Glossario GDPR: una ripartizione per le persone impegnate

Pubblicato: 2018-02-16
Glossario GDPR: una ripartizione per le persone impegnate

Un principio chiave del GDPR: presenta le tue politiche sui dati agli utenti senza "legalese".

E ALLORA PERCHÉ CI HANNO DATO 200 PAGINE DI JARGON CHE FONDE IL CERVELLO DA LEGGERE?

Passare attraverso il nuovo regolamento generale sulla protezione dei dati è estremamente importante.

Ma è divertente come guardare un torneo di golf giocato al rallentatore.

Quindi ecco una ripartizione di ciò che significano tutti questi termini legali: scritti in frasi che non ti addormenterai a metà.

Sentiti libero di CTRL + F per uscire da un mal di testa.

Definizioni

Norme vincolanti d'impresa (BCR) : Disponi di dati personali nell'UE? Vuoi trasferirlo a persone nella tua organizzazione multinazionale. fuori dall'UE? Le BCR sono le tue regole da seguire.

Dati biometrici : "Dati corporei". Se può identificarti e ha a che fare con tratti fisici, fisiologici o comportamentali, è questo.

CONSENSO : Questo è grande. OTTENERE IL CONSENSO ALL'UTILIZZO DEI DATI PERSONALI DI QUALCUNO È COMPLICATO ORA.

Deve essere:

  • gratuitamente donato
  • specifico
  • affermativa
  • esplicito

Quindi... se hai intenzione di inviare un'e-mail a qualcuno, devi avere il suo consenso per essere inviato via e-mail. Utilizzerai un cookie? Hai bisogno di un consenso specifico anche per questo.

Hai chiesto il consenso delle persone in modo indipendente. Non puoi raggrupparlo insieme alla stessa casella di controllo della tua politica sulla privacy.

E non puoi preselezionare la casella "Acconsento a ____". Devono farlo da soli.

Non puoi scrivere il tuo vecchio disclaimer "Questo sito usa i cookie, essendo qui, sei d'accordo" e aspettarti che voli.

Le persone hanno capito come stai usando i loro dati. Devono darti l'ok per usarlo in quel modo.

È molto.

Ne abbiamo scritto di più qui.

Dati sulla salute : come suona (grazie a dio).

Titolare del trattamento : Se sei un marketer, probabilmente sei tu. È chiunque richieda, raccolga e utilizzi i dati personali, in qualsiasi modo. Se lo elabori, se lo memorizzi, se determini come verranno utilizzati i dati delle persone, sei un responsabile del trattamento dei dati. Congratulazioni!

Cancellazione dei dati: AKA: "Diritto all'essere dimenticati". Ciò significa solo che un interessato (persona umana) può scegliere di cancellare tutti i dati che hai su di loro. Dicono la parola e devi cancellare i loro dati, smettere di usarli e smettere di diffondere (grossolana), in qualsiasi modo.

Portabilità dei dati : se qualcuno viene da te e dice "Ehi, voglio una copia di tutti i dati che hai su di me", devi dire "certo, ecco qua". E devi passare loro una copia di quei dati in un formato che possono facilmente passare a qualcun altro. (Maggiori informazioni su che vive qui)

Responsabile del trattamento: qualunque cosa tu (il titolare del trattamento) utilizzi per raccogliere ed elaborare i dati. Molti dei tuoi strumenti di marketing sono processori di dati (pensa, strumenti di analisi, strumenti di test A/B, plug-in e simili).

Autorità per la protezione dei dati : le persone spaventose che si assicureranno che tu segua le regole. Si tratta delle autorità nazionali incaricate della protezione dei dati e della privacy e del monitoraggio dell'applicazione del GDPR all'interno dell'UE.

Responsabile della protezione dei dati : qualcuno che dovresti nominare per gestire tutta questa follia normativa se sei un'azienda con più di 250 persone (ma ad essere onesti, il GDPR non riesce davvero a decidersi su quale dovrebbe essere quel numero). Questo è un esperto di privacy dei dati che lavorerà con te in modo indipendente e ti manterrà in linea con il GDPR.

Interessato : essere umano: chi ha i dati, che hai, vedi o usi.

Atti delegati : divertenti "leggi bonus" che integrano quelle esistenti, al fine di fornire maggiore chiarezza o criteri. Aspettatevi un sacco di questi da nazioni indipendenti dell'UE che vanno avanti.

Deroga : Eccezioni alle leggi!

Direttiva : questa è la legge che fissa un "obiettivo" per tutti i paesi dell'UE. Quindi ogni paese fa le proprie leggi nazionali per raggiungere tale obiettivo.

Dati crittografati : Più o meno: proteggi i dati personali confondendo tutto. La crittografia dei dati garantisce che solo le persone con accesso specificato possano accedere o leggere i dati che hai archiviato. Per quanto riguarda le misure di sicurezza, è un'ottima idea.

Impresa : qualsiasi cosa impegnata in un'attività economica, indipendentemente dalla sua "forma giuridica". Quindi le persone, le organizzazioni, le associazioni lo chiami. Chiunque faccia o mandi soldi.

Sistema di archiviazione : il GDPR si applica in due luoghi: ai sistemi automatizzati (memorizzazione di materiale sul computer e nei database) o, per le copie cartacee, nei "sistemi di archiviazione pertinenti". Un sistema di archiviazione è "rilevante" se può essere ricercato o accessibile in base a criteri specifici (come nome, numero ID, numero di telefono, ecc.)

Quindi, se scarichi tutti i tuoi dati sulle risorse umane in caselle non contrassegnate e non organizzate, probabilmente non devi preoccuparti di quelli per GDPR. Dovresti solo preoccuparti di loro, perché sai, ogni altra ragione.

Dati genetici : il sito ufficiale dell'UE lo definisce, ma dai. Sai cosa sono le genetiche.

Gruppo di imprese : c'è molta giurisprudenza da esaminare per capire cosa sia un "impegno", ma più o meno si riduce a questo: un'impresa è quando una società ha il controllo su un'altra società. E il controllo, in questo caso, significa la capacità di esercitare "influenza decisiva".

Esempio: una controllante ha una partecipazione di maggioranza in una controllata. Si presume che possano esercitare il controllo. È un'impresa.

E un gruppo di imprese è un gruppo di quelli.

Stabilimento principale : questo ha più o meno a che fare con il luogo in cui viene applicata la supervisione. È il luogo all'interno del sindacato in cui vengono prese le decisioni relative al trattamento dei dati. Significato: se elabori i tuoi dati in Germania, anche se risiedi altrove, il tuo "stabilimento principale" è in Germania.

DATI PERSONALI : UN ALTRO GRANDE. I dati personali sono tutte le informazioni relative a una persona e possono essere utilizzate per identificarla. Ciò include i dati che possono identificarli indirettamente o identificarli se combinati con altri dati in entrata.

Questo è diverso da PII (informazioni di identificazione personale) . Ed è una definizione più rigida di quella che abbiamo visto prima.

Ecco una ripartizione completa:

Dati personali identificativi (PII)
Dati personali
  • Nome completo (se non comune)
  • Indirizzo di casa
  • Indirizzo e-mail
  • numero identificativo nazionale
  • Numero di passaporto
  • Numero di targa del veicolo
  • Numero di patente
  • Volto, impronte digitali o scrittura a mano
  • Numeri di carta di credito
  • Identità digitale
  • Data di nascita
  • Luogo di nascita
  • Informazioni genetiche
  • Numero di telefono
  • Nome di accesso, nome utente, nickname o handle
  • Nome completo (se non comune)
  • Indirizzo di casa
  • Indirizzo e-mail
  • numero identificativo nazionale
  • Numero di passaporto
  • Numero di targa del veicolo
  • Numero di patente
  • Volto, impronte digitali o scrittura a mano
  • Numeri di carta di credito
  • Identità digitale
  • Data di nascita
  • Luogo di nascita
  • Informazioni genetiche
  • Numero di telefono
  • Nome di accesso, nome utente, nickname o handle

+

  • Indirizzo IP
  • Identificatori univoci come ID dispositivo, UserID, TransactionID, CookieID
  • Dati pseudonimi (questi sono dati irriconoscibili + chiave in un punto diverso per renderlo nuovamente leggibile)

Violazione dei dati personali : un grande "oops". Questo è ogni volta che qualcuno può accidentalmente o illegalmente accedere, distruggere o utilizzare in modo improprio i dati personali che hai archiviato. In base al GDPR, sei tenuto a informare tutti i tuoi interessati di uno di questi dati entro 72 ore.

Privacy by Design : smetti di procrastinare. Quando crei un sistema che gestisce i dati, un'interfaccia, un sito Web, qualsiasi cosa, dovresti pensare alla protezione dei dati PRIMA ancora di iniziare. Dovrebbe essere progettato tenendo conto dei diritti dei dati. Non dovrebbero essere un'edizione dell'ultimo minuto.

Valutazione dell'impatto sulla privacy : una cosa che tu (insieme al tuo responsabile della protezione dei dati) dovresti fare! Fondamentalmente, questo è solo un controllo per potenziali rischi per la privacy. Significa dare un'occhiata ai tuoi dati personali, come vengono elaborati e cosa stai facendo in questo momento per proteggerli.

Elaborazione : QUALSIASI COSA che fai con i dati personali, manualmente o automaticamente. Raccoglierlo, registrarlo, usarlo. I dati personali tanto quanto lampeggiano sullo schermo e vengono elaborati.

Profilazione : se si automatizzano i dati personali e li si analizza per prevedere il comportamento di qualcuno (specifico), ciò conta come profilazione.

Pseudonimizzazione – Hai dati personali. Lo elabori in un modo in cui non puoi più attribuirlo a un interessato, almeno, non senza un'altra informazione conservata separatamente. L'esempio classico è la sostituzione dei dati identificabili con un valore reversibile e coerente, come una stringa di numeri casuali, che può essere successivamente "sbloccato" e riattribuito.

Questo è diverso dai dati effettivamente anonimi: in cui l'informazione identificabile viene totalmente distrutta.

Quali tecniche "contano" come pseudonimizzazione ai sensi del GDPR non sono state ancora determinate, e c'è molta area d'ombra su quale tipo di dati contenga "probabilmente da identificare" o "ragionevolmente probabile" da identificare.

Ma ci sono alcuni fantasiosi incentivi GDPR per pseudonimizzare i tuoi dati personali. Puoi trovarli nel considerando 29.

Ad esempio, quando raccogli i tuoi dati personali standard e regolari, puoi utilizzarli solo per motivi esplicitamente "accettati" dall'interessato. Ma con la pseudonimizzazione, hai un po' più di margine di manovra su come elaborare i dati, anche se per scopi diversi da quelli per cui sono stati raccolti originariamente.

Destinatario – Una persona a cui vengono comunicati i dati personali.

Regolamento – Legge, che è vincolante e si applica in tutta l'UE.

Rappresentante : se le persone che trascurano la conformità al GDPR devono rivolgersi ai responsabili del trattamento dei dati (ad esempio la tua azienda) per affrontare le preoccupazioni, si rivolgono ai tuoi rappresentanti. I rappresentanti devono essere nell'Unione ed essere esplicitamente designati per il compito.

Diritto all'oblio : vedi Cancellazione dei dati, sopra.

Diritto di accesso/Diritto di accesso del soggetto : se hai i dati personali di qualcuno, può chiederne l'accesso. Devi essere in grado di darglielo.

Autorità di vigilanza : ogni stato membro dell'UE nominerà un'autorità pubblica per supervisionare la conformità al GDPR. Questa è un'autorità di controllo (ma potresti anche conoscerla come un DPA o un'Autorità per la protezione dei dati).

Triloghi – Dopo che tutti hanno letto la prima bozza di proposta di legge, la Commissione Europea, il Parlamento Europeo e il Consiglio dell'UE si incontrano informalmente per negoziare. Tali riunioni sono chiamate triloghi e si tengono in modo che un testo di compromesso possa essere adottato rapidamente.

Acronimi:

BCR : Regole aziendali vincolanti (vedi sopra)

CFR : La Carta dei diritti fondamentali dell'Unione europea

CGUE : la Corte di giustizia dell'Unione europea.

Garante per la protezione dei dati personali (vedi Autorità di controllo)

DPO : Responsabile della protezione dei dati

CEDU : Convenzione europea dei diritti dell'uomo.

EDPB : Comitato europeo per la protezione dei dati

DEPS : Garante europeo della protezione dei dati

SEE : Spazio economico europeo (i 28 stati membri dell'UE, più Islanda, Liechtenstein e Norvegia)

TFUE : Trattato sul funzionamento dell'Unione europea.

WP29 : Gruppo di lavoro Articolo 29. Era un comitato consultivo a livello dell'UE, composto da DPA nazionali. Ma l'EDPB lo ha più o meno sostituito ai sensi del GDPR.

Elenco fornitori per la privacy
Elenco fornitori per la privacy