Pochi passi per far in modo che la tua azienda sia GDPR compliant.
Abbiamo già trattato dell’importanza della protezione dei dati personali e del diritto all’oblio, fornendo una panoramica di cosa sia il GPDR e i suoi obiettivi generali.
Tuttavia, l’urgenza di capire come essere compliant al GDPR si fa sempre più stringente, soprattutto con le turbolenze provocate dall’innovazione apportata dalle nuove tecnologie, come l’Intelligenza Artificiale.
Dunque, tornando a noi: il General Data Protection Regulation è una normativa dell’UE emanata con l'obiettivo di proteggere la privacy e i dati dei cittadini.
Infatti, il regolamento stabilisce dei principi chiave che le organizzazioni sono tenute a rispettare, in modo da dimostrare che trattano i dati personali in modo lecito e corretto.
Sono stati introdotti concetti fondamentali come la responsabilizzazione (anche detta accountability) del titolare.
Questo significa che, chi ricopre questa figura, è responsabile della conformità della propria azienda al GDPR e, di conseguenza, deve possedere le documentazioni adeguate per dimostrare tale conformità in ogni momento.
Ma a chi si applica il GDPR?
Il regolamento GDPR si applica a tutte le organizzazioni che trattano dati personali di cittadini UE, indipendentemente dalla loro sede. Ciò significa che anche le aziende non UE che offrono beni o servizi a cittadini UE o che monitorano il loro comportamento all'interno dell'UE sono soggette al GDPR.
Per essere compliant al GDPR, le aziende devono adottare diverse misure, tra cui:
C’è anche della documentazione aggiuntiva da poter redigere per dimostrare di essere in linea con il GDPR, come la valutazione d'impatto sulla protezione dei dati (DPIA).
Per informazioni più dettagliate, suggeriamo di affidarsi a fonti ufficiali e di leggere l’intero regolamento generale sulla protezione dei dati.
Anche il CCPA è una normativa emanata per la protezione dei dati, entrata in vigore nel 2020 e approvata in California, negli USA.
Questo California Consumer Privacy Act conferisce ai consumatori un maggiore controllo sui dati personali che vengono raccolti da aziende che operano in California.
La normativa si occupa di:
Inoltre, il CCPA si applica alle aziende for profit che operano in California e che soddisfano uno dei seguenti criteri:
Garantire la conformità al CCPA richiede un approccio attento alle pratiche di gestione dei dati. Nello specifico, bisogna rispettare requisiti quali:
Come abbiamo visto, sia il GDPR che il CCPA sono normative che condividono l'obiettivo di proteggere la privacy dei cittadini e con un effetto extra territoriale, ma che divergono sotto molteplici aspetti.
Prima di tutto, divergono per campo di applicazione. Mentre Il GDPR si applica a tutte le organizzazioni che trattano dati personali di cittadini UE, indipendentemente dalla loro sede, Il CCPA si applica alle aziende che operano in California o che raccolgono dati di residenti californiani.
Inoltre, questi regolamenti si concentrano su tipologie di dati differenti. Il General Data Protection Regulation si occupa di dati personali, inclusi nomi, indirizzi email, dati sanitari, dati biometrici adottando termini più specifici. Insomma, presenta una definizione più ampia ed elastica rispetto al CCPA.
Questo perché il regolamento della California, pur facendo riferimento ai dati personali elencando degli esempi specifici - indirizzi IP, cookie, beacon - non prevede una descrizione più generale dei casi.
Un altro aspetto da considerare riguarda le sanzioni. Il regolamento europeo prevede multe fino a 20 milioni di euro o fino al 4% del fatturato.
Quello californiano stabilisce, invece, diritti di risarcimento nel caso di determinate violazioni con danni che vanno dai 100 ai 750 dollari. Per le sanzioni civili, la somma è ben più alta, con multe che possono partire da $2500 fino ad arrivare a $7500.
Possiamo concludere affermando che questi due regolamenti adottano approcci diversi. Il GDPR è evidentemente più strutturato e proattivo alla protezione dei dati, mentre il CCPA enfatizza la trasparenza e il controllo dei consumatori.
Sia il GDPR che il CCPA hanno rivoluzionato il modo in cui le organizzazioni trattano i dati personali, imponendo regole rigorose per garantire la privacy e la protezione degli individui.
Ad oggi, qualsiasi tipologia di impresa deve impegnarsi per assicurare, ai cittadini, utenti e consumatori, il pieno rispetto di quanto stabilito dalle normative da noi discusse.
Con l’avvento di nuove tecnologie e un valore sempre più elevato attribuito ai dati personali, come possiamo non attivarci per rendere la nostra impresa compliance al GDPR o al CCPA?