Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea è una delle leggi sulla privacy più severe al mondo. Ha ispirato una tendenza globale che ha portato paesi e regioni ad approvare leggi simili.
Ma alcune aziende formulano ipotesi errate sui requisiti di questa legge.
Di seguito, scoprirai quali sono i 10 GDPR più comuni che le aziende hanno GDPR e ti spiegherò la verità che si cela dietro di essi.
Che cos'è il GDPR ha un impatto sulla mia attività?
Il GDPR uno dei regolamenti che costituiscono il quadro giuridico in materia di protezione dei dati nell'Unione europea (UE) e nello Spazio economico europeo (SEE).
Se ti trovi in Europa o se ti trovi al di fuori dell'Europa ma raccogli informazioni da persone nell'UE/SEE e offri beni o servizi nella regione, il GDPR sulla tua attività.
Ai sensi dell'articolo 3, paragrafo 2, del GDPR, esso si applica ai responsabili del trattamento o ai responsabili del trattamento al di fuori dell'UE/SEE quando:
- Offrire beni o servizi a persone fisiche nell'UE/SEE (anche se non è richiesto alcun pagamento), oppure
- Monitorare il loro comportamento, ad esempio attraverso analisi, tracciamento, profilazione o cookie utilizzati per osservare l'attività online.
Non è sempre sufficiente avere visitatori del sito web provenienti dall'UE/SEE. L'azienda deve anche dimostrare l'intenzione di rivolgersi agli utenti dell'UE/SEE o di monitorarne il comportamento.
Per il momento, è la legge sulla privacy dei dati più severa al mondo ed è stata la prima del suo genere quando è entrata in vigore nel 2018. Ha anche ispirato la creazione di decine di altre leggi simili in altri paesi, tra cui Stati Uniti, Brasile, Sudafrica e altri ancora.
Il GDPR affronta GDPR i diversi modi in cui le entità possono raccogliere, elaborare e utilizzare legalmente le informazioni personali degli interessati, ovvero delle persone residenti nell'UE/SEE.
Ha un ambito giuridico molto ampio, motivo per cui ha un impatto sulle piccole e grandi imprese, sia all'interno che all'esterno dell'Europa.
Quali sono le GDPR più comuni GDPR ?
Dopo aver riassunto brevemente GDPR il GDPR e quale impatto ha sulle aziende, esaminiamo dieci dei malintesi più comuni che le aziende hanno riguardo a questo importante regolamento.
Idea sbagliata n. 1: le piccole imprese sono esenti dal GDPR
Esiste un malinteso diffuso secondo cui le piccole imprese sarebbero esenti dal GDPR, ma nulla potrebbe essere più lontano dalla verità.
In realtà, non esistono soglie dimensionali associate al GDPR.
Si applica a qualsiasi attività commerciale di qualsiasi dimensione, compresi i privati, purché questi ultimi svolgano un'attività professionale. Il GDPR esenta GDPR la raccolta di dati per uso personale o domestico, come stabilito dall'articolo 2.
Idea errata n. 2: il GDPR si applica GDPR alle aziende dell'UE
Un altro malinteso comune tra le aziende è che il GDPR si applichi GDPR a quelle con sede in Europa, ma non è così.
In realtà, il GDPR una soglia globale e si applica alle aziende sia all'interno che all'esterno dell'Europa.
Come affermato in precedenza, il Regolamento si applica a qualsiasi azienda in Europa o a qualsiasi azienda al di fuori della regione che offra beni o servizi in tale area e monitori i comportamenti online degli interessati nella regione, come indicato nell'articolo 3.
In questo contesto, il termine "beni e servizi" ha un significato molto ampio e include semplicemente la possibilità di accedere a un sito web; non richiede l'effettuazione di alcuna transazione monetaria.
Ciò significa che qualsiasi azienda al di fuori dell'UE/SEE con visitatori del sito web provenienti dall'Europa è soggetta al rispetto della legge.
Idea errata n. 3: il consenso è l'unica base giuridica ai sensi del GDPR
Alcune aziende credono erroneamente che l'unico modo legale per raccogliere dati ai sensi del GDPR ottenere il consenso dell'utente, ma ciò non è del tutto vero.
Esistono in realtà sei basi giuridiche per la raccolta e il trattamento dei dati personali delineate dal GDPR.
Le basi giuridiche sono delineate nell 'articolo 6 e comprendono:
- Consenso
- Obblighi contrattuali
- Obblighi legali
- Interessi vitali
- Compiti pubblici
- Interessi legittimi
Ai sensi del GDPR, l'onere della prova ricade sull'azienda.
In altre parole, se la tua azienda è oggetto di un'indagine da parte di un'autorità di controllo a causa di una violazione della privacy, spetta a te dimostrare che tutte le basi giuridiche indicate nella tua informativa sulla privacy sono accurate e conformi al Regolamento.
Il GDPR linee guida per ciascuna delle sei basi giuridiche per aiutare le aziende a dimostrare la loro piena conformità alla legge.
È importante sottolineare che le autorità di controllo sostengono costantemente che l'interesse legittimo non può essere utilizzato per attività di tracciamento invasivo, analisi che identificano gli utenti o marketing diretto elettronico senza un adeguato test di bilanciamento.
Idea sbagliata n. 4: con il consenso dell'interessato, posso raccogliere tutti i dati che desidero
Alcune aziende potrebbero erroneamente ritenere che, con il consenso dei consumatori, possano raccogliere legalmente qualsiasi dato desiderino ai sensi del GDPR, ma non è così.
La verità è che il GDPR rigide linee guida sulla limitazione dei dati che tutte le aziende devono seguire.
È consentito raccogliere solo dati personali adeguati, pertinenti e limitati a quanto necessario per gli scopi specifici determinati dalla propria organizzazione, che devono essere chiaramente descritti nell'informativa sulla privacy.
Se la tua azienda viene sorpresa a raccogliere più dati di quanto sia effettivamente ragionevole, potresti ricevere multe per violazione del GDPR essere costretto a interrompere tutto il trattamento dei dati.
Idea sbagliata n. 5: se gli interessati ignorano il banner di consenso, accettano i cookie
Un altro malinteso che le aziende hanno spesso riguardo al consenso e al GDPR l'uso dei consenso ai cookie pop-up per consenso ai cookie .
C'è una falsa convinzione secondo cui sia lecito inserire cookie nei browser degli utenti se questi non interagiscono con il banner di consenso.
Tuttavia, ai sensi del GDPR, è necessario ottenere il consenso dell'utente prima di raccogliere qualsiasi dato da lui.
Ciò significa che non è possibile inserire automaticamente cookie non necessari nei loro browser fino a quando non abbiano fornito il loro consenso esplicito e volontario.
Il GDPR condizioni molto chiare per il consenso nell'articolo 7, che includono quanto segue:
- Il consenso deve essere espresso liberamente dall'interessato.
- Il consenso deve essere specifico per determinate finalità e deve essere ottenuto per ogni diversa attività di trattamento.
- L'utente deve essere adeguatamente informato su ciò a cui sta acconsentendo.
- Deve essere inequivocabile e non intrecciato con il consenso ad altri contratti o politiche.
Il GDPR conferisce GDPR agli interessati il diritto di cambiare idea o revocare il proprio consenso in qualsiasi momento. Tale procedura deve essere semplice quanto quella per prestare il consenso.
Affinché l'uso di un consenso ai cookie sia considerato lecito, devono essere soddisfatte tutte le condizioni.
È importante sottolineare che l'obbligo di ottenere il consenso per i cookie non deriva dal GDPR , ma dalla direttiva ePrivacy(articolo 5, paragrafo 3), che richiede il consenso preventivo per i cookie non essenziali.
Le recenti decisioni dell'EDPB, della CNIL (Francia), dell'AEPD (Spagna) e del DPC (Irlanda) confermano che:
- Lo scorrimento non costituisce un consenso valido.
- Le caselle preselezionate sono illegali.
- I cookie wall possono essere illegali a meno che l'utente non disponga di una valida alternativa.
Il consenso deve essere espresso attivamente e i cookie analitici o di marketing non possono essere inseriti fino a quando ciò non avviene.
Idea sbagliata n. 6: il GDPR protegge GDPR i dati dei cittadini europei
Alcune aziende ritengono che il GDPR protegga GDPR le informazioni personali dei cittadini europei, ma ciò non è vero.
In realtà, il GDPR le informazioni di qualsiasi persona fisica che si trovi nell'UE o nel SEE, indipendentemente dalla sua cittadinanza.
Questo perché il GDPR le persone fisiche, come definito nell'articolo 4.
Il termine si riferisce a qualsiasi persona che possa essere identificata e non ha nulla a che vedere con la cittadinanza regionale.
Idea sbagliata n. 7: la mia azienda è troppo piccola per essere oggetto di indagini da parte di un'autorità di vigilanza
Alcune piccole imprese potrebbero pensare che, essendo così piccole, nessuno noterà se non rispettano tutti i requisiti previsti dal GDPR, ma si tratta di un presupposto errato e molto rischioso.
In realtà, le autorità di vigilanza di tutta Europa hanno ricevuto reclami riguardanti aziende e organizzazioni di ogni tipo e dimensione.
Coloro che sono stati giudicati colpevoli durante il processo di indagine sono stati multati, come si può vedere nel GDPR Tracker.
Ad esempio, in paesi come la Germania e l'Austria sono state inflitte multe a privati cittadini, a club di pesca e persino a un asilo nido.
Basta una sola denuncia da parte di un interessato e la tua azienda, indipendentemente dalle sue dimensioni, potrebbe essere soggetta a un'indagine.
Idea sbagliata n. 8: il rispetto del GDPR la sicurezza dei dati
Alcune aziende credono erroneamente che seguire il GDPR i dati che raccolgono siano adeguatamente protetti e al sicuro da violazioni o attacchi informatici.
Il GDPR fornisce uno standard dettagliato in materia di sicurezza informatica, ma impone obblighi concreti in materia di sicurezza ai sensi dell'articolo 32, richiedendo ai titolari e ai responsabili del trattamento di attuare "misure tecniche e organizzative adeguate" quali la crittografia, i controlli di accesso e test regolari.
La verità? Sebbene GDPR possa contribuire a ridurre i rischi per la sicurezza , non garantisce l'immunità dalle violazioni.
Invece, si limita a ritenere le aziende responsabili nel caso in cui i dati da loro conservati vengano violati, divulgati o consultati da soggetti non autorizzati.
Il GDPR alle aziende di definire le misure tecniche e organizzative adeguate per garantire la sicurezza di tutte le informazioni personali, ma il modo in cui farlo dipende interamente da voi.
Idea sbagliata n. 9: il GDPR immutabile e non cambierà mai
Il GDPR in vigore dal 2018 e molte aziende ritengono ormai che si tratti di una legge fissa che non cambierà mai.
In realtà, il panorama giuridico in materia di privacy è in continua evoluzione e anche le raccomandazioni GDPR stanno cambiando e adattandosi.
Ad esempio, la Commissione Europea sta attualmente pubblicando linee guida e proposte di modifica al GDPR tenere conto dei recenti progressi nelle tecnologie di intelligenza artificiale, nel trasferimento transfrontaliero dei dati e altro ancora.
È quindi importante che le aziende che decidono di raccogliere e trattare i dati personali dei consumatori si mantengano aggiornate sulle leggi in materia di privacy e sulle novità relative a eventuali modifiche, emendamenti o nuove leggi che entrano in vigore.
Idea sbagliata n. 10: conformarsi al GDPR complicato e difficile
Il GDPR la reputazione di essere difficile da seguire ed è noto per richiedere molto tempo, denaro e impegno alle aziende.
Tuttavia, esistono numerose risorse che aiutano le aziende ad allinearsi più facilmente al GDPR le seccature e le spese legate al ricorso a un avvocato specializzato in privacy.
Esistono ora diversi generatori di politiche, modelli, plugin WordPress e gestione del consenso progettati specificamente per aiutare le aziende a soddisfare i GDPR .
Il mondo ha avuto diversi anni per imparare ad adattarsi al GDPR. Ora esistono numerose opzioni praticabili e convenienti a cui possono accedere le aziende di qualsiasi dimensione.
Come Termly le aziende a semplificare GDPR
Se la tua azienda deve conformarsi al GDPR, prova a utilizzare GDPR Termly per chiarire eventuali dubbi e risparmiare tempo.
Accedendo a strumenti come il nostro generatore di informativa sulla privacy, potrai redigere più facilmente un'informativa sulla privacy accurata, in modo da soddisfare le linee guida sulla trasparenza previste dalla legge.
La nostra gestione del consenso Platform presenta impostazioni di consenso regionali che si adattano alle diverse scelte degli utenti, come i requisiti di consenso opt-in e opt-out previsti dalle varie leggi sulla privacy.
Puoi anche allineare il tuo sito a framework volontari come IAB TCF v2.2 o Google Consent Mode.
Per saperne di più su chi scrive
Scritto da Natasha Piirainen
Natasha è una Content Specialist con oltre 10 anni di esperienzaprofessionale nello sviluppo di contenutibasati sulla ricerca . Si è laureata in inglese e filosofia al Wheaton College. In Termly sioccupa di privacy dei dati e di gestione del consenso best practice gestione del consenso edè responsabile della manutenzione e dell'aggiornamento di materialecompleto sulla privacy dei dati .
Per saperne di più su chi scrive
Recensione di Teodor Stanciu, CIPP/E, CIPM Coordinatore legale e DPO
