Miti e allarmismi sul GDPR (General Data Protection Regulation) che entrerà in vigore il 25 Maggio 2018.
Niente panico per favore!
Le nuove tecnologie ci obbligano a vivere in una società globale sempre attiva, on-demand, 24 ore su 24, 7 giorni su 7. Ora più che mai generiamo byte e byte di dati, affidandoli ai social network, alle app e ai dispositivi connessi.
Lo abbiamo detto più volte, questa è l’era dei big data.
E con loro arriva una grande responsabilità ed è questo il senso della GDPR: costruire fiducia in un’era di sfiducia, garantire che le organizzazioni a cui affidiamo i nostri dati siano responsabili e trasparenti e, in caso contrario, che noi come individui e come autorità di regolamentazione abbiamo il diritto di agire contro di loro (Il diritto di portare i nostri dati da qualche altra parte come esplicitato nell’Art. 20 [il “diritto di portabilità”] o di cancellarli [il “diritto all’oblio”]).
Quale è il campo di azione del GDPR?
Chiariamolo subito, il GDPR non riguarda solo nomi, indirizzi e banche dati di marketing – informazioni sulle persone estratte dalle stringhe di cookie, indirizzi IP e ID dei dispositivi – ma anche tutti i dati personali.
Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. (Art.1.1, 1.2, 1.3)
Ovunque vi troviate nel mondo, dunque, se offrite i vostri servizi ai cittadini dell’UE, dovete rispettare le nuove normative.
Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. (Art.3.1)
La trasparenza prima di tutto
Attualmente, la maggior parte delle organizzazioni non deve dire al Regolatorio se c’è una violazione della sicurezza che ha avuto un impatto sui dati di clienti o dipendenti, ma dal mese prossimo andrà fatto. Potrebbe anche essere necessario informare le persone i cui dati sono stati compromessi.
Le aziende devono fornire agli individui (e alle autorità di regolamentazione) più informazioni: i tipi di dati che raccolgono sulle persone, per cosa li utilizzano, con chi li condividono, per quanto tempo li conservano, dove nel mondo vengono usati. (Art. 12)
Le attività di profilazione non richiedono consenso
È richiesto il consenso da parte dell’utente solo se le attività di profilazione producono effetti giuridici o incidono in maniera significativa sulla persona in oggetto.
L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (Art. 22.1)
I dati biometrici NON sono dati sensibili per il GDPR
I dati biometrici possono essere dati sensibili ai sensi del GDPR – ma solo se utilizzati allo scopo di “identificare in modo univoco” qualcuno.
È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. (Art. 9.1)
Le fotografie caricate su un servizio di cloud, ad esempio, non saranno considerate dati sensibili, a meno che non vengano utilizzate a scopo di identificazione.
Consenso al trattamento dei propri dati
Il GDPR richiede che il consenso sia “inequivocabile”, non “esplicito”:
«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. (Art. 4.11).
Il consenso esplicito è necessario solo per il trattamento di dati personali sensibili – in questo contesto, non è sufficiente la semplice “partecipazione”:
Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: […] il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità […] (Art. 9.2)
Il “diritto all’oblio”
Nell’articolo 17 del GDPR si fa riferimento al “diritto alla cancellazione”. Tuttavia, a differenza del diritto di non partecipazione alla commercializzazione diretta, non si tratta di un diritto assoluto. Le organizzazioni possono continuare a trattare i dati se questi rimangono necessari per gli scopi per i quali sono stati originariamente raccolti (leggi Art. 6 e Art. 9 del DGPR).
iapp.org
www.govinfosecurity.com
privacylawblog.fieldfisher.com
www.ukfast.co.uk