La nuova legge GDPR entra in vigore oggi, 25 maggio 2018 e copre la protezione dei dati e la privacy per i cittadini dell'UE, ma si applica anche a molti altri paesi in vari modi, e dal momento che tutti i giganti della tecnologia sono grandi multinazionali, influisce su molte delle cose che usi quotidianamente.
Il problema che GDPR sta cercando di risolvere: le aziende stanno raccogliendo e abusando delle informazioni personali
Fin dagli albori di Internet, le aziende hanno raccolto quanti più dati possibili su chiunque possano. È semplice raccogliere queste informazioni, quindi non c'è motivo per non ammassarle.
Il problema è che negli ultimi anni sono state intercettate molte aziende che non hanno protetto, o addirittura abusato, le tue informazioni personali. Lo scandalo Cambridge Analytica, in cui un ricercatore ha utilizzato un quiz su Facebook per raccogliere enormi quantità di dati su milioni di utenti di Facebook e poi li ha venduti a una società di consulenza, è solo l'esempio più recente. L'attacco di Equifax dello scorso anno è stato particolarmente negativo perché le informazioni trapelate potrebbero essere utilizzate per aprire le carte di credito. E quelli sono solo i grandi scandali. Molte aziende hanno utilizzato in modo improprio i tuoi dati in modi più piccoli, ad esempio vendendoli a società pubblicitarie di terze parti.
L'UE ha preso in scarsa considerazione la situazione e sta usando il GDPR per cercare di correggerlo. Secondo le nuove leggi, le aziende che non proteggono adeguatamente i dati dei consumatori o le usano in modo improprio subiscono in ogni caso enormi multe.
Quali sono i dati personali considerati?
Il GDPR protegge i "dati personali", che qui significa "qualsiasi informazione relativa a una persona fisica identificata o identificabile", e questa è una definizione piuttosto ampia. In realtà, i dati personali includeranno in genere cose come:
- Dati biografici come nome, indirizzo, numero di telefono, numero di previdenza sociale e così via.
- Dati relativi al tuo aspetto fisico e comportamento come colore dei capelli, razza e altezza.
- Informazioni sulla tua storia di istruzione e di lavoro come il tuo stipendio, laurea, GPA, codice fiscale e così via.
- Qualsiasi dato medico o genetico.
- Cose come la cronologia delle chiamate, i messaggi privati o i dati relativi alla posizione geografica.
Questo è lontano da una lista completa. La chiave è che qualsiasi dato che ti rende identificabile conta. In determinate circostanze, il colore dei capelli potrebbe essere sufficiente. In altri, anche il tuo nome completo, se è qualcosa di comune come Robert Smith, potrebbe non renderti identificabile.
Cosa fa il GDPR?
Il GDPR fornisce ai residenti dell'UE che stanno raccogliendo i loro dati personali, definiti "soggetti informatici", nei diritti di legge-otto. Loro sono:
- Il diritto di essere informato: Se un'azienda sta raccogliendo dati, ha bisogno di raccontare ai soggetti interessati cosa viene raccolto, perché viene raccolto, a cosa serve, per quanto tempo sarà conservato e se sarà condiviso con terzi. Questa informazione non può essere sepolta in profondità in termini di servizio che nessuno legge; deve essere conciso e in un linguaggio semplice.
- Il diritto di accesso: Se lo richiedono, qualsiasi organizzazione che abbia dati personali relativi a un interessato deve fornirglielo entro un mese.
- Il diritto alla rettifica: Se una persona interessata scopre che un'azienda ha dati non corretti, può richiedere che venga aggiornata. Le aziende hanno un mese per conformarsi.
- Il diritto alla cancellazione: Una persona interessata può richiedere che una società cancelli tutti i dati che sono trattenuti su di essi in determinate circostanze. Ad esempio, se i dati non sono più necessari o stanno ritirando il loro consenso perché venga utilizzato.
- Il diritto di limitare l'elaborazione: Se un'organizzazione non può cancellare i dati di un soggetto di dati, ad esempio perché ne hanno bisogno per un caso legale, può chiedere alla società di limitare il modo in cui viene utilizzata.
- Il diritto alla portabilità dei dati: I dati personali hanno il diritto di prendere i loro dati personali da un servizio e usarli con un altro.
- Il diritto di obiettare: Se i dati sono raccolti senza consenso ma per legittimi interessi commerciali, per il bene pubblico o da un'autorità ufficiale, l'interessato può obiettare. L'organizzazione deve quindi interrompere l'elaborazione dei dati fino a quando non possono dimostrare di avere motivi legittimi per farlo.
- Diritti relativi al processo decisionale automatizzato, inclusa la profilazione: Il GDPR mette in atto misure di salvaguardia in modo che gli individui possano opporsi o ottenere una spiegazione sulle decisioni automatiche che li riguardano e sui loro dati.
Un'altra parte importante dei regolamenti è che le aziende devono avere una ragione legittima per la raccolta o l'elaborazione di qualsiasi dato. Uno dei motivi legittimi è che hanno ottenuto il consenso a usarlo per uno scopo specifico, ma ce ne sono altri che ne hanno bisogno per adempiere agli obblighi legali o che raccoglierlo è nell'interesse pubblico.
Come potete vedere, i diritti concessi ai residenti dell'UE secondo la legge sono piuttosto ampi e costringono le aziende a raccogliere dati da loro per pensare veramente a cosa stanno raccogliendo e perché.I vecchi tempi di raccogliere tutto ciò che potevano e sperare che ne trovassero un uso più tardi non ci sono più, almeno in Europa. Questo è il motivo per cui praticamente tutti i servizi a cui hai mai assegnato il tuo indirizzo email ti stanno contattando.
Ciò che ha un sacco di società è che le sanzioni per non essere conformi al GDPR sono piuttosto dure. Un'organizzazione può essere multata fino a 20 milioni o il 4% del fatturato annuo mondiale (a seconda di quale sia maggiore) secondo le leggi. Per Amazon o Google, ciò equivale a miliardi di dollari in multe potenziali se maltrattano i dati dei residenti dell'UE.
Cosa significa il GDPR per gli americani?
In questo articolo, ci siamo concentrati su quali diritti conferisce il GDPR ai residenti nell'UE per il semplice motivo che è una legge europea. In realtà non si applica ai cittadini americani, a meno che non siano anche residenti nell'UE. La ragione per cui ricevi tutte le email è che la maggior parte delle aziende non ha modo di dire chi è un residente in Europa e chi no.
Questo, tuttavia, non significa che il GDPR non ti influenzerà. Ciò ha spinto molte aziende a rivalutare il modo in cui gestiscono i dati dei consumatori e alcuni di loro hanno iniziato a parlare del trasferimento dei diritti GDPR a residenti non comunitari. Ed è anche più semplice per le aziende applicare una serie di regole per tutti i clienti in molti casi.
Ad esempio, Apple ha lanciato un nuovo portale sulla privacy in cui le persone possono scaricare tutti i loro dati personali o eliminare il loro account, in altre parole fornire alle persone i diritti di accesso e cancellazione. Per ora, solo gli account basati sull'UE possono usarlo, ma Apple prevede di estenderlo in tutto il mondo nei prossimi mesi. Allo stesso modo, Facebook sta borbottando sul dare le stesse protezioni GDPR ad alcuni utenti al di fuori dell'UE.
