali, quindi dovresti prestare loro attenzione se i servizi che la tua azienda fornisce sono focalizzati sul mercato europeo o internazionale.
Il nuovo regolamento fornisce ai residenti dell'UE gli strumenti per il pieno controllo sui propri dati personali. Da maggio 2018, la responsabilità per la violazione delle norme sul trattamento dei dati personali è stata inasprita: secondo il GDPR, le sanzioni raggiungono i 20 milioni di euro, ovvero il 4% del reddito globale annuo dell'azienda. In questo articolo, abbiamo analizzato le nuove regole del trattamento dei dati personali nell'UE e formulato raccomandazioni per le aziende su come rispondere al GDPR.
Chi è coperto dal GDPR?
Il GDPR ha effetto extraterritoriale e si applica a tutte le società che trattano dati personali di residenti e cittadini dell'UE, indipendentemente dall'ubicazione di tale società. Ovviamente le filiali e gli uffici di rappresentanza dei non residenti nell'UE dovranno soddisfare i nuovi requisiti. Considera un'altra categoria di soggetti (non ovvia).
Considera un'altra (non ovvia} categoria di soggetti nel seguente esempio:
Le aziende devono rispettare tutti i requisiti GOPR? Sì.
- servizi / prodotti adattati alle lingue locali dei residenti nell'UE;
- i servizi / beni sono pagati nelle valute locali dell'UE;
- i servizi / beni sono forniti nei domini nazionali di primo livello dei paesi dell'UE.
Ciò significa che le organizzazioni che gestiscono dati personali degli europei negli Stati Uniti nell'attuazione delle vendite online (ad esempio, Ferrovie, compagnie aeree, hotel, ostelli e altro), sono soggette al GDPR e devono rispettare la nuova normativa europea sul trattamento dei dati personali. È importante notare che oltre al trattamento dei dati personali, il GDPR utilizza il concetto di monitoraggio del comportamento degli interessati, per questo motivo un'altra categoria di soggetti rientra nel GDPR. Il GDPR si applica alle organizzazioni stabilite al di fuori dell'UE se esse (in qualità di titolare del trattamento o incaricato del trattamento) controllano il comportamento dei residenti nell'UE (nella misura in cui tale comportamento si svolge nell'UE).
Il monitoraggio può includere:
- monitoraggio dei residenti nell'UE su Internet;
- utilizzare tecniche di elaborazione dei dati per profilare le persone, il loro comportamento o la loro relazione con qualcosa (ad esempio, per analizzare o prevedere le preferenze personali).
Cosa si intende per dati personali nel GDPR?
I dati personali sono tutte le informazioni relative a una persona fisica identificata o identificabile (persona interessata) su cui possono essere determinati direttamente o indirettamente. Tali informazioni includono, ma non sono limitate a, il nome, i dati sulla posizione, l'identificatore online o uno o più fattori specifici per l'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale individuo. La definizione è ampia e chiarisce che anche gli indirizzi IP possono essere dati personali. È importante notare che esistono alcuni tipi di dati personali che rientrano nella categoria dei dati personali speciali o riservati. Queste informazioni rivelano: origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche e appartenenza a sindacati. Inoltre, questo gruppo include i dati genetici e biometrici utilizzati per identificare le persone, i dati sullo stato di salute, le informazioni riguardanti la vita sessuale o l'orientamento sessuale.
6 principi di trattamento dei dati al GDPR
- Legalità, correttezza e trasparenza. I dati personali devono essere trattati in modo lecito, equo e trasparente. Qualsiasi informazione sulle finalità, modalità e volumi del trattamento dei dati personali dovrebbe essere presentata nel modo più accessibile e semplice possibile.
- Limitazione dello scopo. I dati saranno raccolti e utilizzati solo per gli scopi dichiarati dalla società (servizio online).
- Minimizzazione dei dati. I dati personali non possono essere raccolti in misura maggiore di quanto sia necessario per le finalità del trattamento.
- Precisione. I dati personali inesatti devono essere cancellati o corretti (su richiesta dell'utente).
- Limite di archiviazione. I dati personali dovrebbero essere conservati in una forma che consenta l'identificazione degli interessati per un periodo non più lungo di quanto necessario ai fini del trattamento.
- Integrità e riservatezza. Durante il trattamento dei dati degli utenti, le aziende sono tenute a proteggere i dati personali da elaborazione, distruzione e danneggiamento non autorizzati o illegali.
Segnalazione di casi di violazione del GDPR
Le aziende sono tenute a notificare alle autorità di regolamentazione (e in alcuni casi agli interessati) qualsiasi violazione dei dati personali entro 72 ore dalla scoperta di tale violazione.
Un elenco dei regolatori nazionali dei dati personali per tutti i paesi dell'UE è disponibile su questo websitesito web. C'è anche un Pan-Euregolatore europeo, parte di lavoro 29 o gruppo di lavoro sull'articolo 29. Tuttavia, una volta entrato in vigore il GDPR, il gruppo di lavoro sull'articolo 29 sostituirà il nuovo organo: il Comitato europeo per la protezione dei dati (EDPB).
Diritti dell'interessato (individuo)
Il GDPR estende in modo significativo i diritti dei cittadini e dei residenti dell'UE di controllare i propri dati personali. Gli utenti europei hanno il diritto di richiedere la conferma del trattamento dei propri dati, il luogo e la finalità del trattamento, le categorie di dati personali trattati, quali dati personali di terzi vengono comunicati, il periodo durante il quale i dati saranno trattati, nonché di specificare la fonte dei dati personali ricevuti dall'organizzazione e chiederne la correzione. Inoltre, l'utente ha il diritto di richiedere la cessazione del proprio trattamento dei dati. Il GDPR prevede anche il diritto all'oblio (diritto alla cancellazione, diritto all'oblio), che consente agli europei di cancellare i propri dati personali su richiesta al fine di evitarne la diffusione o il trasferimento a terzi.