Ti trasferiresti in una casa con pareti trasparenti? Permetteresti a chiunque di ascoltare tutte le tue conversazioni, comprese quelle con il tuo migliore amico o con il tuo terapeuta? Probabilmente no. Tuttavia, è molto probabile che permetti già qualcosa di simile.
Nel mondo di oggi, sempre più persone si muovono nello spazio digitale lasciando dietro di sé una scia di informazioni. Le aziende basate sui dati si nutrono di queste tracce. Registrano le informazioni che cerchi su Internet, gli articoli che leggi, cercano di scoprire i tuoi interessi, la tua religione, la tua sessualità, le tue condizioni di salute, la tua fascia di reddito. Poi, sulla base di questi dati, cercano di venderti qualcosa. Oppure cercano di venderti a qualcuno (ovvero di vendere le tue informazioni ad altre aziende o organizzazioni).
Per proteggere i diritti e gli interessi dei cittadini, l'UE ha introdotto il Regolamento generale sulla protezione dei dati (GDPR). Creato sulla base di 7 principi, il GDPR mira a proteggere gli utenti di Internet nelle loro spedizioni online e a porre dei limiti ai siti web che si appropriano dei dati personali che lasciano in giro.
Quali sono i 7 principi del GDPR?
L'articolo 5 del GDPR stabilisce 7 principi per la raccolta, l’organizzazione, la strutturazione e la conservazione dei nostri dati. Essi vanno intesi come principi generali fondamentali che forniscono ai responsabili e agli incaricati del trattamento una guida per comprendere i loro obblighi rispetto ai dati che trattano. Vediamo più da vicino questi principi e il loro significato nel prossimo passo:
1. Legalità, equità e trasparenza
Il primo principio è relativamente ovvio: le persone o le organizzazioni che trattano dati personali devono assicurarsi che le loro pratiche di raccolta dei dati non violino la legge, che non facciano nulla con i dati che non rientri nei limiti previsti e ragionevoli e che non nascondano alcuna informazione rilevante agli interessati.
Per gli incaricati del trattamento dei dati, legalità significa due cose: identificare una base giuridica adeguata per il trattamento dei dati in modo da evitare attività illecite. Questo può sembrare abbastanza semplice, ma non è sempre così. Gli incaricati del trattamento dei dati hanno sei basi giuridiche alternative tra cui scegliere: consenso, esecuzione di un contratto, interesse legittimo, interesse vitale, requisito legale e interesse pubblico. Ognuno di essi ha le proprie regole, i propri vantaggi e svantaggi per il titolare del trattamento.Correttezza significa che i responsabili del trattamento non devono intenzionalmente ingannare le persone sulle modalità di trattatamento dei loro dati e, se il trattamento ha un impatto negativo sull'interessato, devono giustificarlo.
Il concetto di trasparenza richiede chiara comunicazione, ossia quando si raccolgono dati, deve essere chiaramente indicato il motivo per cui vengono raccolti e come verranno utilizzati.
Quando un'organizzazione ti chiede di fornire ogni tipo di informazione su di te (o non te la chiede nemmeno), senza dirti cosa ne farà e perché, sta violando il GDPR.2. Limitare l’obiettivo
In una parola: precisione. Le organizzazioni devono avere un motivo concreto e legittimo per trattare i tuoi dati personali. I responsabili del trattamento dei dati devono indicare tali finalità nella loro documentazione e, se scelgono il consenso come base giuridica, devono comunicare chiaramente le loro intenzioni. Se nel frattempo si rendono conto che i dati sarebbero utili per altri scopi, peggio per loro. Per fare un esempio, supponiamo che Joe il panettiere chieda ai suoi clienti il consenso per memorizzare i loro indirizzi e-mail e inviare loro newsletter sulle promozioni settimanali. In seguito, potrebbe anche volerli informare dell'apertura della sua nuova rosticceria, ma non ha il consenso per farlo. I clienti non hanno acconsentito a ricevere ogni tipo di e-mail da Joe, tranne quelle sulle offerte della panetteria.
3. Minimizzazione dei dati
Secondo il GDPR, i dati personali devono essere "adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati". Di conseguenza, l’obiettivo di GDPR è quello di ridurre la raccolta dei dati al minimo indispensabile. Ciò significa che le organizzazioni e i loro responsabili del trattamento dei dati devono conservare solo la quantità minima di dati necessaria per i loro scopi. Joe, ad esempio, non dovrebbe raccogliere informazioni sul fatto che i risparmi siano depositati in contanti o in banca, poiché queste informazioni non sono necessarie per informarli sulle offerte settimanali. Questo ha senso, in primo luogo, perché il modo in cui i suoi clienti conservano il loro denaro non è affare di Joe. In secondo luogo, se qualcuno entra nel computer di Joe, meno informazioni possono trapelare, meglio è.
4. Precisione
L'accuratezza dei dati personali è essenziale per la protezione dei dati. I dati personali devono essere: "accurati e, se necessario, aggiornati". Ciò implica che, secondo il GDPR, "devono essere prese tutte le misure ragionevoli" per cancellare o rettificare i dati inesatti o incompleti. I responsabili del trattamento dei dati devono effetuare i controlli sistematici per correggere, aggiornare o cancellare contatti obsoleti o vecchi e altri dati personali imprecisi o incompleti. Per continuare con l'esempio, se una cliente di Joe era presente nel suo elenco con il suo vecchio indirizzo di lavoro, ma ha cambiato lavoro e chiede a Joe di modificare il suo indirizzo nell'elenco, egli è tenuto a farlo per legge.
5. Limitazione del termine
Il principio dei limitazione del periodo di conservazione è strettamente legato alla minimizzazione dei dati e mira a impedire ai responsabili del trattamento di conservare i dati personali più a lungo del necessario. Questo principio stabilisce che i dati personali devono essere conservati solo per il tempo necessario e successivamente cancellati. Ad esempio, se lasci il tuo numero di telefono in un bar affinché ti avvisi se qualcuno trova le tue chiavi smarrite, non dovrebbe conservarlo nel suo archivio una volta che le chiavi sono state ritrovate. Oppure, per fare un altro esempio, se Joe chiude la sua panetteria per concentrarsi completamente sulla sua nuova rosticceria, non può conservare gli indirizzi e-mail dei suoi ex clienti in nome dei "bei tempi andati".
Naturalmente, non tutte le situazioni sono così semplici. Alcune società potrebbero avere bisogno di conservare alcuni dati personali dei loro ex clienti per poter gestire le loro richieste di risarcimento. Le banche non possono cancellare tutti i tuoi dati una volta chiusi i conti, poiché sono obbligate per legge a conservare determinati registri e a metterli a disposizione delle autorità su richiesta (giustificata). I responsabili e gli incaricati del trattamento dei dati possono avere bisogno di conservare alcuni dati per lungo periodo, ma devono sempre avere un'ottima giustificazione per tutti i dati che conservano in qualsiasi momento, per quanto minimi.
6. Integrità e riservatezza
L'essenza di questo principio è: mantenere la sicurezza, perché la sicurezza dei nostri dati è fondamentale. Perché? Il suddetto Joe, ad esempio, non deve raccogliere dati irrilevanti e non necessari sull’utente, in modo che se qualcuno si introduce nel suo computer, il danno potenziale per l’utente sarà relativamente piccolo. Questo è lo scopo della minimizzazione dei dati. Tuttavia, anche con la minimizzazione dei dati, molte aziende trattano dati la cui divulgazione potrebbe danneggiare o allarmare l’utente. Basta pensare ai dati della carta di credito. Oppure immagina di essere molto attivo politicamente e che il tuo indirizzo di casa finisca nelle mani sbagliate. Per evitare tali situazioni, i responsabili del trattamento dei dati devono fare del loro meglio per proteggere i tuoi dati. Quanto più questi dati possono essere pericolosi per l’utente, tanto maggiore sarà l'impegno che dovranno dimostrare.
7. Responsabilità
Quest'ultimo principio può essere visto come un insieme di requisiti generali legati agli altri sei. Chiarisce che la responsabilità della conformità al GDPR spetta a coloro che trattano i dati. Le organizzazioni devono disporre della documentazione necessaria a dimostrare la conformità ai requisiti del regolamento. Un buon registro della documentazione è quindi essenziale per dimostrare la conformità quando viene richiesta dalle autorità e dalle polizze assicurative. In genere, ciò avviene attraverso una combinazione di misure, come ad esempio tutte le minuscole avvertenze sulla privacy che appaiono durante la navigazione in Internet, le politiche interne sul trattamento dei dati, la richiesta ai clienti offline di leggere e firmare le avvertenze sulla privacy, ecc.
Violazioni del GDPR e sanzioni
Uno degli elementi più importanti e discussi del GDPR è stata la capacità delle autorità di regolamentazione di sanzionare le aziende non conformi con multe salate. La violazione dei principi sopra descritti può rivelarsi molto costosa. La violazione di alcuni articoli del GDPR può comportare multe salatissime (fino a 10 milioni di euro o al 2% del fatturato annuo mondiale dell'azienda per l'anno finanziario precedente, se superiore). Tuttavia, quando le violazioni riguardano i principi fondamentali del GDPR, un'azienda può essere multata fino a 20 milioni di euro o al 4% del fatturato annuo mondiale dell'azienda per l'anno finanziario precedente, a seconda di quale sia il valore più alto.