GDPR, cos’è e cosa cambia per privacy per siti ed aziende

Cos’è il GDPR? Cosa significa GDPR? Cosa cambia riguardo la privacy per i siti con GDPR? Cosa cambia per la privacy con GDPR per le aziende? A partire dal 25 maggio 2018 entra in vigore il GDPR, acronimo di General Data Protection Regulation, il quale cambia le normative nazionali in materia di privacy. Modificando il modo di gestire il trattamento dei dati personali per aziende ed enti pubblici.

Questo nuovo regolamento europeo in fatto di privacy è diventato necessario alla luce della rivoluzione tecnologica in corso, in quanto l’uso di big data e dei trattamenti automatizzati, non rispettano i principi generali della vita privata e familiare di ogni individuo. La protezione dei dati personali oggi come oggi è ritenuta insufficiente, e ciò ha spinto ad intervenire con nuove direttive.

GDPR cosa significa

Cosa significa GDPR? E’ l’acronimo di General Data Protection Regulation, un regolamento nella legislazione dell’UE sulla protezione dei dati e sulla privacy per tutti gli individui all’interno dell’Unione europea e dello Spazio economico europeo. Affronta anche l’esportazione di dati personali al di fuori dell’UE e del SEE.

GDPR cos’è

Cos’è il GDPR? Il GDPR mira principalmente a dare il controllo dei cittadini e dei residenti sui loro dati personali e a semplificare il contesto normativo per le imprese internazionali unificando il regolamento all’interno dell’UE.

Sostituendo la direttiva sulla protezione dei dati, il regolamento contiene disposizioni e requisiti relativi al elaborazione di informazioni di identificazione personale degli interessati all’interno dell’Unione europea. I processi aziendali che gestiscono i dati personali devono essere costruiti in base alla privacy in base alla progettazione e per impostazione predefinita, il che significa che il sistema deve essere progettato per aderire ai principi di protezione dei dati con il massimo livello di salvaguardia sin dall’inizio, in modo che i dati non siano disponibili pubblicamente senza consenso esplicito e non può essere utilizzato per identificare un argomento senza ulteriori informazioni memorizzate separatamente.

I dati personali non possono essere trattati a meno che non siano eseguiti secondo una base legale specificata dal regolamento, o il responsabile del trattamento o il responsabile del trattamento ha ricevuto il consenso esplicito e facoltativo dal proprietario dei dati, che può essere ritirato in qualsiasi momento. i dati devono rivelare quali dati vengono raccolti e come, perché vengono elaborati, per quanto tempo viene conservato e se vengono condivisi con altre parti.

Gli utenti hanno il diritto di richiedere una copia portatile dei dati raccolti da un processore in un formato comune e il diritto di cancellare i dati in determinate circostanze. Le autorità pubbliche e le imprese le cui attività principali sono incentrate sul trattamento regolare o sistematico dei dati personali, devono avere un responsabile della protezione dei dati (DPO), che è responsabile della gestione della conformità con il GDPR. Le imprese devono segnalare eventuali violazioni dei dati entro 72 ore se hanno un effetto negativo sulla privacy degli utenti.

È stato adottato il 14 aprile 2016, e dopo un periodo transitorio di due anni, diventa esecutivo il 25 maggio 2018. Il GDPR sostituisce la direttiva sulla protezione dei dati del 1995.

Poiché il GDPR è un regolamento, non una direttiva, non richiede ai governi nazionali di approvare alcuna legislazione abilitante ed è direttamente vincolante e applicabile.

GDPR storia

Ecco la cronistoria che ha portato al GDPR:

  • 25 gennaio 2012: la proposta per il GDPR viene pubblicata
  • 21 ottobre 2013: la commissione per le libertà civili, la giustizia e gli affari interni (LIBE) del Parlamento europeo ha avuto il suo voto di orientamento
  • 15 dicembre 2015: i negoziati tra il Parlamento europeo, il Consiglio e la Commissione (riunione del trilogo formale) hanno dato luogo a una proposta congiunta
  • 17 dicembre 2015: la commissione LIBE del Parlamento europeo ha votato i negoziati tra le tre parti
  • 8 aprile 2016: adozione da parte del Consiglio dell’Unione europea. L’unico Stato membro che ha votato contro è stato l’Austria, che ha sostenuto che il livello di protezione dei dati per alcuni aspetti è inferiore rispetto alla direttiva del 1995
  • 14 aprile 2016: adozione da parte del Parlamento europeo
  • 24 maggio 2016: il regolamento è entrato in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’Unione europea
  • 25 maggio 2018: le sue disposizioni saranno direttamente applicabili in tutti gli Stati membri, due anni dopo l’entrata in vigore del regolamento

GDPR qual è lo scopo

Qual è lo scopo del GDPR? Il regolamento si applica se il controllore dei dati (un’organizzazione che raccoglie dati dai residenti nell’UE) o il processore (un’organizzazione che elabora i dati per conto di un controllore dei dati come fornitori di servizi cloud) o l’interessato (persona) ha sede nell’UE . In determinate circostanze, il regolamento si applica anche alle organizzazioni situate al di fuori dell’UE se raccolgono o trattano dati personali di individui situati all’interno dell’UE.

Secondo la Commissione europea, “i dati personali sono tutte le informazioni relative a un individuo, che si tratti di si riferisce alla sua vita privata, professionale o pubblica. Può essere qualsiasi cosa, da un nome, un indirizzo di casa, una foto, un indirizzo email, coordinate bancarie, post sui siti web di social network, informazioni mediche o l’indirizzo IP di un computer. ”

Il regolamento non pretende di applicarsi al trattamento dei dati personali per le attività di sicurezza nazionale o l’applicazione della legge dell’UE; tuttavia, i gruppi industriali preoccupati di fronte a un potenziale conflitto di leggi si sono chiesti se l’articolo 48 del GDPR potesse essere invocato per cercare di impedire a un responsabile del trattamento dei dati soggetto alle leggi di un paese terzo di ottemperare a un ordine giuridico proveniente dalle forze dell’ordine di quel paese autorità giudiziarie o di sicurezza nazionale per divulgare a tali autorità i dati personali di una persona dell’UE, indipendentemente dal fatto che i dati risiedano dentro o fuori dell’UE.

L’articolo 48 stabilisce che qualsiasi decisione di un organo giurisdizionale e qualsiasi decisione di un’autorità amministrativa di un paese terzo che richieda a un responsabile del trattamento oa un responsabile di trasferire o divulgare dati personali non può essere riconosciuta o attuata in alcun modo se non sulla base di un accordo internazionale, come un trattato di mutua assistenza giudiziaria in vigore tra il paese terzo richiedente (non UE) e l’UE o uno Stato membro.

Il pacchetto di riforma sulla protezione dei dati comprende anche una direttiva sulla protezione dei dati separata per il settore della polizia e della giustizia penale che prevede norme sugli scambi di dati personali a livello nazionale, europeo e internazionale.

GDPR come funziona

Come funziona GDPR? Un unico insieme di regole si applicherà a tutti gli stati membri dell’UE. Ciascuno Stato membro istituirà un’autorità di vigilanza indipendente (SA) per ascoltare e indagare sui reclami, sanzionare i reati amministrativi, ecc. Le SA in ogni stato membro coopereranno con altre SA, fornendo assistenza reciproca e organizzando operazioni congiunte. Se un’azienda ha più stabilimenti nell’UE, avrà un’unica SA come “autorità capofila”, in base all’ubicazione del suo “stabilimento principale” in cui si svolgono le principali attività di trattamento. L’autorità capofila fungerà da “sportello unico” per sorvegliare tutte le attività di trattamento di tale impresa in tutta l’UE (articoli 46-55 del GDPR).

Un comitato europeo per la protezione dei dati (EDPB) coordinerà le SA. L’EDPB sostituirà il gruppo di lavoro sulla protezione dei dati dell’articolo 29. Esistono eccezioni per i dati trattati in un contesto lavorativo o in sicurezza nazionale che potrebbero ancora essere soggetti a regolamenti nazionali specifici (articolo 2, paragrafo 2, lettera a) e articolo 88 del GDPR).

I requisiti della notifica rimangono e vengono ampliati. Devono includere il tempo di conservazione dei dati personali e devono essere fornite le informazioni di contatto per il responsabile del trattamento e il responsabile della protezione dei dati.

Il processo decisionale individuale automatizzato, compresa la profilazione (articolo 22) è contestabile, analogamente alla direttiva sulla protezione dei dati (articolo 15) . I cittadini hanno il diritto di mettere in discussione e combattere le decisioni significative che li riguardano che sono state fatte su una base esclusivamente algoritmica.

Molti media hanno commentato l’introduzione di un “diritto alla spiegazione” delle decisioni algoritmiche, ma gli studiosi legali hanno sostenuto che l’esistenza di tale diritto è altamente confusa senza test giudiziari ed è limitata nel migliore dei casi. Per essere in grado di dimostrare la conformità con il GDPR, il responsabile del trattamento dei dati dovrebbe attuare misure che soddisfano i principi della protezione dei dati in base alla progettazione e alla protezione dei dati per impostazione predefinita.

Privacy per design e per impostazione predefinita (articolo 25) richiedono misure di protezione dei dati da progettare nello sviluppo dei processi aziendali per prodotti e servizi. Tali misure comprendono la pseudonimizzazione dei dati personali, da parte del responsabile del trattamento, quanto prima possibile (considerando 78). È responsabilità e responsabilità del responsabile del trattamento dei dati applicare misure efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento anche se il trattamento è effettuata da un responsabile del trattamento per conto del responsabile del trattamento (considerando 74). Le valutazioni dell’impatto sulla protezione dei dati (articolo 35) devono essere effettuate quando si verificano rischi specifici per i diritti e le libertà degli interessati.

È richiesta la valutazione e la mitigazione del rischio e per i rischi elevati è richiesta l’approvazione preventiva delle autorità nazionali per la protezione dei dati (DPA). I responsabili della protezione dei dati (articoli 37-39) sono tenuti a garantire la conformità all’interno delle organizzazioni.

Devono essere nominati per tutte le autorità pubbliche, ad eccezione dei tribunali che agiscono in qualità giudiziaria. le attività principali del responsabile del trattamento o del responsabile del trattamento sono:

  • operazioni di trattamento che, per la loro natura, portata e / o finalità richiedono monitoraggio regolare e sistematico delle persone interessate da un trattamento su larga scala
  • su una vasta gamma di categorie speciali di dati ai sensi dell’articolo 9 e dati personali relativi alle condanne penali e ai reati di cui all’articolo 10

GDPR cosa prevede

Cosa prevede GDPR? I dati non possono essere trattati a meno che non vi sia almeno una base legale per farlo:

  • L’interessato ha dato il consenso al trattamento dei dati personali per uno o più scopi specifici
  • Il trattamento è necessario per l’esecuzione di un contratto a cui l’interessato è parte o per prendere provvedimenti su richiesta dell’interessato prima di stipulare un contratto
  • L’elaborazione è necessaria per il rispetto di un obbligo legale a cui è soggetto il responsabile del trattamento
  • L’elaborazione è necessaria per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica
  • Il trattamento è necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri conferiti al responsabile del trattamento
  • Il trattamento è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da un terzo, a meno che tali interessi siano superati dagli interessi o dai diritti e dalle libertà fondamentali dell’interessato, che richiedono la protezione dei dati personali, in particolare se l’interessato è un minorenne

GDPR come funziona consenso

Come funziona consenso con GDPR? Se il consenso viene utilizzato come base legale per il trattamento, il consenso deve essere esplicito per i dati raccolti e per i quali i dati vengono utilizzati (articolo 7, definito all’articolo 4). Il consenso per i minori deve essere dato dal genitore o custode del bambino e verificabile (articolo 8). I responsabili del trattamento devono essere in grado di provare “consenso” (opt-in) e il consenso può essere ritirato.

L’area del consenso del GDPR ha un certo numero di implicazioni per le imprese che registrano le chiamate come una questione di pratica. Le tipiche “chiamate vengono registrate per scopi di formazione e sicurezza” non saranno più sufficienti per ottenere il consenso presunto per registrare le chiamate.

Inoltre, quando la registrazione è iniziata, se il chiamante ritira il proprio consenso, l’agente che riceve la chiamata deve essere in grado di interrompere una registrazione avviata in precedenza e assicurarsi che la registrazione non venga memorizzata

GDPR responsabile protezione dati

Se il trattamento è effettuato da un’autorità pubblica, ad eccezione dei tribunali o delle autorità giudiziarie indipendenti quando agiscono a titolo giudiziario o se, nel settore privato, il trattamento è effettuato da un controllore le cui attività principali consistono in operazioni di trattamento che richiedono regolari e monitoraggio sistematico delle persone interessate, una persona con conoscenza approfondita della legislazione e delle pratiche in materia di protezione dei dati dovrebbe assistere il responsabile del trattamento o l’incaricato del trattamento a monitorare la conformità interna al presente regolamento.

Il DPO è simile a un responsabile della conformità e dovrebbe essere competente a gestire l’IT processi, sicurezza dei dati (compresa la gestione degli attacchi informatici) e altre questioni critiche di continuità aziendale relative alla conservazione e all’elaborazione di dati personali e sensibili. Il set di competenze richiesto non comprende la conformità legale alle leggi e ai regolamenti sulla protezione dei dati. La nomina di un DPO in una grande organizzazione costituirà una sfida per il consiglio di amministrazione e per l’individuo interessato.

Ci sono una miriade di governance e i fattori che le organizzazioni e le aziende dovranno affrontare, data la portata e la natura dell’appuntamento. Inoltre, il responsabile della protezione dei dati deve disporre di un team di supporto e sarà anche responsabile del continuo sviluppo professionale di essere indipendente dall’organizzazione che li impiega, efficacemente come un “mini-regolatore”. Maggiori dettagli sulla funzione e sul ruolo del responsabile della protezione dei dati sono stati forniti il 13 dicembre 2016 (rivisto il 5 aprile 2017) in un documento orientativo.

GDPR, cos’è pseudonimizzazione

Il GDPR si riferisce alla pseudonimizzazione come processo richiesto quando i dati sono archiviati (in alternativa all’altra opzione di completa anonimizzazione dei dati) per trasformare i dati personali in modo tale che i dati risultanti non possano essere attribuiti a dati specifici soggetto senza l’uso di ulteriori informazioni.

Un esempio è la crittografia, che rende i dati originali inintelligibili e il processo non può essere annullato senza l’accesso alla chiave di decrittografia corretta. Il GDPR richiede che le informazioni aggiuntive (come la chiave di decrittografia) siano conservate separatamente dai dati pseudonimizzati.

Un altro esempio di pseudonimizzazione è la tokenizzazione, che è un approccio non matematico alla protezione dei dati a riposo che sostituisce i dati sensibili con quelli non sensibili sostituti, indicati come token. I token non hanno alcun significato o valore estrinseco o sfruttabile.

La tokenizzazione non modifica il tipo o la lunghezza dei dati, il che significa che può essere elaborata da sistemi legacy come i database che potrebbero essere sensibili alla lunghezza e al tipo di dati. Richiede molto meno risorse di elaborazione da elaborare e meno spazio di archiviazione nei database rispetto a quello tradizionale dati crittografati. Ciò si ottiene mantenendo i dati specifici in toto o parzialmente visibili per l’elaborazione e l’analisi mentre le informazioni sensibili vengono tenute nascoste.

Si raccomanda di usare un pseudonimo per ridurre i rischi per gli interessati e per aiutare i responsabili del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. Il GDPR incoraggia l’uso della pseudonimizzazione per “ridurre i rischi per gli interessati”.

GDPR violazione dei dati

Ai sensi del GDPR, il responsabile del trattamento dei dati ha l’obbligo giuridico di informare l’autorità di vigilanza senza indebito ritardo, a meno che la violazione non risulti in un rischio per i diritti e le libertà delle persone. Le segnalazioni di violazione dei dati per la segnalazione (articolo 33) sono trascorse al massimo 72 ore. Gli individui devono essere informati se viene determinato un impatto negativo (articolo 34).

Inoltre, il responsabile del trattamento dovrà notificare il responsabile del trattamento senza indebiti ritardi dopo essere venuto a conoscenza di una violazione dei dati personali (articolo 33).

Tuttavia, l’informativa agli interessati non è richiesta se il responsabile del trattamento ha attuato misure tecniche e organizzative di protezione adeguate che rende i dati personali inintelligibili a qualsiasi persona che non è autorizzata ad accedervi, come la crittografia (articolo 34).

GDPR sazioni

Quali sono le sanzioni previste dal GDPR? Partiamo col dire in quali casi scattano le sanzioni:

  1. un avvertimento scritto in caso di non conformità e non intenzionale
  2. regolari controlli periodici di protezione dei dati
  3. una multa fino a 10 milioni di euro o fino al 2% del fatturato annuo dell’esercizio precedente nel caso di un’impresa, a seconda di quale sia maggiore, se vi è stata una violazione delle seguenti disposizioni (articolo 83, paragrafo 5):
  • gli obblighi del responsabile del trattamento e dell’incaricato del trattamento ai sensi degli articoli 8, 11, 25-39, 42 e 43
  • gli obblighi dell’organismo di certificazione di cui agli articoli 42 e 43
  • gli obblighi dell’organismo di controllo ai sensi dell’articolo 41, paragrafo 4

4. una multa fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’esercizio precedente nel caso di un’impresa, a seconda di quale sia maggiore, se vi è stata una violazione delle seguenti disposizioni (articolo 83, paragrafo 4):

  • i principi di base per il trattamento, comprese le condizioni per il consenso, ai sensi degli articoli 5, 6, 7 e 9
  • i diritti degli interessati ai sensi degli articoli da 12 a 22
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale ai sensi degli articoli da 44 a 49
  • eventuali obblighi ai sensi della legislazione degli Stati membri adottata ai sensi del capitolo IX
  • inosservanza di un ordine o di una limitazione temporanea o definitiva del trattamento o della sospensione dei flussi di dati da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2 o del mancato accesso in violazione dell’articolo 58, paragrafo 1

GDPR, il diritto di accesso

Il diritto di accesso (articolo 15) è un diritto dell’interessato. Dà ai cittadini il diritto di accedere ai propri dati personali e informazioni su come questi dati personali vengono elaborati. Un responsabile del trattamento dei dati deve fornire, su richiesta, una panoramica delle categorie di dati oggetto di trattamento (articolo 15, paragrafo 1, lettera b), nonché una copia dei dati effettivi (articolo 15, paragrafo 3). Inoltre, il responsabile del trattamento dei dati deve informare l’interessato in merito al trattamento, come ad esempio le finalità del trattamento (articolo 15, paragrafo 1, lettera a)), con cui i dati sono condivisi (articolo 15, paragrafo 1, lettera c) ) e in che modo ha acquisito i dati (articolo 15, paragrafo 1, lettera g)).

GDPR, diritto all’oblio

Il diritto all’oblio è stato sostituito da un più limitato diritto di cancellazione nella versione del GDPR adottata dal Parlamento europeo nel marzo 2014. L’articolo 17 stabilisce che l’interessato ha il diritto di richiedere la cancellazione dei dati personali ad essi relativi in base a una serie di motivi, tra cui l’inosservanza dell’articolo 6, paragrafo 1 (legittimità) che include il caso (f) se gli interessi legittimi Il titolare del trattamento è sovrastato dagli interessi o dai diritti e dalle libertà fondamentali dell’interessato, che richiedono la protezione dei dati personali.

GDPR, portabilità dei dati

Una persona deve essere in grado di trasferire i dati personali da un sistema di elaborazione elettronico a un altro, senza che ciò sia impedito dal responsabile del trattamento dei dati. I dati che sono stati sufficientemente anonimizzati sono esclusi, ma i dati che sono stati solo de-identificati, ma rimane possibile il collegamento all’individuo in questione, ad esempio fornendo l’identificatore pertinente, non lo sono. Entrambi i dati vengono “forniti” dall’interessato e vengono inclusi i dati “osservati”, come ad esempio il comportamento.

Inoltre, i dati devono essere forniti dal controllore in un formato elettronico standard strutturato e comunemente usato. Il diritto alla portabilità dei dati è fornito dall’articolo 20 del GDPR. Gli esperti legali vedono nella versione finale di questa misura un “nuovo diritto” creato che “va oltre lo scopo della portabilità dei dati tra due controllori come previsto nell’articolo 20”.

GDPR, protezione dati

La protezione dei dati in base alla progettazione e per impostazione predefinita (articolo 25) richiede che la protezione dei dati sia progettata per lo sviluppo di processi aziendali per prodotti e servizi. Le impostazioni sulla privacy devono quindi essere impostate su un livello elevato per impostazione predefinita e le misure tecniche e procedurali devono essere adottate dal responsabile del trattamento per garantire che l’elaborazione, durante l’intero ciclo di vita della procedura, sia conforme al regolamento.

I controllori dovrebbero anche implementare meccanismi per garantire che i dati personali non vengano elaborati a meno che non sia necessario per ogni scopo specifico. Un rapporto dell’Agenzia dell’Unione europea per la sicurezza delle reti e delle informazioni elabora su cosa è necessario fare per ottenere la privacy e la protezione dei dati per impostazione predefinita. Specifica che le operazioni di crittografia e decrittografia devono essere eseguite localmente, non tramite il servizio remoto, poiché sia le chiavi che i dati devono rimanere nel potere del proprietario dei dati se si vuole raggiungere una certa privacy.

Il report specifica che l’archiviazione di dati in outsourcing su cloud remoti è pratica e relativamente sicura se solo il proprietario dei dati, non il servizio cloud, detiene le chiavi di decrittografia.

GDPR, registro attività trattamento

Devono essere conservati registri delle attività di trattamento che includono finalità del trattamento, categorie coinvolte e limiti di tempo previsti. Le registrazioni devono essere messe a disposizione dell’autorità di controllo su richiesta (articolo 30).

GDPR, cos’è il B2B Marketing

All’interno di GDPR esiste una netta differenza tra il marketing B2C (Business to Consumer) e B2B (Business to Business). Con l’introduzione del GDPR ci sono sei motivi per elaborare i dati personali, questi sono ugualmente validi. Ci sono due di questi che sono rilevanti per dirigere il B2B Marketing: Consenso o Interesse legittimo. L’articolo 47 del GDPR afferma che “Il trattamento di dati personali per scopi di marketing diretto può essere considerato effettuato per un legittimo interesse”.

L’utilizzo di Interessi legittimi come base per il marketing B2B implica la garanzia di condizioni chiave soddisfatte: “il trattamento deve riguardare gli interessi legittimi della vostra azienda o di una terza parte specificata, a condizione che gli interessi oi diritti fondamentali dell’interessato non prevalgano sull’interesse legittimo dell’azienda.”

Il trattamento deve essere necessario per raggiungere gli interessi legittimi della. Inoltre, l’articolo 6.1 (f) del GDPR afferma che il trattamento è lecito se è: “Necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da una terza parte, eccetto laddove tali interessi sono sopraffatti dagli interessi o dai diritti e dalle libertà fondamentali dell’individuo che richiedono la protezione delle informazioni personali, in particolare laddove l’individuo è un bambino “.

La commissione UE ha dichiarato che “le leggi sulla privacy dei dati unificate creeranno opportunità straordinarie e stimoleranno l’innovazione per le imprese non solo in Europa ma anche per l’organizzazione che è disposta a fare affari con gli stati europei”. La commissione si propone alle aziende di mantenere le comunicazioni e creare relazioni l’uno con l’altro per garantire le migliori pratiche di dati attraverso i controlli legittimi di equilibrio.

GDPR eccezioni

I seguenti casi non rientrano nel regolamento:

  • Intercettazione legale, sicurezza nazionale, esercito, polizia, giustizia Analisi statistica e scientifica
  • I soggetti defunti sono soggetti alla legislazione nazionale
  • C’è una legge dedicata sulle relazioni tra datore di lavoro e dipendente Elaborazione di dati personali da una persona fisica per un’attività puramente personale o domestica

GDPR critiche

La proposta per il nuovo regolamento ha suscitato molte discussioni e polemiche. Sono stati proposti migliaia di emendamenti. Il solo insieme di regole e la rimozione dei requisiti amministrativi dovevano entrambi risparmiare denaro; tuttavia, come uno studio del maggio 2017 condotto da Dimensional Research e TrustArc, i professionisti IT si aspettano che la conformità con il GDPR richieda ulteriori investimenti complessivi: oltre l’80% degli intervistati prevede una spesa relativa al GDPR di almeno 100.000 euro. Le preoccupazioni sono state riprese in un rapporto commissionato dallo studio legale Baker & McKenzie ha rilevato che “circa il 70% degli intervistati ritiene che le organizzazioni dovranno investire budget / sforzi aggiuntivi per conformarsi al consenso, alla mappatura dei dati e ai requisiti di trasferimento dei dati transfrontalieri nell’ambito del GDPR.”

Il costo totale per l’UE le società sono stimate a circa € 200 miliardi mentre per le società statunitensi la stima è di $ 41,7 miliardi.

I critici hanno indicato anche altri problemi:

  • L’obbligo di avere un responsabile della protezione dei dati (RPD) è nuovo per molti paesi dell’UE e viene criticato per il suo onere amministrativo.
  • Il GDPR è stato sviluppato con particolare attenzione ai social network e ai fornitori di servizi cloud, ma non ha preso in considerazione requisiti sufficienti per la gestione dei dati dei dipendenti
  • La portabilità dei dati non è vista come un aspetto chiave per la protezione dei dati, ma è più un requisito funzionale per i social network e i fornitori di cloud anche se la portabilità dei dati crea trasparenza per valutare le preoccupazioni sulla privacy dei controllori.
  • Sebbene la minimizzazione dei dati sia un requisito, con la pseudonimizzazione come uno dei possibili mezzi, il regolamento non fornisce indicazioni su come o cosa costituisce un efficace sistema di de-identificazione dei dati, con un’area grigia su quella che sarebbe considerata una pseudonimizzazione inadeguata soggetta alla Sezione 5
  • La protezione contro le decisioni automatizzate di cui all’articolo 22, richiamata dall’articolo 15 della direttiva sulla protezione dei dati, è stata rivendicata per fornire protezione contro un numero crescente di decisioni algoritmiche online e offline, compreso potenzialmente un diritto di spiegazione. Se le vecchie disposizioni forniscono una protezione significativa è oggetto di dibattito in corso
  • Sfide linguistiche e di personale per le autorità nazionali di protezione dei dati (DPA), in quanto i cittadini dell’UE non hanno più un unico DPA da contattare per le loro preoccupazioni, ma devono occuparsi dell’APD scelto dalla società interessata
  • I dati personali non possono essere trasferiti in paesi al di fuori dell’Unione Europea a meno che non garantiscano lo stesso livello di protezione dei dati
  • C’è preoccupazione per l’implementazione del GDPR nei sistemi blockchain, poiché la registrazione trasparente e fissa delle transazioni di blockchain contraddice la natura stessa del GDPR.

LEAVE A REPLY