Il regolamento generale sulla protezione dei dati (GDPR) è un regolamento a livello UE che controlla il modo in cui le società e le altre organizzazioni gestiscono i dati personali. Questa è l’iniziativa più importante per la protezione dei dati da 20 anni e ha importanti implicazioni per qualsiasi organizzazione al mondo al servizio di individui dell’Unione Europea.
Al fine di dare alle persone il controllo sul modo in cui i loro dati vengono utilizzati e per proteggere i “diritti e le libertà fondamentali delle persone reali”, la legislazione stabilisce requisiti rigorosi per le procedure di elaborazione dei dati, la trasparenza, la documentazione e il consenso dell’utente.
Ogni organizzazione dovrebbe registrare e tracciare le proprie attività di trattamento dei dati personali.
Come responsabile del trattamento dei dati, ogni organizzazione dovrebbe registrare e tenere traccia delle proprie attività di trattamento dei dati personali. Questo viene gestito non solo dai dati personali elaborati all’interno dell’organizzazione, ma anche da terze parti chiamati responsabili del trattamento.
I responsabili del trattamento dei dati possono essere di qualsiasi tipo, dai fornitori di software come servizio ai servizi di terze parti integrati, al monitoraggio e alla profilazione dei visitatori sul sito Web dell’organizzazione.
Sia i responsabili del trattamento che i responsabili del trattamento dovrebbero essere in grado di spiegare che tipo di dati vengono elaborati, lo scopo del trattamento e a quali paesi e terzi i dati vengono trasmessi.
Se i dati personali vengono inviati a organizzazioni o giurisdizioni a cui il GDPR non può accedere o se non sono considerati “sufficienti” dal GDPR, è necessario informare l’utente in modo specifico su questo e sui rischi associati.
Tutte le approvazioni devono essere registrate come prove di approvazione.
Il 1 ° ottobre 2019, la Corte di giustizia europea ha deciso che l’unica forma di consenso valida nell’UE era il consenso aperto.
Ciò significa che i siti Web dovrebbero ricevere l’approvazione positiva e attiva non solo per le categorie sensibili di dati personali, come richiesto dal GDPR, ma per tutti i tipi di dati personali.
La decisione della CGUE sul consenso valido significa che al banner di conferma del tuo sito Web non è consentito avere caselle di controllo pre-contrassegnate sulle categorie di cookie, ad eccezione di quelle strettamente necessarie per la funzione di base del tuo sito Web.
Questo è noto come approvazione preventiva.
Le persone hanno ora il “diritto alla portabilità dei dati”, “il diritto all’accesso ai dati” e “il diritto all’oblio” e possono revocare il proprio consenso in qualsiasi momento. In tal caso, se il responsabile del trattamento dei dati non deve più essere raccolto, l’individuo deve eliminare i propri dati personali.
In caso di violazione dei dati, la società dovrebbe essere in grado di informare le autorità di protezione dei dati e le persone interessate entro 72 ore.
Inoltre, i funzionari governativi del GDPR sono tenuti ad assumere o formare un responsabile della protezione dei dati (DPO) per organizzazioni con oltre 250 dipendenti e aziende che elaborano dati personali sensibili su larga scala. L’RPD dovrebbe adottare misure per garantire la conformità al GDPR in tutta l’azienda.
Per quanto riguarda la Brexit, il governo del Regno Unito prevede di attuare una legislazione equivalente che seguirà ampiamente il PIL.
Cosa significa PIL per il mio sito Web?
Se il tuo sito web serve persone dell’UE e tu – o servizi di terze parti integrati come Google e Facebook – stai elaborando dati personali, devi ottenere l’approvazione preventiva dal visitatore.
Per ottenere una conferma valida, è necessario spiegare la portata e lo scopo del trattamento dei dati in una lingua aperta al visitatore prima di elaborare i dati personali.
Queste informazioni dovrebbero essere sempre disponibili per il visitatore, ad es. come parte della vostra politica sulla privacy. Dovresti anche aprire un modo semplice per il visitatore di modificare o revocare il consenso.
Tutte le approvazioni devono essere registrate come prove. Tutto il monitoraggio dei dati personali e anche i servizi di terzi utilizzati devono essere documentati;
Scopri le informazioni dell’UE sulla riforma delle leggi sulla protezione dei dati.