Guida per principianti alla conformità al GDPR (2022)

Indice dei contenuti

Che cos'è il GDPR?

A questo punto avrete probabilmente sentito tutti il termine GDPR. Fino al 25 maggio 2018 le linee guida relative alle informazioni personali, in relazione alla privacy, erano un po’ vaghe. La direttiva sulla protezione dei dati (1995) forniva alcune linee guida di base, ma semplicemente non era sufficiente.

Abbiamo sempre prestato grande attenzione al GDPR, poiché molte delle VPN che abbiamo recensito hanno dovuto apportare serie modifiche al loro modo di operare, tra cui alcuni dei principali operatori come Avast e NordVPN.

Il monitoraggio e la condivisione delle informazioni sono ora disciplinati dal Regolamento generale sulla protezione dei dati (GDPR). L’obiettivo è garantire che le informazioni siano gestite in modo responsabile da qualsiasi azienda che si occupi di informazioni personali e privacy.

Secondo l’ICO, il GDPR stabilisce 7 principi chiave. Questi sono:

  • Legalità, equità e trasparenza
  • Limitazione dello scopo
  • Minimizzazione dei dati
  • Precisione
  • Limitazione dello stoccaggio
  • Integrità e riservatezza (sicurezza)
  • Responsabilità

I principi delineati non sono regole in quanto tali, ma più che altro una descrizione dei fondamenti da seguire per creare una buona pratica di protezione dei dati. Se individui o aziende non rispettano i principi, possono essere multati fino a 20 milioni di euro o al 4% del fatturato totale annuo a livello mondiale (a seconda di quale sia il valore più alto).

Cosa c'era prima del GDPR?

Il GDPR è applicato in tutta Europa, e ogni Paese ha il proprio controllo su alcuni aspetti del regolamento. Il Regno Unito ha implementato il Data Protection Act (2018) che sostituisce il Data Protection Act del 1998.

La nuova legge è stata approvata dalla Camera dei Comuni e dalla Camera dei Lord poco prima dell’entrata in vigore del GDPR.

Impatto sulle imprese

Che siate individui, organizzazioni o aziende, potete essere definiti “responsabili del trattamento” o “incaricati del trattamento” dei dati personali. L’Information Commissioners Officer (ICO) illustra esattamente la differenza tra responsabili e incaricati del trattamento.

Le aziende che monitorano o ottengono informazioni personali su larga scala dovrebbero assumere un responsabile della protezione dei dati (DPO). Il ruolo del responsabile deve garantire che l’azienda in questione sia conforme al GDPR. Qualsiasi domanda o richiesta relativa alla protezione dei dati deve essere rivolta a loro.

Il GDPR si applica alle aziende che trattano i dati personali dei cittadini dell’UE. Questo vale anche per le imprese con meno di 250 dipendenti. Come già menzionato, qualsiasi violazione che possa avere un impatto sui diritti degli interessati deve essere segnalata all’Information Commissioner’s Office (ICO).

Se possibile, una violazione deve essere registrata e segnalata entro 24 ore, o al massimo 72 ore. I dettagli della violazione e le modalità di contenimento e risoluzione della stessa devono essere comunicati all’ICO.

Il GDPR darà alle persone il controllo su come le aziende utilizzano i loro dati. Questo vale anche per le aziende che già dispongono dei vostri dati. Ad esempio, le persone avranno il “diritto all’oblio”. Quindi, se siete clienti e non volete più che un’azienda detenga i vostri dati personali, avete il diritto legale di ritirarli.

Lista di controllo utile per le piccole imprese

Il GDPR è indubbiamente fonte di confusione e, comprensibilmente, di stress! Ho pensato che sarebbe stato opportuno mettere insieme una lista di controllo per le piccole imprese del Regno Unito, in modo che sappiate cosa aspettarvi e cosa ci si aspetta da voi.

La lista di controllo GDPR della vostra piccola impresa deve prendere in considerazione i dipendenti, i fornitori e i clienti passati e presenti. Dovrebbe anche prendere in considerazione i dati di chiunque venga elaborato, raccolto, memorizzato o registrato e utilizzato con qualsiasi mezzo.

1| Comprendere i dati

Dovrete comprendere e dimostrare di aver compreso i tipi di dati personali in vostro possesso e/o della vostra azienda. Ad esempio, nomi, indirizzi, indirizzi IP, dati bancari, ecc. Questo include anche dati sensibili come le opinioni religiose e i dettagli sulla salute. Dovrete dimostrare di aver capito da dove provengono e come utilizzerete tali dati.

2| Pensare al consenso

La vostra azienda richiede il consenso per il trattamento dei dati personali? Alcune tecniche di marketing richiedono il consenso, il che rende le cose molto più difficili ai sensi del GDPR. Il consenso deve essere estremamente chiaro e specifico, quindi, a meno che non sappiate al 100% cosa state facendo, potrebbe essere utile evitare di fare affidamento sul consenso, a meno che non sia fondamentale per il vostro modello di business.

3| Considerare le misure di sicurezza

Le misure di sicurezza e le politiche in vigore devono essere aggiornate per essere conformi al GDPR. Inoltre, se non ne avete già uno, dovreste ottenerlo molto rapidamente! Sebbene esistano requisiti più specifici in materia di sicurezza, come precauzione generale si può utilizzare la crittografia.

4| Diritti di accesso del soggetto

Le persone hanno il diritto di accedere ai propri dati personali. Dovrete assicurarvi che la vostra azienda sia pronta a fornire queste informazioni in tempi brevi, se necessario. Le persone possono desiderare di ottenere i propri dati personali per rettificare eventuali problemi, semplicemente per averli, oppure possono desiderare di cancellarli del tutto. Tutte le richieste hanno una scadenza di un mese.

5| Formare i dipendenti

I dipendenti della vostra azienda devono essere formati sui dati personali. Dovranno capire cosa si intende per dati personali, nonché i processi per identificare eventuali violazioni dei dati. I dipendenti devono sapere chi è il vostro responsabile della protezione dei dati (DPO) e tutti i team o le persone collegate o responsabili della conformità alla protezione dei dati.

6| Catena di approvvigionamento

Tutti i fornitori e gli appaltatori della vostra azienda devono essere conformi al GDPR. Questo per garantire che non causino violazioni e che non scarichino su di voi eventuali sanzioni o multe. Dovrete assicurarvi che anche i contratti con i vostri fornitori siano aggiornati, quindi assicuratevi di ottenerne una copia.

7| Trattamento equo

Come parte del GDPR, ora dovete essere in grado di spiegare alle persone per cosa state usando i loro dati personali. Non dovrebbe essere un compito difficile o preoccupante se si utilizzano i loro dati in modo equo e corretto.

8| Responsabile della protezione dei dati

È il momento di decidere se è necessario assumere un DPO o meno. Le piccole imprese saranno probabilmente esentate, ma le grandi imprese potrebbero non esserlo. Vale la pena di verificare che non vi siano violazioni delle norme GDPR.

Definire il consenso

Come individui, potreste avere familiarità con le caselle pre-selezionate quando vi iscrivete ad account online, acquistate prodotti, vi registrate alle newsletter, ecc. Queste caselle erano spesso pre-selezionate e in qualche modo nascoste, consentendo alle aziende di accedere ai vostri dati personali. Sono finiti i giorni in cui si veniva bombardati da e-mail di marketing indesiderate e da telefonate casuali.

Il consenso è stato ridefinito dalle nuove norme del GDPR. Sono finiti i tempi delle scritte in piccolo e dei messaggi nascosti, in cui le persone si iscrivono “accidentalmente” o involontariamente alle e-mail di marketing, agli sms, ecc. Le politiche devono essere chiarite in modo chiaro e devono essere presentate in questo modo.

Le regole sui dati personali preesistenti sono un po’ diverse. Non è necessario il consenso, ma deve esistere una base giuridica conforme alla legge sulla protezione dei dati (DPA). L’importante è ricordare che queste legislazioni si applicano alle imprese e ai consumatori!

Diritto di accesso

Il diritto di accesso (o accesso soggetto) consente a un individuo il diritto di ottenere i propri dati personali. Il diritto di accesso dà alle persone la possibilità di capire come vengono utilizzati i loro dati e perché vengono utilizzati in questo modo. Ciò garantisce che i loro dati siano utilizzati in modo lecito.

I singoli hanno il diritto di ottenere determinate informazioni dalle aziende, tra cui:

  • una copia dei dati personali di un individuo
  • la conferma che i dati personali di una persona sono oggetto di trattamento
  • informazioni supplementari (che corrispondono principalmente alle informazioni fornite in una nota sulla privacy)

Un individuo, come sappiamo, ha diritto ai propri dati personali. Tuttavia, non hanno diritto a informazioni su altre persone. D’altra parte, se le informazioni che stanno cercando di ottenere riguardano sia loro che qualcun altro, questo è accettabile.

Come individuo, si raccomanda di verificare se le informazioni richieste sono definite come dati personali o meno. È possibile verificare cosa viene classificato come dato personale (per essere sicuri) qui.

Sono un Titolare o un Responsabile del trattamento?

Il GDPR si applica ai responsabili e agli incaricati del trattamento dei dati, ma cosa significa in concreto? Gli elaboratori di dati si riferiscono alle operazioni eseguite sui dati, quindi quando i dati vengono archiviati, raccolti, registrati, condivisi, ecc. I responsabili del trattamento dei dati sono anche incaricati del trattamento, con la differenza che sono loro a decidere quale sia lo scopo o il motivo dell’attività di trattamento dei dati.

Responsabili del trattamento dei dati

In qualità di incaricati del trattamento dei dati, ci sono obblighi legali che il GDPR vi impone:

  • Conservare e mantenere aggiornati i registri dei dati personali. Ciò include la delineazione dei dettagli delle attività di trattamento e delle categorie di dati. Le categorie si riferiscono a clienti, dipendenti, fornitori e ai tipi di trattamento – trasferimento, ricezione, divulgazione ecc.
  • Conservare e mantenere i dettagli del trasferimento a paesi che non fanno parte dello Spazio Economico Europeo (SEE).
  • Implementare e mantenere misure di sicurezza adeguate, ad esempio la crittografia.

Se un incaricato del trattamento dei dati è responsabile di una violazione dei dati, avrà una responsabilità legale molto maggiore rispetto alla DPA. Le persone possono presentare un reclamo diretto contro il responsabile del trattamento dei dati, quindi è indispensabile che comprendiate le vostre responsabilità in quanto tale.

Controllori dei dati

In quanto responsabile del trattamento dei dati, siete per natura anche un incaricato del trattamento. Si applicano pertanto gli stessi requisiti del GDPR. Tuttavia, il GDPR impone a voi e alla vostra azienda di garantire la conformità dei contratti con gli incaricati del trattamento e il rispetto degli standard.