Il GDPR armonizza il modo in cui i dati personali vengono elaborati, utilizzati, archiviati e scambiati in modo sicuro in tutti gli Stati membri dell'UE. Le organizzazioni che rientrano nel radar dell'UE dovranno dimostrare la sicurezza dei dati che stanno elaborando. Dovranno inoltre attuare sostanziali misure tecniche e organizzative per dimostrare la loro conformità al GDPR su base continua.
Azioni di sicurezza richieste Il GDPR ha istruzioni specifiche per quali tipi di azioni di sicurezza possono essere richieste:
1. La crittografia e la pseudonimizzazione dei dati personali. 2. Le organizzazioni dovrebbero prevedere test, valutazioni e valutazioni regolari dell'efficacia delle politiche tecniche e organizzative per garantire la sicurezza dei dati.
3. Disposizioni per la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e servizi di elaborazione. 4. In caso di incidente fisico o tecnico, le organizzazioni hanno il diritto di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo.
Dati personali Il GDPR intende proteggere i dati personali dei residenti nell'UE e i dati ritenuti personali sono: 1. Informazioni di base sull'identità come nome, e-mail, indirizzo e numeri ID 2. Dati Web come posizione, indirizzo IP, dati sui cookie e tag RFID 3. Dati sanitari, genetici e biometrici 4. Dati razziali o etnici 5. Opinioni politiche 6. Orientamento sessuale
Pena Le autorità del GDPR saranno in grado di emettere multe fino a un massimo di 20 milioni di EUR o il 4% del fatturato mondiale annuo, a seconda di quale sia maggiore in caso di violazione dei termini elencati dalle autorità.
Quali sono i diritti autorizzati degli interessati?
Notifica di violazione In caso di violazione dei dati che potrebbe comportare un uso e una distribuzione non autorizzati dei dati, i responsabili del trattamento dei dati dovranno notificare agli interessati la violazione entro 72 ore dalla presa di coscienza della stessa. Allo stesso modo, i Responsabili del trattamento dei dati dovranno informare i Responsabili del trattamento dei dati sulla violazione entro il termine stabilito.
Diritto di accesso Il GDPR offre agli interessati il diritto di ottenere informazioni su come, dove e per quale scopo vengono elaborati i loro dati personali.
Diritto all'oblio Conosciuto anche come cancellazione dei dati, il diritto all'oblio dà diritto all'interessato di cancellare i propri dati personali dai registri dei responsabili del trattamento. Il diritto all'oblio consente inoltre loro di interrompere o cessare l'ulteriore distribuzione e utilizzo dei dati da parte di terzi.
Portabilità dei dati Il GDPR introduce la portabilità dei dati - il diritto per l'interessato di ricevere i dati personali che li riguardano, che in precedenza hanno fornito in un formato di uso comune e leggibile da una macchina e hanno il diritto di trasmettere tali dati a un altro controllore. DPO
Ciò significa essenzialmente che se si desidera passare da un fornitore di servizi all'altro, il precedente fornitore di servizi dovrebbe fornire i dati completi in un formato leggibile dalla macchina che può essere utilizzato per integrarsi con il nuovo fornitore di servizi.
Privacy di design La privacy di progettazione è formalmente introdotta nel GDPR per facilitare la progettazione efficace di sistemi che rispondono alle migliori pratiche di protezione dei dati. Il responsabile del trattamento deve attuare le misure tecniche e organizzative appropriate in modo efficace al fine di soddisfare i requisiti di questo diritto e proteggere i diritti degli interessati. I responsabili del trattamento dovrebbero conservare ed elaborare solo i dati assolutamente necessari per l'espletamento delle sue funzioni, nonché limitare l'accesso ai dati personali ai responsabili del trattamento.
|