Sommario:
Video: GDPR: Diritti e doveri contenuti nel regolamento europeo e come prepararsi (Settembre 2024)
Ormai hai sicuramente sentito parlare del GDPR, che è il regolamento generale sulla protezione dei dati dell'Unione europea (UE). Il GDPR è stato adottato per proteggere le informazioni personali degli utenti europei da divulgazione non autorizzata e uso improprio. Come tale, il GDPR pone limiti molto severi su dove i dati dei cittadini dell'UE possono essere archiviati, come possono essere utilizzati, per quanto tempo possono essere conservati e come sono protetti.
Ciò significa che potresti stare meglio dimenticandoti delle attività europee per un po ', a meno che tu non sia sicuro di poter rispettare le regole. L'UE ha un sito Web eccellente che spiega il processo. Se hai intenzione di fare affari in Europa, allora tu e la tua gente IT dovete leggere questo sito Web.
Ma se sei una grande azienda che sta già facendo affari nell'UE, è probabile che tu sia già ben consapevole dei requisiti e probabilmente sei sulla buona strada per essere in grado di dimostrare la conformità alle regole.
Ma supponi di non essere una di quelle organizzazioni? Bene, è probabile che il GDPR ti colpisca ancora. Dovrai sederti e guardare la tua situazione per essere sicuro. Ecco una rapida occhiata alle principali cose che devi considerare.
Operazioni e protezione dei dati
Innanzitutto, guarda le tue operazioni. Ti rivolgi a qualsiasi tipo di sforzo di marketing, non importa quanto piccolo, nei confronti dei cittadini dell'UE? Potrebbe essere semplice come avere una versione del tuo sito Web in una lingua europea o la possibilità di accettare pagamenti in valute europee. O raccogli dati personali di qualsiasi tipo per qualsiasi scopo, anche se non per una transazione finanziaria?
Ciò non significa che stai prendendo di mira gli europei se trovano il tuo sito web con sede negli Stati Uniti e acquistano qualcosa venduto in dollari USA. Ma anche allora, devi stare attento a cosa fai con i dati e per quanto tempo li conservi. Ma se ti aspetti di vendere regolarmente agli acquirenti europei, allora potrebbe essere una buona idea trovare una società europea per servire i tuoi account lì.
Nel frattempo, se ritieni che ci siano possibilità di finire per trattare con i cittadini dell'UE, sarebbe una buona idea assicurarti di seguire le regole in materia di protezione e divulgazione dei dati.
Le norme sulla protezione dei dati implicano la necessità di proteggere i dati dei cittadini dell'UE da perdita, furto o divulgazione. È inoltre necessario eliminare i dati il più presto possibile. E se un dato di un cittadino dell'UE viene violato, hai 72 ore dopo che è stato scoperto per segnalarlo alle autorità europee.
È inoltre necessario indicare come si prevede di utilizzare i dati e per quanto tempo si prevede di conservarli. Le informazioni devono essere chiaramente e semplicemente dichiarate e il cittadino dell'UE deve essere in grado di essere d'accordo o meno. E ci sono alcune cose da tenere a mente riguardo alla divulgazione: non puoi avere le caselle pre-controllate per impostazione predefinita e non puoi usare quei documenti "Termini e condizioni" densi, infiniti e legali come divulgazione.
Un cittadino dell'UE può scegliere di non essere d'accordo con la tua divulgazione e deve esserci un modo per dire "no". Tuttavia, se le informazioni richieste sono necessarie per fornire il bene o il servizio (ad esempio un numero di carta di credito o un indirizzo di spedizione), non è necessario vendere il prodotto.
Si noti che le regole si applicano a entrambe le parti alla fine della transazione, ovvero a te e alla società della carta di credito. Se prevedi di vendere prodotti agli europei, devi confermare che il tuo elaboratore di carte di credito seguirà le regole GDPR per i clienti dell'UE.
Il diritto all'oblio
E, naturalmente, c'è il famoso "diritto all'oblio". È necessario essere in grado di eliminare il nome e le informazioni personali di qualsiasi cittadino dell'UE su richiesta. Ciò significa da qualsiasi luogo, inclusi i backup, in cui tali informazioni potrebbero risiedere. Ciò richiederà di essere consapevole di dove si trovano i tuoi dati e di cosa contiene, cosa che probabilmente non puoi fare ora.
Ci sono limiti al diritto all'oblio. Ad esempio, se ti viene richiesto di conservare alcuni dati, ad esempio per soddisfare alcuni requisiti di Portability and Accountability Act (HIPAA) o Securities and Exchange Commission (SEC), devi soddisfare i requisiti legali. Ma oltre a ciò, devi essere in grado di eliminare tali dati personali su richiesta.
Se tutto questo sembra un dolore al collo, allora potresti avere ragione. Oppure potresti considerare i requisiti UE per il GDPR come un'opportunità per semplificare le tue operazioni di sicurezza nella loro interezza. Ad esempio, se memorizzi e gestisci tutti i tuoi dati in modo da soddisfare i requisiti del GDPR, avrai un'operazione molto più sicura.
Allo stesso modo, se scarichi quei documenti "Termini e condizioni" lunghi e impossibili da leggere e li sostituisci con chiare dichiarazioni di intenti e chiedi un accordo, i tuoi clienti lo apprezzeranno. Inoltre, se smetti di archiviare dati di cui non hai realmente bisogno ma che sono tenuti a proteggere, la tua vita sarà semplificata e il rischio derivante da una violazione sarà ridotto poiché gli hacker non possono rubare ciò che non c'è.
Realisticamente, il GDPR codifica quali sono le migliori pratiche per il modo in cui l'organizzazione gestisce i dati di altre persone. Trovare un modo per essere conformi a tali regole aiuterà la tua organizzazione in generale.
