Due settimane nella fase di applicazione del GDPR, e adesso?

Alla fine è successo. Il regolamento generale sulla protezione dei dati è finalmente entrato nella sua fase di applicazione il 25 maggio 2018, meme e tutto il resto.

Nonostante ciò che molti inserzionisti temevano, il mondo non è finito dopo che il GDPR è entrato nella sua fase di applicazione. Ma è cambiato. Credito di illustrazione: Insegna alla privacy

Il settore era pronto? Gli aggiornamenti delle politiche dell'ultimo minuto sono stati sufficienti? Che succede ora? In questo post del blog, diamo un'occhiata a come i principali attori si sono preparati per la scadenza, cosa accadrà con il GDPR in atto e come la tua azienda può lavorare per la conformità d'ora in poi.

Primi colpi sui giocatori più grandi

Non ci volle molto perché le aziende più grandi sentissero il pungiglione del contenzioso. Solo pochi minuti dopo l'entrata in vigore del GDPR , l'attivista per la privacy Max Schrems e la sua organizzazione None of Your Business hanno colpito Google e Facebook con cause legali per "consenso forzato". Le cause denunciano il mancato rispetto delle norme GDPR sul consenso particolare, perché queste società offrono agli utenti un'opzione tutto o niente - accettare questi termini per accedere a questo servizio - invece di consentire loro di acconsentire ad alcuni termini e non ad altri.

Google e Facebook hanno risposto insistendo sul fatto di aver adottato misure adeguate per conformarsi al GDPR.

Poi il gruppo francese per i diritti digitali La Quadrature du Net ha seguito l'esempio , presentando ulteriori reclami contro Google, Facebook, Apple, Amazon e LinkedIn. Le denunce sono simili a quelle avanzate da Schrems e denunciano violazioni tramite l'uso del consenso forzato. La Quadrature ha anche in programma di presentare reclami formali contro Android, WhatsApp, Instagram, Skype e Outlook, anche se al momento della stesura di questo articolo deve ancora prendere provvedimenti ufficiali.

Come si sono preparati Apple, Facebook e Google

Sebbene sia difficile dire se le denunce abbiano davvero sorpreso una di queste società, molte di loro avevano comunicato un generale senso di prontezza nei giorni precedenti l'applicazione.

Apple , ad esempio, a fine maggio 2018 ha introdotto un nuovo sito Web che mostra ai clienti quali dati personali detiene su di loro. I clienti Apple nell'UE possono ora richiedere di visualizzare questi dati, dalla cronologia degli accessi ai contatti, al calendario, alle note, alle foto e ai documenti. I clienti possono anche correggere i dati, disattivare il proprio account ed eliminare tutte le informazioni. (Apple attualmente offre questo servizio solo nei paesi dell'UE, Islanda, Liechtenstein, Norvegia e Svizzera, ma dice che prevede di espandersi in altri paesi entro la fine dell'anno.)

Nell'aprile 2018, Facebook ha aggiornato il suo sito Web con versioni più chiare dei suoi termini di servizio e della politica sui dati , dando agli utenti sette giorni per fornire feedback sulla nuova lingua prima di finalizzare e chiedere agli utenti di accettarla. Facebook ha anche rivelato che avrebbe revisionato e semplificato i controlli dell'app per rendere le impostazioni più facili da trovare, dicendo che "invece di avere le impostazioni distribuite su quasi 20 schermi diversi, ora sono accessibili da un unico posto".

Google è stato uno dei primi attori, poiché ha apportato aggiornamenti relativi al GDPR e notificato agli utenti oltre sei mesi prima della scadenza del GDPR. Gli aggiornamenti più significativi sono stati apportati alle modifiche al trattamento dei dati e ai termini di sicurezza per G Suite e Google Cloud, che li rendono più comprensibili al fine di ottemperare all'obbligo di "avviso chiaro e trasparente" di come verranno utilizzati i dati. Altri aggiornamenti includono nuove opzioni e funzionalità per l'esportazione dei dati.

Cosa c'è davanti

L'impatto completo del GDPR deve ancora essere determinato e in parte dipenderà dal modo in cui i clienti e i gruppi di attivisti eserciteranno i loro nuovi diritti. In un sondaggio Forrester dell'agosto 2017 sui consumatori del Regno Unito, il 51% degli intervistati ha affermato di avere almeno una certa probabilità di esercitare i propri nuovi diritti ai sensi del GDPR. Tuttavia, l'esempio più comune citato è stata la cancellazione dei dati, ben lontana dalle cause legali a tutti gli effetti.

Ma il più grande vantaggio di questo nuovo regolamento non è che più consumatori stanno esaminando le aziende, è che più aziende stanno esaminando altre società. Poiché il GDPR impone responsabilità condivise per tutte le parti che toccano i dati personali, le aziende stanno esaminando i processi e le azioni dei loro partner commerciali in modo molto più approfondito. Questo è il vero genio del GDPR, spiega il Direttore di Data Compliance Europe Simon McGarr in un recente articolo di Quartz :

“L'Europa ha un sacco di autorità per la protezione dei dati, ma non ne ha abbastanza per andare a bussare a tutte le porte. Quindi hanno avuto una struttura di conformità a più livelli integrata nella legge in cui si finisce con le grandi aziende che impongono la conformità alle piccole aziende e così via".

Le aziende meno preparate di quanto speravano di essere dopo il 25 maggio potrebbero già sentire la pressione dei loro partner commerciali e l'esperto di sicurezza informatica Elliot Rose prevede che ci saranno molte organizzazioni che si stanno ancora aggiornando dopo la scadenza. Per coloro che si trovano in questa situazione, la prima priorità è affrontare le aree ad alto rischio che trattano informazioni sensibili. Le aziende dovrebbero concentrarsi sulla protezione dei dati sensibili, sull'analisi di dove sono archiviati e su chi vi ha accesso. L'importante è mettere a punto un piano e procedere il più velocemente (e accuratamente) possibile.

Rimanere preparati

In definitiva, il GDPR aiuterà anche il campo di gioco quando si tratta di privacy e trasparenza e aprirà le porte alla comunicazione dove prima erano chiuse. Come azienda, ecco alcuni passaggi che puoi intraprendere per mantenere viva la conversazione:

Valuta come i dati vengono trattati legalmente

Hai il consenso dei tuoi utenti finali? È specifico, non ambiguo e liberamente dato? La tua esperienza con l'utente finale lo chiarisce? Hai un interesse legittimo a raccogliere, elaborare e archiviare i dati? Se non puoi rispondere a ogni domanda con un "sì", è il momento di fare un passo indietro.

Aggiorna tutti gli avvisi necessari

Hai esaminato le tue attuali politiche sulla privacy, avvisi o altre informazioni che fornisci agli utenti finali? Questi avvisi importanti sono al punto di raccolta? Potrebbe essere necessario rivedere tutte le informative sulla privacy per mantenere la raccolta, l'utilizzo e l'archiviazione dei dati trasparenti per gli utenti finali.

Adottare i protocolli di accesso ai dati, diritto alla correzione e diritto all'oblio

Questi principi consentono ai tuoi utenti finali di correggere dati personali obsoleti o imprecisi e di essere rimossi del tutto dal trattamento. Le politiche e le procedure interne dovrebbero essere attuate e mantenute per rispondere adeguatamente a tali richieste.

Utilizzare dati pseudonimi o anonimi

Prendi in considerazione la rimozione o la limitazione degli identificatori univoci attraverso l'anonimizzazione o la pseudonimizzazione dei dati. Alcune tecniche includono l'hashing, il salting, la crittografia e l'uso di token. Ciò può aiutare a ridurre al minimo il potenziale per l'identificazione futura degli utenti finali e può anche aiutare a ridurre al minimo gli obblighi di conformità.

Per saperne di più su TUNE e sul GDPR, leggi la nostra pagina qui .