Quando entrerà in vigore il GDPR?
Il GDPR è stato approvato e adottato dal parlamento dell'UE nell'aprile 2016. Il regolamento entrerà in vigore dopo un periodo transitorio di due anni e, a differenza di una direttiva, non richiede l'approvazione di alcuna legislazione di abilitazione da parte del governo; nel senso che sarà in vigore maggio 2018.
Quali sono le sanzioni per non conformità?
Le organizzazioni possono essere multate fino al 4% del fatturato globale annuale per aver violato il GDPR o 20 milioni di euro. Questa è la sanzione massima che può essere imposta per le violazioni più gravi, ad esempio non avendo il consenso del cliente sufficiente per elaborare i dati o violare il nucleo della privacy in base ai concetti di design. Esiste un approccio a più livelli per le ammende, ad es. una società può essere multata al 2% per non aver ordinato i propri registri (articolo 28), non notificando all'autorità di vigilanza e alla persona interessata una violazione o non effettuando la valutazione dell'impatto. È importante notare che queste regole si applicano sia ai controller che ai processori, il che significa che "cloud" non sarà esente dall'applicazione di GDPR.
Cosa costituisce i dati personali?
Il GDPR si applica ai "dati personali" che indicano qualsiasi informazione relativa a una persona identificabile che può essere identificata direttamente o indirettamente, in particolare facendo riferimento a un identificatore. Questa definizione prevede una vasta gamma di identificatori personali per costituire dati personali, tra cui nome, numero di identificazione, dati di localizzazione o identificatore online, che riflettono i cambiamenti tecnologici e il modo in cui le organizzazioni raccolgono informazioni sulle persone.
Qual è la differenza tra un elaboratore di dati e un controller di dati?
Un controllore è l'entità che determina gli scopi, le condizioni e i mezzi del trattamento dei dati personali, mentre il processore è un'entità che elabora i dati personali per conto del responsabile del trattamento. I processori di dati hanno bisogno del consenso di un soggetto dei dati "esplicito" o "non ambiguo" e qual è la differenza? Le condizioni per il consenso sono state rafforzate, in quanto le aziende non saranno più in grado di utilizzare termini e condizioni illegittimi lunghi e legali, poiché la richiesta di consenso deve essere fornita in forma intelligibile e facilmente accessibile, allo scopo di elaborare i dati annessi a quel consenso - nel senso che deve essere inequivocabile. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e chiaro. Deve essere altrettanto facile revocare il consenso, quanto lo è il fatto. Il consenso esplicito è richiesto solo per l'elaborazione di dati personali sensibili: in questo contesto, a livello di "opt-in" non è sufficiente. Tuttavia, per i dati non sensibili, sarà sufficiente il consenso "non ambiguo".
Che dire di soggetti di dati di età inferiore ai 16 anni?
Il consenso dei genitori sarà richiesto per elaborare i dati personali dei minori di 16 anni per i servizi online; gli stati membri possono legiferare per un'età inferiore di consenso, ma questo non sarà inferiore all'età di 13 anni.
Qual è la differenza tra un regolamento e una direttiva?
Un regolamento è un atto legislativo vincolante. Deve essere applicato nella sua interezza in tutta l'UE, mentre una direttiva è un atto legislativo che stabilisce un obiettivo che tutti i paesi dell'UE devono raggiungere. Tuttavia, spetta ai singoli paesi decidere come. È importante notare che il GDPR è un regolamento, al contrario della precedente legislazione, che è una direttiva.
La mia azienda ha bisogno di nominare un responsabile della protezione dei dati (DPO)?
Le DPO devono essere nominate nel caso di: (a) autorità pubbliche, (b) organizzazioni che si impegnano in un monitoraggio sistematico su larga scala o (c) organizzazioni che si impegnano in processi su larga scala.
In che modo il GDPR influenza le politiche relative alle violazioni dei dati?
I regolamenti proposti riguardanti le violazioni dei dati riguardano principalmente le politiche di notifica delle società che sono state violate. Le violazioni dei dati che possono costituire un rischio per le persone devono essere notificate al DPA entro 72 ore e ai soggetti interessati senza indebito ritardo.
Il GDPR istituirà uno sportello unico per la regolamentazione della riservatezza dei dati?
Le discussioni relative al principio dello sportello unico sono tra le più dibattute e non sono ancora chiare perché le posizioni stabili sono molto varie. Il testo della Commissione ha una sentenza piuttosto semplice e concisa a favore del principio, il Parlamento promuove anche un DPA di primo piano e aggiunge un maggiore coinvolgimento da parte degli altri DPA interessati, il parere del Consiglio diminuisce ulteriormente la capacità dell'APD capofila.