Il GDPR è sostenuto da una serie di principi di protezione dei dati che guidano la conformità. Questi principi delineano gli obblighi che le organizzazioni devono rispettare quando raccolgono, elaborano e conservano i dati personali di un individuo.
Mentre i principi di protezione dei dati sono simili a quelli trovati nella precedente direttiva sulla protezione dei dati (DPD), sono più dettagliati per garantire maggiori livelli di conformità e per prendere in considerazione i progressi della tecnologia.
I sette principi del GDPR forniscono alle organizzazioni una guida su come possono gestire al meglio i loro dati personali e raggiungere la conformità con il GDPR.
Il mancato rispetto dei principi può lasciare la vostra organizzazione esposta a multe sostanziali. Il GDPR afferma che le violazioni dei principi di base per il trattamento dei dati personali sono soggette al livello più alto di multe. Questo potrebbe significare una multa fino al 4% del vostro fatturato annuo o 20 milioni di euro, se superiore.
I sette principi di protezione dei dati che dovete rispettare quando trattate i dati personali sono i seguenti:
1. Legalità, equità e trasparenza
Il primo principio è forse il più importante e sottolinea la totale trasparenza per tutti i soggetti dei dati dell'UE. Quando i dati vengono raccolti, le organizzazioni devono essere chiare sul perché vengono raccolti e su come verranno utilizzati. Se una persona interessata richiede ulteriori informazioni sul trattamento dei suoi dati, le organizzazioni hanno il dovere di fornirle in modo tempestivo. La raccolta, l'elaborazione e la divulgazione dei dati devono essere effettuate in conformità con la legge.
2. Limitazione dello scopo
Le organizzazioni devono avere un motivo specifico e legittimo per raccogliere e trattare i dati personali. I dati possono essere utilizzati solo per lo scopo designato e non devono essere trattati per qualsiasi altro uso, a meno che la persona interessata non abbia fornito il suo esplicito consenso. C'è un po' più di flessibilità con il trattamento che è condotto per scopi di archiviazione nel pubblico interesse o per scopi scientifici, storici o statistici.
3. Minimizzazione dei dati
Secondo il GDPR, i dati devono essere "adeguati, pertinenti e limitati a ciò che è necessario in relazione alle finalità per cui sono trattati". Questo significa che le organizzazioni dovrebbero memorizzare solo la quantità minima di dati richiesti per il loro scopo. Le organizzazioni non possono raccogliere dati personali solo nella remota possibilità che possano essere utili in futuro. Se stanno conservando più dati del necessario, è probabile che sia illegale.
4. Precisione
I dati personali devono essere accurati, adatti allo scopo e aggiornati. Questo significa che le organizzazioni dovrebbero rivedere regolarmente le informazioni detenute sugli individui e cancellare o modificare le informazioni imprecise di conseguenza. Gli individui hanno il diritto di richiedere che i dati inaccurati o incompleti siano cancellati o rettificati entro 30 giorni. Questa razionalizzazione delle informazioni aiuterà a migliorare la conformità e ad assicurare che i database aziendali siano accurati e aggiornati.
5. Limitazione dello stoccaggio
Una volta che non hai più bisogno di dati personali per lo scopo per cui sono stati raccolti, dovrebbero essere cancellati o distrutti a meno che non ci siano altri motivi per conservarli. Il GDPR non stabilisce per quanto tempo si debbano conservare i dati personali. Sta alla vostra organizzazione determinarlo, in base agli scopi del trattamento. Per garantire la conformità, le organizzazioni dovrebbero avere un processo di revisione in atto per affrontare la pulizia dei database. Anche se la regola generale è che non si possono conservare i dati personali per un uso futuro, ci sono eccezioni per l'archiviazione, la ricerca o scopi statistici.
6. Integrità e riservatezza
Questo principio riguarda esclusivamente la sicurezza. La vostra organizzazione deve garantire che tutte le misure appropriate siano in atto per proteggere i dati personali in vostro possesso. Questo potrebbe essere la protezione da minacce interne come l'uso non autorizzato, la perdita accidentale o il danno, così come da minacce esterne come il phishing, il malware o il furto. Una scarsa sicurezza delle informazioni potrebbe mettere a repentaglio i vostri sistemi e servizi, oltre a causare disagi agli individui. Non c'è un approccio unico, ma il GDPR afferma che le organizzazioni dovrebbero avere i livelli appropriati di sicurezza per affrontare i rischi presentati dal loro trattamento.
7. Responsabilità
L'ultimo principio, e un nuovo principio sotto il GDPR, afferma che le organizzazioni devono assumersi la responsabilità dei dati che detengono e dimostrare la conformità con gli altri principi. Ciò significa che le organizzazioni devono essere in grado di dimostrare i passi che hanno fatto per dimostrare la conformità. Questo potrebbe includere:
- Valutazione delle pratiche attuali
- Nominare un responsabile della protezione dei dati
- Creare un inventario di dati personali
- Ottenere il consenso appropriato
- Effettuare valutazioni d'impatto sulla protezione dei dati
Aderire a questi principi guida durante la progettazione, l'implementazione e le operazioni aiuterà a garantire che le organizzazioni siano in conformità con il GDPR.
MetaPrivacy è stato progettato per fornire l'approccio migliore alla conformità alla privacy dei dati. Contattateci per ulteriori informazioni su come possiamo aiutare la vostra organizzazione a migliorare la sua struttura di conformità.
DISCLAIMER: Il contenuto e le opinioni di questo blog sono solo a scopo informativo. Non sono intesi a costituire una consulenza legale o professionale e non devono essere considerati o trattati come un sostituto di consigli specifici relativi a circostanze particolari, il Data Protection Act, o qualsiasi altra legislazione attuale o futura. MetaCompliance non accetta alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, o per qualsiasi perdita che possa derivare dall'affidamento sui materiali contenuti in questo blog.
