Una guida al GDPR: il regolamento generale sulla protezione dei dati

Pubblicato: 2021-03-09

Il regolamento generale sulla protezione dei dati (GDPR) è stato approvato nel maggio 2018 nel tentativo di proteggere i cittadini dalle violazioni dei dati dovute a negligenza o malintenzionati. Il regolamento europeo è uno dei tanti che stanno cercando di rendere gli ambienti digitali più sicuri per i consumatori: CCPA in California, LGPD in Brasile, PIPL in Cina, PIPEDA in Canada.

Il GDPR è una risposta alla crescente preoccupazione dell'opinione pubblica in Europa sulla privacy dei dati. L'Unione Europea ha utilizzato il regolamento per salvaguardare la protezione dei dati nell'UE e nello Spazio economico europeo con un'applicazione rigorosa delle regole, poteri di indagine e sanzioni sostanziali per non conformità o in caso di violazione dei dati.

Il GDPR offre ai consumatori la protezione dei dati, tra cui:

  1. Il diritto di essere informato
  2. Il diritto di accesso
  3. Il diritto alla rettifica
  4. Il diritto alla cancellazione
  5. Il diritto di limitare il trattamento
  6. Il diritto alla portabilità dei dati
  7. Il diritto di opporsi
  8. Diritti in relazione al processo decisionale automatizzato e alla profilazione

Chi deve preoccuparsi della conformità al GDPR

Inutile dire che se sei un'azienda europea o un'azienda che fa affari in Europa, devi essere a conoscenza dei requisiti GDPR.

Anche le aziende negli Stati Uniti dovrebbero prestare attenzione al GDPR perché, sebbene il regolamento sia specifico per l'Europa, riguarda le aziende al di fuori dell'UE e del SEE che gestiscono anche i dati dei consumatori europei. L'economia globale non è isolata e ci sono molte ricadute; dovresti controllare i fornitori con cui lavori per assicurarti che soddisfino i requisiti di conformità per evitare qualsiasi responsabilità.

Se sei una società di e-commerce, tu come commerciante sei il titolare del trattamento dei dati dei tuoi consumatori. La scelta dei partner giusti con cui lavorare farà parte del modo in cui raggiungerete la completa conformità. Ad esempio, Shopify ha molte risorse relative al GDPR per aiutarti a comprendere i tuoi obblighi e per dimostrare la propria conformità.

Anche i consumatori statunitensi dovrebbero essere interessati al GDPR in quanto potrebbe avvantaggiarli a loro insaputa. Il GDPR garantisce tutele non solo per i cittadini europei ma anche per tutti i consumatori i cui dati sono oggetto di traffico in Europa, come quelli che visitano per vacanza o per affari. Dovrebbe anche servire a ricordare che tipo di dati è e non è protetto negli Stati Uniti.

Atteggiamenti dei consumatori nei confronti della protezione dei dati

Il rapporto RSA sulla privacy e sulla sicurezza dei dati ha intervistato oltre 7.500 consumatori in Francia, Germania, Italia, Regno Unito e Stati Uniti sull'impatto che la privacy, i dati e le normative hanno sulle loro relazioni con le aziende.

Ha mostrato una sfiducia nei confronti dei marketer online e una paura degli hacker poiché "Più del 40% degli intervistati ha ammesso di aver falsificato informazioni e dati personali durante l'iscrizione a prodotti e servizi online" al fine di evitare di essere commercializzati o di perdere dati sensibili.

L'80% degli intervistati ha indicato le informazioni finanziarie e bancarie come una preoccupazione per l'esposizione dei dati in una violazione dei dati, oltre ad essere preoccupata per le proprie password (76%) e informazioni sull'identità come passaporti e patenti di guida (72%).

Altri dati demografici interessanti includevano che il 51% degli intervistati tedeschi è protettivo sui propri dati genetici e il 51% dei millennial più giovani (di età compresa tra 18 e 24 anni) è preoccupato per le informazioni personali utilizzate per il ricatto.

C'è un imperativo per costruire uno spazio online in cui i consumatori possano avere fiducia, ma c'è anche un incentivo per le aziende a migliorare le proprie pratiche di sicurezza dei dati: l'82% degli intervistati del Regno Unito ha affermato che boicotterebbe un'azienda che ha continuamente dimostrato di non avere alcun riguardo per proteggere i dati dei clienti.

Sebbene la minaccia del boicottaggio possa non essere un incentivo sufficiente per le aziende all'autoregolamentazione, le nazioni europee hanno sviluppato un quadro normativo sostanziale e progressivo che costringe le aziende a prendere sul serio la questione della sicurezza dei dati e non hanno avuto paura di imporre multe enormi per dimostrare la gravità della questione.

Che tipo di dati personali sono protetti dal GDPR

Nell'ambito delle ampie normative di conformità del GDPR, le aziende devono salvaguardare i dati dei consumatori, tra cui:

  • Informazioni di identificazione personale (PII), come nome, indirizzo e numeri ID.
  • Dati Web, come indirizzi IP, dati sui cookie e tag RFID.
  • Salute e dati genetici.
  • Opinioni politiche.
  • Orientamento sessuale.

I vantaggi del GDPR

Il GDPR è completo e progressivo. Le multe elevate inflitte potrebbero aver infastidito Google, ma sono un mezzo per raggiungere un fine, un fine che è un ambiente digitale più sicuro che protegge i consumatori e tiene le aziende responsabili della progettazione di sistemi migliori. Il CEO di Apple, Tim Cook, ha affermato che "dovrebbe essere la legge in tutto il mondo" e che i governi dovrebbero prendere posizione per la privacy dei dati dei consumatori.

Sebbene il GDPR potrebbe non applicarsi a tutte le società nordamericane, essere uno dei primi ad adottare le pratiche di sicurezza dei dati è vantaggioso per la tua azienda. Michael Fimin, scrivendo sulla rivista Forbes, riconosce cinque vantaggi alla conformità al GDPR.

1. Maggiore sicurezza informatica

Il GDPR "richiede alle organizzazioni di identificare la propria strategia di sicurezza e di adottare misure amministrative e tecniche adeguate per proteggere i dati personali dei cittadini dell'UE". Mettere in atto queste pratiche protegge i tuoi dati e migliora la tua sicurezza informatica.

2. Migliore gestione dei dati

Quando esamini la raccolta e l'archiviazione dei dati, "sbarazzati dei file (ROT) ridondanti, obsoleti e banali che la tua organizzazione conserva" e rendi i tuoi dati ricercabili. I tuoi dipendenti saranno più efficienti se i tuoi sistemi sono snelli, indicizzabili e ricercabili.

3. Aumento del ROI con lead più qualificati

Quando hai modificato la tua politica sui cookie in una a cui gli utenti devono acconsentire, potresti avere un pool di dati più piccolo, ma poiché tutti in quel pool avrebbero dovuto prendere attivamente una decisione per consentirti di utilizzare i loro dati, dovrebbero considerarsi più qualificati.

4. Fiducia dei consumatori

I consumatori sono preoccupati per il modo in cui i loro dati vengono raccolti, utilizzati ed esposti a rischi online. Andare oltre i requisiti americani per proteggere i dati dei tuoi clienti secondo lo standard del GDPR evidenzia quanto apprezzi i loro dati personali e quanto seriamente prendi la minaccia di violazioni dei dati.

5. Differenziazione del mercato

Essere un early adopter ha molti vantaggi. Puoi passare attraverso molte iterazioni delle pratiche di sicurezza dei dati per perfezionare i tuoi sistemi prima che un utente in ritardo entri in quello spazio, anticipi i requisiti di eventuali normative future e puoi ottenere la conformità prima che sia obbligatoria o applicabile, e questo ti darà la differenziazione del mercato in un mare di concorrenti che non hanno ancora fatto una mossa sulla sicurezza dei dati. Come dice Fimin, la conformità al GDPR è la tua opportunità per "implementare una nuova cultura aziendale che tiene a cuore la privacy umana. Il GDPR è la tua opportunità per eccellere”.

Svantaggi del GDPR

Una preoccupazione per normative così pesanti è che il costo della conformità potrebbe essere una barriera all'ingresso di nuove aziende nello spazio digitale, che è stato pensato come un ambiente che premia il rischio, l'innovazione e le interruzioni delle nuove aziende. Le aziende con scalabilità rapida potrebbero essere meno competitive rispetto ai concorrenti più grandi che già esistono sul mercato.

Per le aziende più grandi o per le aziende che trattano grandi volumi di dati personali, ci sono i costi associati all'assunzione o alla promozione di un responsabile della protezione dei dati incaricato della protezione dei dati e del rispetto delle autorità europee. Le multe potrebbero essere pesanti e dissuasive, ma lo sono anche i costi associati alla conformità. Il sovraccarico aggiuntivo potrebbe essere una campana a morto per le PMI.

La conformità è qualcosa che deve essere gestito attivamente. Le aziende più piccole potrebbero non essere in grado di tenere il passo con la conformità nella stessa capacità delle aziende più grandi. Ciò preserva il vantaggio competitivo che queste grandi aziende hanno già.

Le limitazioni su come le aziende possono raccogliere, archiviare e utilizzare i dati avranno un impatto sul lato tecnico della pubblicità su cui fanno affidamento molte PMI. Senza la comprensione di dati di qualità per scopi di marketing, le aziende hanno difficoltà a raggiungere il pubblico previsto e ai consumatori potrebbero essere offerti annunci meno pertinenti. Una grande pubblicità avvantaggia sia il consumatore che l'inserzionista quando i prodotti giusti vengono messi davanti agli occhi giusti.

Un'altra critica al GDPR è che è andato troppo oltre e che l'eccesso di regolamentazione porterà a uno stato costante in cui ai consumatori viene chiesto il consenso online. Gli utenti riceveranno costantemente banner sui cookie o le aziende non raccoglieranno dati sensibili in primo luogo, ma utilizzeranno invece analisi dei dati alternative per ottenere la conformità senza alcuna richiesta di attivazione ai visitatori del sito web.

Come ottenere la conformità al GDPR

La privacy dei dati è una questione globale e il GDPR ha un impatto su qualsiasi azienda che gestisce i dati dei residenti nell'UE. Se il tuo sito web raccoglie i dati degli utenti con un software di analisi, questo regolamento ti riguarda e dovrai passare dalla raccolta dei dati di opt-out a quella di opt-in.

Controlla i dati che stai raccogliendo.

Comprendi che tipo di dati elabori, come vengono archiviati e chi nella tua organizzazione ha accesso ad essi. Monitora i tuoi fornitori che raccolgono dati dal tuo sito web e controlla le loro dichiarazioni sulla conformità al GDPR.

Rivolgiti alla privacy a tutti i livelli.

Non prestare attenzione solo a come sono progettati i sistemi o come vengono archiviate le informazioni, ma anche a chi ha accesso locale agli account.

Adotta un approccio basato sul rischio.

La conformità alla sicurezza dei dati richiede collaborazione; raccogliere informazioni e input da tutti nella tua organizzazione. Unendoti per identificare i tuoi maggiori rischi e dare priorità alle loro correzioni, puoi riconoscere efficacemente i tuoi rischi e ottenere la conformità.

Controllo dei dati

I consumatori europei ora hanno diritti estesi su come vengono raccolti e utilizzati i loro dati personali, ma hanno anche il diritto alla "portabilità dei dati", il che significa che possono richiedere una copia dei dati personali in loro possesso o richiederne essere rettificato o cancellato.

Le aziende fortemente investite nello spazio digitale e nel traffico di dati personali a qualsiasi livello dovranno sviluppare pratiche e tecnologie che consentano loro di conformarsi facilmente alle normative.

  • Monitora e proteggi continuamente le risorse digitali.
  • Mettere in atto controlli adeguati per proteggere i dati dalle violazioni.
  • Rendere i dati disponibili agli interessati entro "un tempo ragionevole".

Cosa succede se non rispetti: sanzioni GDPR

Le sanzioni di alto profilo per il GDPR sono state enormi. Nel primo anno della nuova norma, Google ha ricevuto una multa di 50 milioni di euro. Intersoft Consulting scrive delle multe del GDPR che sono progettate per essere "efficaci, proporzionate e dissuasive per ogni singolo caso".

Il regolamento è stato redatto con una doppia struttura sanzionatoria per penalizzare le aziende:

Le infrazioni minori sono "soggetti a sanzioni amministrative fino a 10 milioni di euro o, nel caso di un'impresa, fino al 2% del fatturato annuo totale mondiale dell'esercizio finanziario precedente, a seconda di quale sia il maggiore".

Le infrazioni gravi sono "soggetti a sanzioni amministrative fino a 20 milioni di euro o, nel caso di un impegno, fino al 4 per cento del fatturato annuo totale mondiale dell'esercizio precedente, a seconda di quale sia il maggiore".

Le sanzioni possono essere decise in considerazione di:

  • la natura, la gravità e la durata della violazione, tenendo conto della natura dell'ambito o della finalità del trattamento in questione, nonché del numero di interessati interessati e del livello del danno da essi subito.
  • il carattere intenzionale o negligente della violazione.
  • qualsiasi azione intrapresa dal titolare o dal responsabile del trattamento per mitigare il danno subito dagli interessati.
  • il grado di responsabilità del titolare del trattamento o del responsabile tenuto conto delle misure tecniche e organizzative da questi messe in atto.
  • eventuali precedenti violazioni da parte del titolare del trattamento o del responsabile del trattamento.
  • il grado di collaborazione con l'autorità di controllo, al fine di porre rimedio alla violazione e mitigare i possibili effetti negativi della violazione.
  • le categorie di dati personali interessate dalla violazione.
  • il modo in cui la violazione è venuta a conoscenza dell'autorità di controllo, in particolare se, e in caso affermativo, in quale misura, il responsabile del trattamento o il responsabile del trattamento ha notificato la violazione.
  • qualora le misure di cui all'articolo 58, paragrafo 2, siano state preventivamente disposte nei confronti del titolare del trattamento o del responsabile del trattamento interessati in relazione allo stesso oggetto, il rispetto di tali misure.
  • adesione a codici di condotta approvati ai sensi dell'articolo 40 o meccanismi di certificazione approvati ai sensi dell'articolo 42.
  • ogni altra aggravante o attenuante applicabile alle circostanze della fattispecie, quali benefici economici acquisiti, o perdite evitate, direttamente o indirettamente, dalla violazione.

Quali sono le multe medie per le violazioni del GDPR?

Il GDPR è diventato legge nel maggio del 2018 e solo nel resto di quell'anno sono state emesse 91 sanzioni per un totale di 55.955.871 euro. Per la maggior parte, sono le multe di alto profilo ad ottenere la maggior parte dell'attenzione, ma non tutte le multe del GDPR vengono pubblicate o fanno notizia. Quando si rimuove dai dati la multa di 50 milioni di euro inflitta a Google, la sanzione GDPR media che un'azienda ha dovuto affrontare è stata di circa 66.000 euro.

L'Autorità olandese per la protezione dei dati (DPA) ha pubblicato le sue linee guida per sanzionare le infrazioni a marzo 2019. Hanno sviluppato un sistema di penalità a più livelli con quattro categorie a seconda della gravità dell'infrazione.

La categoria I si applica in caso di violazioni semplici o materiali, come "la mancata condivisione dei dati di contatto del responsabile della protezione dei dati (DPO) della società o la registrazione adeguata delle responsabilità dei responsabili del trattamento o dei contitolari del trattamento". Gamma fine di € 0 – € 200.000; sanzione ordinaria di € 100.000.

La categoria II si applica quando un'azienda non soddisfa specifici obblighi e requisiti GDPR. Gamma fine di € 120.000 – € 500.000; sanzione ordinaria di 310.000 euro.

La categoria III si applica quando un'azienda rifiuta di essere trasparente con i propri utenti o con l'Autorità olandese per la protezione dei dati (DPA), rifiutandosi di notificare le violazioni all'ADP o rifiutandosi di collaborare con l'ADP. Gamma fine di € 300.000 – € 750.000; sanzione ordinaria di 525.000 euro.

La categoria IV si applica quando un'azienda si impegna nel trattamento illecito di dati sensibili, nella profilazione illegale o nel rifiuto di conformarsi a specifiche direttive del DPA olandese. Gamma fine di € 450.000 – € 1.000.000; penale standard di 725.000€*
*Solo nel caso in cui si applichi il 20.000.000 € / 4% del fatturato annuo

Casi notevoli di applicazione del GDPR

Nell'autunno del 2020, Marriott e British Airways hanno ricevuto multe sostanziali a seguito di violazioni dei dati separate nel 2018 che hanno colpito negativamente i consumatori.

British Airways | $ 25,85 milioni | Regno Unito, 2020

British Airways è stata multata di $ 25,85 milioni e 400.000 dei dati dei suoi clienti sono stati compromessi nella violazione dei dati. La multa inflitta loro dall'Information Commissioner's Office (ICO) è stata per le loro debolezze nella sicurezza dei dati dopo che l'indagine ha rilevato che stavano elaborando "una quantità significativa di dati personali senza adeguate misure di sicurezza in atto".

Sebbene la multa fosse la più grande multa che l'ICO avesse inflitto, inizialmente avevano proposto una multa di $ 229 milioni prima di prendere in considerazione l'impatto economico che il Covid-19 ha avuto sull'industria aeronautica. L'ICO ha anche dato credito a BA per i "notevoli miglioramenti alla sua sicurezza informatica" in seguito all'attacco e per aver rispettato gli investigatori, entrambi i quali hanno contribuito a ridurre il totale della multa originale.

Marriott International | $ 23,8 milioni | Regno Unito, 2020

Nel 2020, Marriott Hotels ha ricevuto una multa di 23,8 milioni di dollari per una violazione dei dati che ha esposto 339 milioni di record di ospiti, colpendo 30 milioni di utenti in tutta l'UE. La cosa interessante del caso Marriott è che la violazione originale risale al 2014 ma è stata scoperta solo nel 2018 e "la sanzione copre solo la parte della violazione che risale al 25 maggio 2018, quando è entrato in vigore il GDPR .”.

Come la multa British Airways, data poche settimane prima della multa Marriott, il governo del Regno Unito ha ridotto l'importo totale della multa da $ 123 milioni a causa dell'impatto economico del Covid-19, nonché degli sforzi di mitigazione e conformità da parte dell'azienda.

Google | 57 milioni di dollari | Francia, 2018

Google, sin dall'inizio del GDPR, è stata l'ira dei regolatori di dati francesi. Nel 2018 la società è stata multata di 50 milioni di euro per “mancanza di trasparenza, informazioni inadeguate e mancanza di un valido consenso alla personalizzazione degli annunci”.

Google | 121 milioni di dollari | Francia, 2020

Alla fine del 2020, le autorità di regolamentazione francesi hanno nuovamente inflitto a Google una multa di 100 milioni di euro, sebbene Google stia attualmente combattendo contro l'importo in tribunale. La multa è stata perché quando gli utenti hanno visitato google.fr "sette cookie sono stati inseriti nel loro terminale, prima di qualsiasi azione da parte loro".

Amazon | 42 milioni di dollari | Francia, 2020

Amazon ha anche ricevuto una multa di 35 milioni di euro dalle autorità di regolamentazione francesi per la stessa violazione dei cookie. Le autorità francesi hanno stabilito che né Google né Amazon soddisfacevano "il requisito di informazioni preliminari, chiare e complete per gli utenti, né il requisito di ottenere il loro consenso e che il meccanismo per opporsi a questi cookie era parzialmente difettoso".

H&M | $ 41,3 milioni | Germania, 2020

Mentre le altre istanze di alto profilo dell'applicazione del GDPR erano dovute a consumatori colpiti da violazioni dei dati e pratiche aziendali, la multa di H&M era per aver sorvegliato illegalmente i propri dipendenti in Germania.

L'autorità per la protezione dei dati di Amburgo (HmbBfDI) ha pronunciato la sanzione, la più grande della Germania dall'attuazione del GDPR, dopo che la società era stata trovata a monitorare eccessivamente la vita privata dei suoi dipendenti. Almeno dal 2014, alcuni membri del personale erano stati oggetto di “un'ampia registrazione di dettagli sulla loro vita privata”.

“Dopo assenze come ferie e congedi per malattia, i leader del team di supervisione hanno condotto i cosiddetti colloqui di benvenuto con i loro dipendenti. Dopo questi colloqui, in molti casi sono state registrate non solo le esperienze concrete di vacanza dei dipendenti, ma anche i sintomi della malattia e le diagnosi”, ha affermato HmbBfDI. "Inoltre, alcuni supervisori hanno acquisito un'ampia conoscenza della vita privata dei loro dipendenti attraverso discorsi personali e sul pavimento, che vanno da dettagli piuttosto innocui a questioni familiari e credenze religiose".

Le pratiche di raccolta dei dati sono state svelate nell'ottobre 2019 dopo che un errore interno ha consentito l'accesso alle informazioni per diverse ore. Il Prof. Dr. Johannes Casper, Commissario di Amburgo per la protezione dei dati e la libertà di informazione, ha affermato in merito alla sanzione: "L'importo della sanzione inflitta è quindi adeguato ed efficace per dissuadere le aziende dal violare la privacy dei propri dipendenti".

I nostri pensieri sul GDPR

Il GDPR è un atto progressivo e completo che stabilisce uno standard per la protezione dei dati che protegge i consumatori e questa è una buona cosa per gli individui. Le sanzioni sono concepite per essere proporzionate ed efficaci, per costringere le aziende a vedere quanto sia grave la questione della protezione dei dati e per dissuadere il mancato rispetto.

Sono europeo, quindi potrei essere di parte; Il GDPR si allinea con la mia sensibilità europea. Ma le mie priorità sono con le aziende per cui fornisco valore e credo che anche le migliori pratiche di sicurezza dei dati siano nel loro migliore interesse.

Sì, il cambiamento potrebbe avere alcune difficoltà iniziali per le aziende che non sono in grado di conformarsi abbastanza rapidamente o di permettersi il costo dell'assunzione di professionisti della conformità per gestire rischi specifici. Tuttavia, le multe sono abbastanza costose da considerare di investire in professionisti della conformità o almeno di controllare i rischi esistenti.

Aiuta le agenzie europee per l'applicazione dei dati a collaborare con i responsabili del trattamento dei dati per mitigare le ricadute di eventuali o potenziali violazioni. Non si limitano a infliggere sanzioni, ma vogliono attivamente che l'ambiente digitale sia più sicuro, più intelligente e più migliorato; ripristinare la fiducia dei consumatori negli spazi digitali; e per fornire agli utenti diritti e tutele sui loro dati personali.

Con l'approccio opt-in per il remarketing per i visitatori del tuo sito web, il remarketing potrebbe diventare più snello. Puoi essere certo che gli utenti delle tue liste abbiano preso la decisione consapevole di aderire per essere presenti. Avere sistemi in atto per organizzare e controllare i propri dati elimina anche gran parte del rumore nei dati; rimozione dei dati ridondanti, obsoleti e banali (ROT). I tuoi dati saranno oro, vorrai proteggerli e il tuo team sarà ancora più efficiente per questo.

Non siamo avvocati; non possiamo aiutarti a verificare e ottenere la conformità in materia di sicurezza informatica, ma possiamo creare un sito Web eccezionale che soddisfi i requisiti GDPR e possiamo lavorare insieme al tuo team di gestione dei dati per creare un ambiente digitale che rafforzi la fiducia dei consumatori nel tuo marchio e soddisfi i tuoi obiettivi di business.