Come funziona il GDPR e come applicarlo

6 Marzo 2018
Posted by: Ufficio Commerciale
Categoria: News

L’analogia libri – dati

Il primo passo per prepararsi al GDPR è capire cosa ci viene chiesto dalla normativa.

Le regole contenute all’interno del testo del GDPR sono piuttosto complesse. In questo articolo però, cerchiamo di utilizzare un linguaggio capace di rendere il regolamento comprensibile anche a un bambino di 5 anni, quindi, invece di parlare di condivisione di informazioni, illustriamo la maggior parte dei punti chiave del GDPR utilizzando l’analogia della condivisione dei libri.

I principi del GDPR

Elaborazione lecita

A volte si può voler condividere i propri libri con altri bambini, a volte no. Va bene. Ognuno ha il diritto di condividere i suoi libri, se e come vuole. Si può tenere dei libri solo per sé stessi e condividerne solo una parte.
Se però vuoi prendere in prestito i libri di un altro bambino, allora devi chiedere prima il permesso. Se il bambino dice “sì“, allora ti è permesso prenderli in prestito. Naturalmente, ciò conta solo se è una scelta reale. Non puoi minacciare di colpirlo se non dice “sì“, questo non è giusto!

Il GDPR afferma che tutto il trattamento dei dati personali deve essere lecito. L’esempio più semplice di elaborazione legale è quando qualcuno ti autorizza a elaborare i suoi dati, ma ci sono altre circostanze che possono rendere lecito il tuo trattamento, ad esempio se hai bisogno di utilizzare i dati per fornire un servizio che il cliente ha acquistato da te.

Diritti individuali

Se chiedi in prestito un libro ad un tuo amico, è comunque il suo libro. Bisogna che tu te ne prenda cura in modo corretto e che ti assicuri di agire come se il libro fosse tuo.

Di seguito ci sono i diritti sui libri (e quindi sui dati).

Il diritto di essere informato

Quando vuoi prendere in prestito un libro, devi identificarti, dire al proprietario quale libro stai prendendo in prestito, per quanto tempo lo terrai, e con chi altri potresti condividerlo; devi essere consapevole che è possibile che il libro ti venga richiesto in qualsiasi momento. Dovresti anche far sapere al proprietario da chi può andare a lamentarsi, se qualcosa non gli torna.

Allo stesso modo, con i dati dei tuoi utenti: se chiedi a un utente di condividere i propri dati con te, devi identificarti, illustrare di quali dati hai bisogno, il motivo per cui ne hai bisogno, ed essere consapevole che questi dati possono essere sempre richiesti dal suo proprietario.

Il diritto di accesso

Se qualcuno ti chiede quale dei suoi libri hai preso in prestito, devi farglielo sapere. Potrebbe volerci un po’ di tempo per essere sicuro al 100% in merito a quale dei suoi libri abbia preso, ma devi farglielo sapere entro un mese dalla sua richiesta. Se c’è una buona ragione, potrebbero essere necessari fino a tre mesi, ma non è mai possibile richiedere più tempo.

Allo stesso modo, con i tuoi dati: se qualcuno chiede alla tua organizzazione quali dati l’impresa ha su di lui, occorre rispondere entro un mese, o in alcune circostanze si possono avere fino a 3 mesi.

Il diritto alla rettifica

Se prendi in prestito un libro, devi prendertene cura. Se malauguratamente ne danneggi uno, il proprietario può chiederti di aggiustarlo e tu non puoi sottrarti dal farlo.

Allo stesso modo, con i tuoi dati: se qualcuno ti chiede di correggere i dati personali che hai memorizzato su di loro, devi farlo ed accertarlo.

Il diritto alla cancellazione (noto anche come il diritto all’oblio)

Chiunque può chiederti di smettere di leggere il suo libro in qualsiasi momento, in questo caso devi fermarti immediatamente

Allo stesso modo, con i tuoi dati: se qualcuno ritira il consenso per il trattamento dei dati, o se i dati non sono più necessari per lo scopo per il quale sono stati raccolti, devi cancellare i dati.

Il diritto alla portabilità dei dati

Se il proprietario ti chiede di restituire il suo libro, egli dovrà essere in grado di usarlo come originariamente previsto al momento della restituzione. Ad esempio, non sarebbe giusto se tu prendessi in prestito un libro, gli staccassi le pagine e lo restituissi pagina per pagina in una scatola, vero?

Allo stesso modo, con i tuoi dati: se qualcuno richiede una copia portatile dei propri dati personali, è necessario fornirli all’interno di un modulo comunemente utilizzato e leggibile dal PC. Così che il proprietario possa riutilizzare quei dati e trasmetterli da un ambiente informatico all’altro, evitando fenomeni di dipendenza forzata dell’interessato da un determinato fornitore di servizi (il cosiddetto lock-in), consentendo, inoltre la trasmissione diretta dei dati personali da un titolare del trattamento all’altro.

Il diritto di obiettare

Se a qualcuno non piace il modo in cui stai usando il suo libro, allora può chiederti di smettere. Devi fermarti subito, a meno che non ci sia un buon motivo per non farlo.

Allo stesso modo, con i tuoi dati: se qualcuno si oppone a come stai usando i suoi dati personali, allora devi interrompere l’elaborazione, a meno che tu non possa mostrare ragioni convincenti per cui devi ignorare i suoi diritti. Se stai utilizzando i dati per il marketing diretto, non ci sono esenzioni o motivi per poter rifiutare.

Le regole più stringenti

Responsabilità e Governance

Se prendi in prestito il libro di qualcuno, allora potresti dover dimostrare che ti è stato dato il permesso e che il libro è stato curato correttamente. Non è sufficiente chiedere il permesso e prendersi cura del libro. Una volta preso in prestito devi essere sempre in grado di dimostrare di averlo fatto.

Le organizzazioni devono conservare tutta la documentazione relativa ai dati, in modo che possano provare di averli ottenuti e elaborati legalmente. Non basta mostrare che non hai avuto violazioni e che nessuno si è lamentato. A questo proposito è fondamentale per l’azienda dotarsi di infrastrutture capaci di gestire correttamente i dati e la documentazione, garantendone un accesso costante e organizzato.

Notifica di violazione

Se per sbaglio danneggi un libro che hai preso in prestito o lo perdi, devi dirlo al proprietario entro tre giorni. Devi comunicargli qualsiasi perdita o danno grave. Devi anche dirlo ai suoi genitori (l’Autorità di Controllo). Devi inoltre spiegare di chi fosse il libro, quale danno è stato fatto, cosa stai facendo per rimediare e come impedirai che accada di nuovo.

Molte organizzazioni troveranno stringente il requisito di informare le autorità e le persone interessate, entro 72 ore da una violazione dei dati.
A questo proposito è necessario un processo di gestione degli incidenti di sicurezza ben progettato e provato. Poiché un errore potrebbe essere molto costoso, per le aziende diventa importante, se non fondamentale, dotarsi di tecnologie che permettano l’attivazione delle massime misure di sicurezza e che rilevino istantaneamente una qualsiasi violazione.

Verso la compliance GDPR

Il GDPR avrà un enorme impatto su qualsiasi organizzazione che controlli o elabori i dati personali. Non solo si devono soddisfare tutti i requisiti, ma occorre anche essere in grado di produrre documenti che dimostrino la compliance.

Se non hai ancora iniziato a pianificare la conformità GDPR, hai urgentemente bisogno di iniziare. C’è molto lavoro da fare per essere conforme e per dimostrare di essere conforme.

Grazie a Stuart Rance per l’idea di creare una guida GDPR adatta a un bambino di 5 anni (https://blog.sysaid.com/entry/how-to-explain-gdpr-to-a-5-year-old).

GDPR

Cookie	Durata	Descrizione
AWSALBCORS	7 days	Questo cookie è gestito da Amazon Web Services e viene utilizzato per il bilanciamento del carico.
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro.
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
CookieLawInfoConsent	1 year	Registra lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie principale.
viewed_cookie_policy	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.
CONSENT	2 years	YouTube imposta questo cookie tramite i video di YouTube incorporati e registra dati statistici anonimi.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC	session	Il cookie YSC è impostato da Youtube e viene utilizzato per tracciare le visualizzazioni dei video incorporati sulle pagine di Youtube.
yt-remote-connected-devices	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt-remote-device-id	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt.innertube::nextId	never	Questo cookie, impostato da YouTube, registra un ID univoco per memorizzare dati su quali video di YouTube l'utente ha visto.
yt.innertube::requests	never	Questo cookie, impostato da YouTube, registra un ID univoco per memorizzare dati su quali video di YouTube l'utente ha visto.

IL GDPR SPIEGATO A UN BAMBINO DI 5 ANNI