GDPR e CCPA
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge sulla privacy e sulla sicurezza che riguarda la protezione dei dati personali. Per dati personali si intendono tutte le informazioni che possono, direttamente o indirettamente, portare all’identificazione di un individuo (Goddard, 2017, p. 703). I dati personali comprendono informazioni relative all’ubicazione, all’etnia, al sesso, ai dati biometrici, alle credenze religiose o ai cookie web. Anche i dati pseudonimi possono essere inclusi nel contesto dei dati personali, se è facile rivelare l’identità di un individuo. Il GDPR è stato realizzato e approvato dall’Unione Europea (UE), ma impone obblighi alle organizzazioni di tutto il mondo finché interagiscono e raccolgono dati relativi a cittadini dell’UE (Wolford, 2019). In questo modo tutti i residenti nell’UE sono protetti dal luogo di elaborazione dei dati.
Breve excursus storico
Le sanzioni
In caso di violazione del GDPR, le multe sono molto elevate. Esistono due tipi di sanzioni. La prima è una multa di circa 20 milioni di euro o il 4% del fatturato globale; la seconda è che le persone i cui dati non sono stati protetti hanno il diritto di chiedere un risarcimento (Wolford, 2019).
Principi di protezione dei dati (Wolford, 2019)
Il trattamento dei dati personali deve avvenire secondo sette principi fondamentali:
- Trasparenza – Legalità – Equità
- Limitazione delle finalità: I dati devono essere utilizzati solo per gli scopi di cui l’interessato è stato informato
- Minimizzazione dei dati: Dovete raccogliere solo i dati totalmente necessari per il vostro scopo
- Accuratezza: I dati devono essere mantenuti accurati e aggiornati
- Conservazione limitata: I dati possono essere conservati per tutto il tempo richiesto dal vostro scopo
- Integrità e riservatezza: Il trattamento dei dati deve essere condotto in modo da garantire la protezione e la riservatezza
- Responsabilità: La persona che tratta i dati ha il compito di dimostrare la conformità al GDPR di tutti i principi sopra citati
Consenso
È obbligatorio che gli interessati diano il loro consenso per consentire il trattamento dei loro dati. Ma cosa si intende per consenso?
- Il consenso deve essere dato liberamente, essere specifico e inequivocabile
- Le richieste di consenso devono essere chiare, distinguibili e presentate con parole semplici
- Gli interessati hanno il diritto di revocare il proprio consenso in qualsiasi momento
- Quando si tratta di bambini di età inferiore ai 13 anni, il consenso dei genitori è obbligatorio
- È necessario conservare la prova documentale del consenso
Diritto alla privacy
La persona che accetta di rivelare i propri dati personali ha anche dei diritti sulla privacy. Questi sono elencati di seguito (Wolford, 2019):
- Il diritto ad essere informati
- Il diritto di accesso
- Il diritto alla correzione
- Il diritto alla cancellazione
- Il diritto di limitare il trattamento
- Il diritto alla portabilità dei dati
- Il diritto ad esprimere obiezioni
- Diritto in materia di processi decisionali automatizzati e di profilazione.
Un esempio di come viene chiesto l’accesso ai dati personali attraverso internet
Il California Consumer Privacy Act (CCPA) [Legge sulla privacy dei consumatori della California] rafforza i diritti alla privacy e le tutele dei consumatori per i residenti in California. Si tratta di una legge dello Stato della California che è stata votata nel giugno 2018, ma che è entrata in vigore solo il 1° gennaio 2020 (Cooman, 2020). Secondo la CCPA sono considerati dati personali tutte le informazioni che possono portare all’identificazione di un individuo (come nome, indirizzo, e-mail, numero di passaporto, numero di previdenza sociale, ecc.), le informazioni commerciali (come i prodotti acquistati), le attività di rete elettronica, i dati audio o visivi e le conclusioni tratte da una qualsiasi delle suddette informazioni per creare un profilo su un consumatore che rifletta le sue preferenze.
Obiettivi del CCPA
- Possedere i propri dati personali
- Controllare i propri dati personali
- Proteggere i propri dati personali
- Ritenere le grandi aziende responsabili
Elementi di base del CCPA
Principali differenze tra GDPR e CCPA
Sebbene il GDPR e il CCPA abbiano punti in comune, non sono intercambiabili. Le loro differenze principali riguardano l’ambito territoriale e l’applicazione della legge, le sanzioni – in caso di violazione – la natura e i limiti di raccolta e il fatto che il GDPR richiede una base legittima per tutti i trattamenti di dati personali (A., 2021). Le suddette differenze sono indicate nella figura seguente (A., 2021).
Bibliografia
2019 is the Year of . . . CCPA? [Infographic]. (2019). The National Law Review. https://www.natlawreview.com/article/2019-year-ccpa-infographic
A. (2021, January 7). CCPA vs. GDPR – differences and similarities. Data Privacy Manager. https://dataprivacymanager.net/ccpa-vs-gdpr/
Cooman, G. (2020, January 28). What is CCPA and why should it matter to you? Proxyclick. https://www.proxyclick.com/blog/what-is-ccpa-and-why-does-it-matter-to-you#DDP
Goddard, M. (2017). The EU General Data Protection Regulation (GDPR): European Regulation that has a Global Impact. International Journal of Market Research, 59(6), 703–705. https://doi.org/10.2501/ijmr-2017-050
Wolford, B. (2019, February 13). What is GDPR, the EU’s new data protection law? GDPR.Eu. https://gdpr.eu/what-is-gdpr/