Il Regolamento generale sulla protezione dei dati (GDPR) è una nuova legge dell'Unione europea che entra in vigore oggi ed è il motivo per cui hai ricevuto e-mail senza interruzioni e avvisi sugli aggiornamenti delle norme sulla privacy. Quindi come ti influenza? Ecco cosa devi sapere.
La nuova legge GDPR entra in vigore oggi, 25 maggio 2018, e copre la protezione dei dati e la privacy per i cittadini dell'UE, ma si applica anche a molti altri paesi in vari modi, e poiché tutti i giganti della tecnologia sono enormi multinazionali , influisce su molte cose che usi quotidianamente.
Il problema che il GDPR sta cercando di risolvere: le aziende stanno raccogliendo e abusando delle tue informazioni personali
Fin dagli albori di Internet, le aziende hanno raccolto quanti più dati possibili su chiunque possibile. È semplice raccogliere queste informazioni, quindi non c'è motivo per loro di non accumularle.
Il problema è che negli ultimi anni molte aziende sono state sorprese a non proteggere, o ad abusare apertamente, delle tue informazioni personali. Lo scandalo Cambridge Analytica , dove un ricercatore ha utilizzato un quiz di Facebook per raccogliere enormi quantità di dati su milioni di utenti di Facebook e poi li ha venduti a una società di consulenza, è solo l'esempio più recente. L'hacking di Equifax dell'anno scorso è stato particolarmente negativo perché le informazioni trapelate potrebbero essere utilizzate per aprire carte di credito . E quelli sono solo i grandi scandali. Molte aziende hanno abusato dei tuoi dati in modi minori, come venderli a società pubblicitarie di terze parti.
L'UE ha avuto una visione oscura della situazione e sta utilizzando il GDPR per cercare di rimediare. In base alle nuove leggi, le aziende che non proteggono adeguatamente i dati dei consumatori o che ne fanno un uso improprio devono affrontare multe enormi.
Cosa sono i dati personali considerati?
Il GDPR protegge i "dati personali", che qui significa "qualsiasi informazione relativa a una persona fisica identificata o identificabile", e questa è una definizione piuttosto ampia. In realtà, i dati personali generalmente includeranno cose come:
- Dati biografici come nome, indirizzo, numero di telefono, numero di previdenza sociale e così via.
- Dati relativi al tuo aspetto fisico e comportamento come colore dei capelli, razza e altezza.
- Informazioni sulla tua istruzione e storia lavorativa come stipendio, laurea, GPA, ID fiscale e così via.
- Qualsiasi dato medico o genetico.
- Cose come la cronologia delle chiamate, i messaggi privati o i dati di geolocalizzazione.
Questo è ben lungi dall'essere un elenco completo. La chiave è che ogni dato che ti rende identificabile conta. In determinate circostanze, il colore dei tuoi capelli potrebbe essere sufficiente. In altri, anche il tuo nome completo, se è qualcosa di comune come Robert Smith, potrebbe non renderti identificabile.
Cosa fa il GDPR?
Il GDPR conferisce ai residenti dell'UE che stanno raccogliendo i propri dati personali, chiamati "interessati" dalla legge, otto diritti. Loro sono:
- Il diritto di essere informato: Se un'azienda sta raccogliendo dati, deve dire agli interessati cosa viene raccolto, perché viene raccolto, per cosa viene utilizzato, per quanto tempo verrà conservato e se verrà condiviso con terze parti. Queste informazioni non possono essere sepolte in profondità in termini di servizio che nessuno legge; deve essere conciso e in un linguaggio semplice.
- Il diritto di accesso: Se lo richiedono, qualsiasi organizzazione in possesso di dati personali relativi a un interessato deve fornirli entro un mese.
- Il diritto alla rettifica: Se un interessato scopre che un'azienda dispone di dati non corretti, può richiedere che vengano aggiornati. Le aziende hanno un mese per conformarsi.
- Il diritto alla cancellazione: Un soggetto interessato può richiedere che una società cancelli tutti i dati che gli sono conservati in determinate circostanze. Ad esempio, se i dati non sono più necessari o stanno revocando il loro consenso al loro utilizzo.
- Il diritto di limitare l'elaborazione: Se un'organizzazione non è in grado di eliminare i dati di un interessato, ad esempio perché ne hanno bisogno per una causa legale, può richiedere all'azienda di limitare il modo in cui vengono utilizzati.
- Il diritto alla portabilità dei dati: Gli interessati hanno il diritto di prendere i propri dati personali da un servizio e utilizzarli con un altro.
- Il diritto di opporsi: Se i dati vengono raccolti senza consenso ma per legittimi interessi commerciali, per il bene pubblico o da un'autorità ufficiale, l'interessato può opporsi. L'organizzazione deve quindi interrompere l'elaborazione dei dati fino a quando non può dimostrare di avere motivi legittimi per farlo.
- Diritti relativi al processo decisionale automatizzato inclusa la profilazione: Il GDPR mette in atto misure di salvaguardia in modo che le persone possano opporsi o ottenere una spiegazione sulle decisioni automatizzate che riguardano loro ei loro dati.
Un'altra parte importante delle normative è che le aziende devono avere un motivo legittimo per raccogliere o elaborare i dati. Uno dei motivi legittimi è che hanno ottenuto il consenso per utilizzarlo per uno scopo specifico, ma ce ne sono altri come loro ne hanno bisogno per adempiere a obblighi legali o che raccoglierlo è nell'interesse pubblico.
Come puoi vedere, i diritti concessi ai residenti nell'UE dalla legge sono piuttosto ampi e costringono le aziende che raccolgono dati da loro a pensare davvero a cosa stanno raccogliendo e perché. I vecchi tempi in cui si raccoglieva tutto ciò che potevano e si speravano di trovarne un uso in seguito sono finiti, almeno in Europa. Questo è il motivo per cui praticamente ogni servizio a cui hai fornito il tuo indirizzo email ti sta contattando.
Ciò che preoccupa molte aziende è che le sanzioni per non essere conformi al GDPR sono piuttosto dure. Un'organizzazione può essere multata fino a 20 milioni di euro o al 4% del suo fatturato annuo mondiale (a seconda di quale sia maggiore) in base alle leggi. Per aziende come Amazon o Google, ciò equivale a miliardi di dollari di potenziali multe se gestiscono in modo improprio i dati dei residenti dell'UE.
Cosa significa il GDPR per gli americani?
In questo articolo, ci siamo concentrati sui diritti che il GDPR concede ai residenti dell'UE per il semplice motivo che è una legge dell'UE. In realtà non si applica ai cittadini americani, a meno che non siano anche residenti nell'UE. Il motivo per cui ricevi tutte le email è che la maggior parte delle aziende non ha modo di sapere chi è residente nell'UE e chi no.
Questo, tuttavia, non significa che il GDPR non ti riguarderà. Ha spinto molte aziende a rivalutare il modo in cui gestiscono i dati dei consumatori e alcune di loro hanno iniziato a parlare di estendere i diritti del GDPR ai residenti non UE. Inoltre, in molti casi è anche più semplice per le aziende applicare un unico insieme di regole per tutti i clienti.
Ad esempio, Apple ha lanciato un nuovo portale sulla privacy dove le persone possono scaricare tutti i propri dati personali o cancellare il proprio account, in altre parole fornendo alle persone i diritti di accesso e cancellazione. Per il momento, solo gli account con sede nell'UE possono utilizzarlo ma Apple prevede di distribuirlo in tutto il mondo nei prossimi mesi . Allo stesso modo, Facebook lo è borbottando di fornire le stesse protezioni GDPR ad alcuni utenti al di fuori dell'UE .
