Il GDPR spiegato ad una bambina di 5 anni

Il GDPR spiegato ad una bambina di 5 anni

Se non hai familiarità con il nuovo Regolamento generale sulla protezione dei dati (GDPR), allora è meglio iniziare subito a studiare. Anche se non sei mai stato in Europa, devi comunque obbedire a questa legge se mai utilizzi o gestisci QUALUNQUE dato personale su chiunque viva nell’UE.

Il GDPR è entrato in vigore a maggio 2018 ed è complicato. Se lavori per una grande multinazionale con un dipartimento dedicato alla sicurezza delle informazioni, probabilmente ci stanno lavorando da almeno un anno, quindi è improbabile che tu abbia molto di cui preoccuparti. E il resto di noi? Cosa dobbiamo fare per essere conformi al GDPR?

Bene, ovviamente il primo passo è capire cosa ci viene chiesto di consegnare. Sfortunatamente, la maggior parte delle spiegazioni del GDPR sono piuttosto complesse, ma sebbene possa essere difficile spiegare il GDPR in termini che hanno senso anche per un bambino di cinque anni, in realtà non è impossibile. Invece di parlare della condivisione di informazioni, posso illustrare la maggior parte dei punti chiave parlando della condivisione di giocattoli .

Per chiunque voglia leggere una spiegazione in un linguaggio più formale, ho preso tutti i miei titoli dall’Ufficio del Commissario per le informazioni del Regno Unito Panoramica sul GDPR . Spiegherò cosa significa ognuna di queste voci usando la mia analogia di condivisione dei giocattoli.

 

I principi del GDPR

Elaborazione lecita

A volte vuoi condividere i tuoi giocattoli con altri bambini, ma a volte no. Va bene. Puoi condividere i tuoi giocattoli se vuoi, ma non è necessario. Puoi tenere alcuni giocattoli solo per te. Se qualcuno vuole giocare con i tuoi giocattoli, dovrebbe prima chiedertelo. Se dici “sì”, possono giocare con il giocattolo. Naturalmente, ciò conta solo se hai una vera scelta. Se un altro bambino minaccia di colpirti se non dici “sì”, non è giusto.

A volte ad altri bambini è permesso giocare con i tuoi giocattoli senza chiedere. Ad esempio, se i tuoi amici stanno aspettando a casa tua che tu torni a casa a giocare a calcio, potrebbe essere giusto che si allenino con il tuo calcio mentre stanno aspettando. A volte i tuoi genitori potrebbero dare a qualcuno il permesso di giocare con uno dei tuoi giocattoli, anche se preferiresti che non lo facessero. Ciò potrebbe farti sentire triste o arrabbiato, ma l’altro bambino non farebbe nulla di male quando giocava con il giocattolo.

Il GDPR afferma che tutto il trattamento dei dati personali deve essere lecito. L’esempio più semplice di trattamento legale è quando qualcuno ti dà il permesso di elaborare i propri dati, ma ci sono altre circostanze che possono rendere il tuo trattamento lecito, ad esempio se devi utilizzare i dati per fornire un servizio che il cliente ha acquistato da te, o se un tribunale ti incarica di fare qualcosa con i dati.

Diritti individuali

Se presti un giocattolo ad un amico, è ancora il tuo giocattolo. Il tuo amico deve prendersi cura del tuo giocattolo in modo corretto e assicurarsi che si comportino correttamente con te.I seguenti sono i tuoi diritti – con i tuoi giocattoli e i tuoi dati .

Il diritto di essere informato

Quando qualcuno vuole prendere in prestito un giocattolo, deve identificarsi, dirti quale giocattolo sta prendendo in prestito, per quanto tempo lo terranno e con chi altri potrebbero condividerlo; e devono essere consapevoli del fatto che è possibile richiedere il giocattolo in qualsiasi momento. Dovrebbero anche farti sapere a chi puoi andare, per lamentarti, se non sono onesti.

Allo stesso modo, con i tuoi dati: se chiedi a un utente di condividere i suoi dati con te, devi identificare chi sei, quali dati hai bisogno, perché ne hai bisogno, ecc.

Il diritto di accesso

Se chiedi a qualcuno quali dei tuoi giocattoli hanno preso in prestito, devono farti sapere. Potrebbero volerci un po ‘di tempo per essere sicuri al 100% esattamente dei tuoi giocattoli che hanno, ma devono dirtelo entro un mese dalla tua richiesta. Se c’è davvero una buona ragione, potrebbero essere necessari fino a tre mesi, ma non possono mai impiegare più tempo.

Allo stesso modo, con i tuoi dati: se qualcuno chiede alla tua organizzazione quali dati hai su di loro, devi rispondere entro un mese, o in alcune circostanze potresti avere fino a 3 mesi.

Il diritto alla rettifica

Se qualcuno prende in prestito uno dei tuoi giocattoli, deve prendersene cura. Se danneggiano un giocattolo, puoi chiedere loro di ripararlo e devono accettarlo.

Allo stesso modo, con i tuoi dati: se qualcuno ti chiede di correggere i dati personali che hai archiviato su di loro, devi farlo.

Il diritto alla cancellazione (noto anche come il diritto all’oblio)

Puoi chiedere a qualcuno di smettere di usare il tuo giocattolo in qualsiasi momento e dovrebbero smettere immediatamente, a meno che non abbiano un’ottima ragione per continuare. Ad esempio, se hanno preso in prestito la tua bici, potrebbe essere necessario prima tornare a casa. In conclusione: non dovrebbero tenere il giocattolo dopo che gli hai chiesto di restituirlo.

Allo stesso modo, con i tuoi dati: se qualcuno ritira il consenso per il trattamento dei tuoi dati o se i dati non sono più necessari per lo scopo per il quale sono stati raccolti, devi cancellare i dati. Ovviamente ti è permesso conservare i dati se è necessario per difendere un reclamo legale o per qualche altra buona ragione come quella. 

Il diritto di limitare l’elaborazione

Se chiedi a qualcuno di smettere di giocare con il tuo giocattolo, potresti non volerlo subito. Potresti lasciarli tenere il giocattolo per un po ‘, ma non giocarci. Devono ancora prendersi cura del giocattolo e assicurarsi che rimanga al sicuro.

Allo stesso modo, con i tuoi dati: se qualcuno ti chiede di non utilizzare i propri dati personali, non devi più utilizzarli. Ciò può accadere in caso di controversia sul diritto dell’utente all’utilizzo dei dati o sull’accuratezza dei dati.

Il diritto alla portabilità dei dati

Se chiedi a qualcuno di restituire il tuo giocattolo, dovresti essere in grado di usarlo come previsto originariamente quando lo riavrai. Ad esempio, non sarebbe giusto se prendessero in prestito la tua bici, poi la smontassero e ti restituissero una scatola piena di parti di bici, vero?

Allo stesso modo, con i tuoi dati: se qualcuno richiede una copia portabile dei propri dati personali, è necessario fornirli in un modulo comunemente usato e leggibile dalla macchina.

Il diritto di opporsi

Se non ti piace il modo in cui qualcuno sta usando il tuo giocattolo, puoi chiedere loro di smettere. Devono fermarsi immediatamente, a meno che non ci sia una buona ragione per non farlo. Ad esempio, se stanno usando la corda per saltare per salvare qualcuno che è bloccato in un fiume, allora possono continuare.

Allo stesso modo, con i tuoi dati: se qualcuno si oppone al modo in cui stai utilizzando i  dati personali, è necessario interrompere l’elaborazione, a meno che non sia possibile mostrare motivi convincenti per cui è necessario ignorare questa richiesta. Se stai utilizzando i dati per il marketing diretto, non ci sono esenzioni o motivi per rifiutare.

Diritti relativi al processo decisionale automatizzato e alla profilazione

Quando presti i tuoi giocattoli, devi essere in grado di parlare con una persona reale di quello che stanno facendo con loro e perché. Non è giusto che un computer prenda tutte le decisioni senza spiegare. Lasciatemi spiegare…

Supponiamo che presti tutti i tuoi giocattoli a una biblioteca di giocattoli che ha un computer incaricato di prestare e restituire e multare le persone per aver perso o danneggiato i giocattoli. La biblioteca di giocattoli deve assicurarsi di poter parlare con una persona, e non solo con un computer, se uno dei tuoi giocattoli viene smarrito o se vieni multato ingiustamente per non aver restituito un giocattolo che sai di essere tornato. Devi essere in grado di dire a quella persona cosa pensi che sia sbagliato e devono spiegare cosa è successo.

Questa regola non si applica sempre. Non si applica se si fa un accordo con la biblioteca di giocattoli che consente al computer di prendere decisioni senza parlarne con te; e non si applica quando ci sono leggi che consentono al computer di prendere decisioni. Inoltre, non si applica alle decisioni che non influiscono negativamente su di te, ad esempio decidere di chiudere la biblioteca dei giocattoli con qualche minuto di anticipo in un giorno che non hai visitato o multare qualcun altro.

Allo stesso modo, con i tuoi dati: se usi l’elaborazione automatizzata per prendere decisioni che incidono sulle persone, devi assicurarti che possano parlare con un essere umano della decisione e ricevere una spiegazione e un’opportunità per contestare la decisione.

Responsabilità e governance

Se qualcuno prende in prestito il tuo giocattolo, potrebbe dover dimostrare che hai dato loro il permesso e che lo hanno curato correttamente. Non è sufficiente chiedere il permesso e prendersi cura del giocattolo, devono essere in grado di dimostrare di averlo fatto.

Le organizzazioni devono tenere buoni registri, in modo da poter dimostrare di aver ottenuto e trattato legalmente i dati. Non è sufficiente dimostrare che non hai avuto violazioni e nessuno si è lamentato.

Notifica di violazione

Se qualcuno rompe un giocattolo che ha preso in prestito o lo perde, deve comunicartelo entro tre giorni. Se lo perdono solo per pochi minuti e poi lo trovano di nuovo, e per questo non ti succede nulla di brutto, potrebbe non aver bisogno di dirtelo. Ma devono parlarti di qualsiasi grave perdita o danno. Devono anche dirlo ai tuoi genitori (l ‘”autorità di regolamentazione”). Devono spiegare di chi era il giocattolo, quale danno è stato fatto, cosa stanno facendo per compensarlo e come impediranno che accada di nuovo.

Molte organizzazioni troveranno questo requisito per informare le autorità e le persone interessate entro 72 ore dalla violazione dei dati piuttosto difficile. È necessario un processo di gestione degli incidenti di sicurezza ben progettato e provato. Se sbagli, potrebbe essere molto costoso.

Trasferimento di dati

Puoi prestare i tuoi giocattoli ad altre persone, ma se hai preso in prestito il giocattolo di qualcun altro, non puoi prestarlo a un’altra persona, a meno che tu non sia sicuro che la persona a cui lo stai prestando si prenderà cura di te proprio come faresti tu.

I dati personali non possono essere trasferiti a un’altra organizzazione a meno che non si garantisca che vi siano adeguate garanzie. Vi sono ulteriori requisiti specifici per i dati trasferiti al di fuori dell’UE.

Deroghe nazionali

A volte ci sono regole speciali locali sul prestito dei giocattoli. Ad esempio, un paese potrebbe avere una legge che dice che non puoi prestare pistole giocattolo alle persone. In un altro paese potrebbe esserci una legge che afferma che la chiesa può prendere in prestito giocattoli religiosi senza dover chiedere il permesso.

I governi dell’UE possono introdurre esenzioni da alcuni di questi diritti, ma solo per motivi specifici come la sicurezza nazionale o l’applicazione della legge.

Le mie conclusioni

Il GDPR ha un impatto enorme su qualsiasi organizzazione che controlla o elabora i dati personali. Non solo devi soddisfare tutti i requisiti, ma devi essere in grado di produrre registri che dimostrino che li hai. Il presente regolamento si applica a qualsiasi organizzazione che offra beni o servizi alle persone nell’UE, anche se hanno una sede completamente diversa.

Se non hai ancora iniziato a pianificare il GDPR, allora devi iniziare con urgenza. C’è molto lavoro da fare per garantire che tu sia conforme e che tu possa dimostrare di essere conforme. Siamo disponibili ad aiutarti in questo percorso, contattaci al più presto!

Ricorda, non puoi prendere in prestito giocattoli senza avere il permesso (o un’altra ragione legittima) e devi prenderti cura di loro in modo corretto.

Spero che la mia analogia * abbia chiarito alcune cose. Per favore fatemi sapere se avete commenti o domande.

* Grazie a Moyn Uddin per l’idea di paragonare il GDPR al prestito di qualcosa di fisico ( https://www.cybercounsel.co.uk/gdpr-in-a-nutshell/ ).

Rif. : https://www.sysaid.com/blog/entry/how-to-explain-gdpr-to-a-5-year-old

Richiedi informazioni

Condividi questo articolo

Ti potrebbe anche interessare:

bonus
News

Bonus sicurezza 2024

Bonus sicurezza anche nel 2024, parte delle più generali detrazioni per le ristrutturazioni edilizie. Come funziona lo sconto IRPEF riconosciuto anche per impianti di videosorveglianza

Leggi Tutto »
Sistemi informatici aziendali
suggerimenti

Sistemi informatici aziendali

I sistemi informatici aziendali sono strumenti chiave nella tua azienda. Tuttavia, la scelta di un computer aziendale può essere complicata, dato l’enorme numero di opzioni.

Leggi Tutto »
whistleblowing
privacy

Whistleblowing

E’ stato introdotto il “whistleblower“, termine anglosassone che letteralmente sta ad indicare i “suonatori di fischietto“, ovvero i soggetti che denunciano la commissione di eventuali

Leggi Tutto »