Come per la maggior parte delle normative, il GDPR non è un chiaro elenco di regole su cosa fare e cosa no. Pertanto, le domande in merito sono spesso troppo ampie per essere gestite in un sito di domande e risposte. Ci sono molti miti e semplificazioni errate attorno al regolamento e un'intera industria si basa sulla paura delle sanzioni imposte dal regolamento.
Questa risposta cerca di fornire una panoramica pratica dell'argomento. Non sono un avvocato, ma ho lavorato su questo argomento quasi da quando è stato introdotto, prima con un approccio di attesa e di raccolta di informazioni , e attualmente con un altro approccio pratico, una sorta di ordine di priorità e iterativo.
Non sappiamo (ancora) come il regolamento verrà interpretato dai tribunali e molte aziende stanno ancora aspettando di vedere quali azioni stanno intraprendendo gli altri. Poiché Server Fault è destinato ai professionisti IT, non siamo avvocati in grado di interpretare il regolamento e il suo rapporto con altre leggi. Anche se potessimo, le domande di stile Q / A sarebbero molto lunghe per avere tutte le informazioni dettagliate necessarie per rispondere: la conformità al GDPR non è una questione di singole azioni, ma un'intera strategia all'interno della tua azienda. Se è necessario porre tali domande, potrebbe essere necessario assumere un consulente o anche un avvocato. Molti, tuttavia, sopravviveranno senza uno.
Devi creare (possibilmente con qualche consiglio legale) la tua strategia e, in base a ciò, decidere quali azioni stai compiendo per conformarti al GDPR. Quando si tenta di implementare tali modifiche in un vero sistema informativo, è possibile riscontrare problemi tecnici su come ottenere qualcosa. Questo è quando la domanda è stata ridotta all'ambito di Server Fault!
Per iniziare dovresti sapere a cosa serve il regolamento. È fondamentalmente un quadro giuridico per garantire che i dati personali vengano gestiti con cura per tutta la sua vita, dalla raccolta alla cancellazione. L' articolo 5 del GDPR descrive i principi per il trattamento dei dati personali, in breve:
- liceità, equità e trasparenza
- limitazione dello scopo
- minimizzazione dei dati
- precisione
- limitazione di archiviazione
- integrità e riservatezza.
GDPR dà interessati , vale a dire i cittadini il controllo sui loro dati personali, e gli strumenti per assicurarsi che questi principi sono stati rispettati. Questi includono il diritto di accedere ai propri dati, di correggerli e spostarli e di cancellarli, cioè il diritto all'oblio (se nessun'altra legge ne richiede la conservazione). Offre inoltre la possibilità di sanzioni e la tua azienda potrebbe dover designare un responsabile della protezione dei dati .
La maggior parte dei principi è già stata implementata nella legislazione nazionale (a causa della direttiva sulla protezione dei dati 95/46 / CE), che rende il cambiamento abbastanza limitato per le società all'interno dell'UE. Le società al di fuori dell'UE potrebbero avere un po 'di più da fare se trattano i dati personali dei cittadini dell'UE.
Una cosa principale che cambia è la responsabilità , che si ottiene meglio nella pratica documentando accuratamente le procedure:
- come e perché vengono raccolti i dati personali
- ciò che rende lecito il trattamento (il consenso è solo una delle condizioni di cui all'articolo 6 )
- come vengono archiviati ed elaborati i dati
- chi ha accesso ai dati e come lo controlli e lo controlli
- se viene rimosso (pratica automaticamente / standard) alla scadenza del motivo di archiviazione
- come gestisci i rischi coinvolti, ad esempio l'analisi dei rischi.
Secondo me, se hai pensato attentamente a queste cose, risolto i problemi e mitigato i rischi che hai scoperto, e poi documentato tutto ciò, dovresti essere lontano dalle sanzioni - anche se subisci un'intrusione. Ci sarà un oceano di possibili comportamenti negligenti tra la tua situazione e il tipo di comportamento che rende responsabile per 20 milioni di € / 4% delle multe del fatturato .