Il regolamento generale sulla protezione dei dati(GDPR) entra in vigore il 25 maggio e rivedrà completamente il modo in cui le aziende trattano e gestiscono i dati e darà agli individui un maggiore controllo su chi raccoglie e tratta i loro dati, per cosa vengono usati e come vengono protetti.
Nonostante la scadenza di maggio sia sempre più vicina, ci sono ancora una serie di miti che circondano il GDPR e che devono essere sfatati.
Miti TOP GDPR
Mito 1: Ogni azienda deve nominare un DPO
Questo è falso. Solo alcune organizzazioni dovranno nominare un responsabile della protezione dei dati (DPO) secondo il GDPR.
È necessario nominare un DPO se:
- sei un'autorità pubblica
- le vostre attività principali richiedono un monitoraggio su larga scala, regolare e sistematico degli individui
- le sue attività principali consistono nel trattamento su larga scala di categorie speciali di dati o di dati relativi a condanne penali e reati
Il DPO dovrebbe essere un esperto in GDPR e pratiche di privacy, in quanto è responsabile del monitoraggio e del reporting della conformità al GDPR.
Ci si aspetta che i DPO aiutino a guidare i controllori e i responsabili del trattamento dei dati controllando la conformità interna e suggerendo raccomandazioni correttive adeguate, se necessario. I DPO sono anche tenuti ad agire in modo indipendente all'interno dell'organizzazione.
Mito 2: il GDPR riguarda solo le aziende europee
Questo è falso. Anche se il GDPR è un regolamento europeo, ha implicazioni più ampie. Non importa in quale parte del mondo ti trovi, se la tua azienda ha sede al di fuori dell'UE ma è impegnata in transazioni commerciali con un individuo con sede in Europa, allora il GDPR sarà applicato.
Allo stesso modo, se un'azienda ha sede al di fuori dell'UE ma ha operazioni europee, deve anche conformarsi. Il GDPR riguarda i dati personali e la località della persona quando i suoi dati vengono raccolti. Questo è ciò che determina l'applicabilità del regolamento.
Mito 3: il GDPR non si applicherà al Regno Unito a causa della Brexit
Questo è falso. Il GDPR sarà ancora applicabile dopo la Brexit. Il GDPR è progettato per regolare il modo in cui le organizzazioni elaborano e controllano i dati personali dei cittadini dell'UE, indipendentemente da dove si trovano. Il Regno Unito non lascerà l'Unione europea fino ad aprile 2019, quindi la legge europea continuerà ad essere applicata nel Regno Unito.
Mito 4: Le multe sono la più grande minaccia per il tuo business
Questo è falso. Anche se le organizzazioni che violano il GDPR possono essere affrontate con multe fino al 4% del fatturato globale annuale o 20 milioni di euro, ci sono una serie di altri problemi che le aziende non conformi devono affrontare.
Il GDPR richiede che le organizzazioni comunichino qualsiasi violazione dei dati personali all'autorità di vigilanza competente entro 72 ore dal rilevamento. Se la violazione comporta un rischio elevato di pregiudicare i diritti e le libertà di un individuo, allora anche l'individuo deve essere notificato con effetto immediato.
Questa incertezza e la perdita di dati potrebbero far sì che i clienti se ne vadano e passino alla concorrenza. La perdita di fiducia dei consumatori potrebbe a sua volta danneggiare la reputazione di un'azienda e provocare una perdita di entrate.
Mito 5: Il consenso è l'unico modo per trattare i dati
Questo è falso. Un gran numero di organizzazioni si basa sul presupposto che il consenso sia l'unica base legale per il trattamento dei dati personali. Il consenso è solo uno dei sei scopi legittimi che sono richiesti per tutti i trattamenti di dati personali.
Secondo il GDPR, il "trattamento legittimo" è possibile solo quando:
- C'è il consenso della persona interessata
- Il trattamento è necessario per l'esecuzione di un contratto con la persona interessata
- Il trattamento è necessario per rispettare un obbligo legale
- Il trattamento è necessario per proteggere gli interessi vitali di una persona interessata o di un'altra persona
- Il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico o nell'esercizio dei poteri pubblici conferiti al controllore
- Il trattamento è necessario ai fini dei legittimi interessi perseguiti dal responsabile del trattamento o da un terzo, tranne quando gli interessi sono prevalenti rispetto agli interessi, ai diritti o alle libertà della persona interessata
Se non sei sicuro che la tua azienda sia sulla strada giusta per la conformità al GDPR, contattaci per scoprire come possiamo aiutarti. MetaPrivacy è stato specificamente progettato per fornire l'approccio migliore alla conformità alla privacy dei dati.