Riepilogo dell’articolo: GDPR negli Stati Uniti? La nuova legislazione statale lo sta avvicinando alla realtà

L’articolo discute l’impatto del regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea sulle leggi e le pratiche sulla privacy negli Stati Uniti. Nonostante gli Stati Uniti non abbiano una legge completa sulla privacy dei dati, l’influenza del GDPR è già stata vista. Le legislature statali hanno preso l’iniziativa per approvare i propri statuti per la protezione dei dati, come la California Consumer Protection Act. Le grandi aziende tecnologiche chiedono inoltre una legge sulla privacy degli Stati Uniti di base. Tuttavia, è probabile che qualsiasi versione del GDPR che approvi il Congresso. L’articolo sostiene che mentre le regole di protezione dei dati in stile europeo hanno virtù, non saranno sufficienti e è necessario un approccio più ampio. Gli Stati Uniti devono agire presto per attuare leggi globali sulla privacy che avranno conseguenze globali.

Punti chiave:

1. Gli Stati Uniti non hanno approvato una legge sulla privacy dei dati completa.
2. Il GDPR sta già trasformando la legge e la pratica della privacy americana.
3. Gli Stati hanno iniziato a approvare i propri statuti di protezione dei dati influenzati dal GDPR.
4. Le grandi aziende tecnologiche chiedono ora una legge sulla privacy degli Stati Uniti di base.
5. È probabile che una versione americana del GDPR sia significativamente annacquata.
6. Le regole di protezione dei dati dovrebbero prendere in considerazione l’impatto sull’ambiente, sulla democrazia, sullo intervento dell’attenzione e sulla salute emotiva.
7. Il Congresso potrebbe anche affrontare i poteri monopolistici delle grandi aziende tecnologiche.
8. Gli Stati Uniti devono presto attuare leggi complete sulla privacy.
9. Le leggi globali sulla privacy negli Stati Uniti avranno conseguenze globali per la privacy dei dati.
10. Virginia ha superato la propria legge sulla protezione dei dati dei consumatori in seguito al quadro del CCPA.

Domande e risposte:

1. Qual è il regolamento generale sulla protezione dei dati (GDPR)?

Il regolamento generale sulla protezione dei dati (GDPR) è una legge sulla protezione dei dati istituita dall’Unione europea nel 2018. Imposta regole e autorità per salvaguardare i dati personali delle persone dell’UE.

2. Il GDPR si applica solo alle organizzazioni con sede nell’UE?

No, il GDPR si applica a qualsiasi organizzazione che mantenga i dati dei cittadini dell’UE e di chiunque all’interno della zona di libero scambio di European Economic Area (SEE), indipendentemente dalla loro sede centrale.

3. Qual è lo stato attuale delle leggi sulla privacy dei dati negli Stati Uniti?

Gli Stati Uniti non hanno una legge sulla privacy dei dati completa. Tuttavia, ci sono iniziative a livello statale per superare gli statuti di protezione dei dati influenzati dal GDPR.

4. In che modo il GDPR influenza le leggi sulla privacy negli Stati Uniti?

Il GDPR ha già avuto un impatto sulla legge e sulla pratica della privacy americana. Gli Stati hanno iniziato a approvare i propri statuti per la protezione dei dati e le grandi aziende tecnologiche chiedono una legge sulla privacy degli Stati Uniti di base.

5. Quali sono le differenze chiave tra il GDPR europeo e le leggi sulla privacy degli Stati Uniti proposte?

Mentre il GDPR e le leggi sulla privacy degli Stati Uniti condividono gli obiettivi di trasparenza e responsabilità, è probabile che una versione statunitense del GDPR sia significativamente annacquata. Il modello di preavviso e scelta statunitensi esistenti può essere incorporato in qualsiasi legge sulla privacy degli Stati Uniti.

6. Quali sono i limiti delle regole di protezione dei dati come il GDPR?

Le regole di protezione dei dati possono essere miopi e non riescono ad affrontare l’impatto dell’elaborazione dei dati sull’ambiente, sulla democrazia, nelle camicie dell’attenzione e sulla salute emotiva.

7. Quali opzioni alternative ha il Congresso riguardo alla privacy dei dati?

Il Congresso potrebbe dare uno sguardo più difficile alle potenze monopoli delle grandi aziende tecnologiche e alle differenze di potere tra queste aziende e i loro clienti. Tuttavia, è improbabile attuare una visione più ampia del benessere umano attraverso una legge sulla privacy.

8. Quanto è urgente la necessità di leggi complete sulla privacy negli Stati Uniti?

Gli Stati Uniti non possono aspettare per sempre di attuare leggi complete sulla privacy. Queste leggi avranno conseguenze per la privacy dei dati a livello globale.

9. Che cos’è il consumer Data Protection Act (CDPA) in Virginia?

Il CDPA è una legge sulla privacy dei dati dei consumatori completa emanata in Virginia. Segue da vicino il quadro del CCPA e entrerà in vigore il 1 ° gennaio 2023.

10. Quali Stati hanno proposto leggi sulla privacy in seguito al quadro del CCPA?

Washington e New York hanno proposto leggi sulla privacy che rispecchiano il CCPA.

11. Quali sono i requisiti per le imprese per conformarsi al CDPA in Virginia?

Le aziende che controllano o elaborano le informazioni personali di almeno 100.000 consumatori o controllano o elaborano i dati di almeno 25.000 residenti in Virginia che derivano dal 50% o più delle loro entrate lorde dalla vendita di dati personali, devono rispettare il CDPA.

12. Come viene avvertito l’impatto del GDPR negli Stati Uniti?

L’impatto del GDPR negli Stati Uniti è già evidente attraverso l’emanazione degli statuti di protezione dei dati a livello statale e l’influenza sulle pratiche sulla privacy delle grandi aziende tecnologiche.

13. Qual è il ruolo delle grandi aziende tecnologiche nel modellare le leggi sulla privacy degli Stati Uniti?

Le grandi aziende tecnologiche ora chiedono una legge sulla privacy degli Stati Uniti di base che tutti si sfidano. La loro influenza è fare pressione sul Congresso per fare una scelta sulla legislazione sulla privacy.

14. In che modo gli Stati Uniti sono diversi dall’Europa quando si tratta di implementare la protezione dei dati in stile GDPR?

Gli Stati Uniti sono troppo diversi dall’Europa per implementare e applicare efficacemente la protezione dei dati in stile GDPR. Qualsiasi versione statunitense del GDPR sarebbe probabilmente annacquata e assomigliasse più al modello di preavviso e preavviso statunitense esistente.

15. In che modo le leggi globali sulla privacy negli Stati Uniti influenzeranno la privacy dei dati a livello globale?

Le leggi globali sulla privacy attuate negli Stati Uniti avranno conseguenze per la privacy dei dati in tutto il mondo. Gli Stati Uniti sono uno dei principali attori del mercato globale e le sue leggi sulla privacy influenzeranno le pratiche e i regolamenti in tutto il mondo.

GDPR negli Stati Uniti? La nuova legislazione statale lo sta avvicinando alla realtà

Il regolamento generale sulla protezione dei dati (noto anche come GDPR) dell’Unione Europea è una legge sulla protezione dei dati che è entrata in vigore nel 2018. Stabilisce un unico insieme di regole e autorità per salvaguardare i dati personali di tutti gli individui dell’UE. Il GDPR si applica a qualsiasi organizzazione che mantenga i dati dei cittadini dell’UE e di chiunque all’interno della zona di libero scambio European Economic (SEE), non solo quelli con sede nell’UE.

Perché la magia del GDPR in Europa non funzionerà mai negli Stati Uniti

Internet è stato con noi per un quarto di secolo, ma gli Stati Uniti non hanno ancora approvato una legge che impone alle sue società di attenersi a una significativa protezione. Questo è importante perché la maggior parte del mondo occidentale’le grandi aziende tecnologiche sono americane. Nel 2020, l’America’La fattura sulla privacy sarà finalmente risolta.

Nel maggio 2018, l’UE’Il regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore e sta già trasformando la legge e la pratica della privacy americana. Il GDPR è un insieme completo di regolamenti e i suoi requisiti ampi stanno diventando una norma del mercato globale. In pratica, se vuoi fare affari internazionali nei dati personali, devi seguire almeno lo spirito del GDPR, anche negli Stati Uniti.

Le legislature statali hanno preso l’iniziativa e chiamate Congresso’s mano sulla privacy, anche se il Congresso ha’T ha aggiornato il suo approccio alla privacy da anni. Influenzati dal GDPR, gli stati hanno iniziato a approvare i propri statuti per la protezione dei dati, come la nuova legge sulla protezione dei consumatori della California. E ora, dopo anni di opposizione alla regolamentazione, le grandi aziende tecnologiche hanno iniziato a chiedere una legge sulla privacy degli Stati Uniti di base che tutti si sfidano. Il Congresso ora si ritrova inserito tra lo slancio dal basso dagli Stati e l’influenza laterale dall’UE. Nel 2020 sarà costretto a fare una scelta.

Mentre il GDPR e gli Stati Uniti’ Le proposte differiscono in modi importanti, ciascuna più o meno richiede trasparenza e responsabilità dalle aziende e controllo per i soggetti di dati. Ma qualsiasi versione del GDPR che probabilmente passerà al Congresso è probabile che sia significativamente annacquata e assomiglia più al modello di preavviso statunitense esistente (leggendo la politica sulla privacy) e alla scelta (rinuncia a Facebook e Google).

Le regole della protezione dei dati in stile europeo hanno virtù innegabili, ma hanno vinto’essere abbastanza. Il GDPR presuppone che l’elaborazione dei dati sia sempre un obiettivo degno, ma anche i dati equamente elaborati possono portare all’oppressione e all’abuso. Le regole della protezione dei dati possono anche essere miopi perché ignorano come l’industria’S Appetite per i dati sta distruggendo il nostro ambiente, la nostra democrazia, la nostra attenzione e la nostra salute emotiva. Anche se la protezione dei dati in stile GDPR fosse sufficiente, gli Stati Uniti sono troppo diversi dall’Europa per implementare e applicare un tale framework in modo efficace su questi termini. Qualsiasi versione americana del GDPR sarebbe, in pratica, una specie di GDPR-Lite.

Il regolamento sulla protezione dei dati non è l’unica opzione, tuttavia. Il Congresso potrebbe invece dare uno sguardo più difficile alle grandi aziende tecnologiche’ poteri monopolistici, per esempio. Potrebbe guardare alle enormi differenze di potere tra queste aziende e i loro clienti. E potrebbe usare una legge sulla privacy per articolare una visione più ampia del benessere umano che risponde in modo proattivo alle sfide dell’era dell’informazione, sebbene realisticamente quest’ultima opzione finisca con gli statuti.

Ciò che è certo è che gli Stati Uniti possono’aspettare. Quest’anno, leggi globali per la privacy saranno attuate negli Stati Uniti. E il modulo che assumono avrà conseguenze per la privacy dei dati in tutto il mondo.

Woodrow Hartzog Professore di legge e informatica presso la Northeastern University. Neil Richards è professore di diritto e direttore del Cordell Institute della Washington University di ST. Louis, St Louis

GDPR negli Stati Uniti? La nuova legislazione statale lo sta avvicinando alla realtà

L’Unione Europea’S Regolamento generale sulla protezione dei dati (“GDPR”) è ben noto come la più dura legge sulla privacy e sulla sicurezza del mondo, in quanto ha una vasta portata e impone multe pesanti contro coloro che violano i suoi standard di privacy e sicurezza (che sono piuttosto ampi). L’impatto del GDPR è già stato avvertito negli Stati Uniti da quando è entrato in vigore nel 2018, e ora u.S. I legislatori in numerosi stati si stanno muovendo per emanare legislazioni simili. The California Consumer Protection Act (“CCPA”) è stata la prima istanza del GDPR’S l’impatto negli Stati Uniti, come la California ha messo in atto uno statuto e regolamenti che rispecchiano il GDPP per diversi aspetti. Ora la Virginia ha messo in moto quella che potrebbe essere una serie di stati di un anno che mettono in atto una legislazione simile. In particolare, Washington e New York hanno proposto la legislazione a seguito del quadro del CCPA. Questo articolo confronterà il CCPA con le leggi sulla privacy appena emanate e proposte negli Stati Uniti.

Atti sulla privacy appena emanati e proposti:

Virginia Act di recente emanazione

Il 2 marzo 2021, Virginia ha approvato il suo consumatore Data Protection Act (“CDPA”), la seconda legge sulla privacy dei dati dei consumatori completi negli Stati Uniti. Il CDPA entrerà in vigore il 1 gennaio 2023. Il CDPA si applica alle persone o alle entità che conducono affari in Virginia o producono prodotti o servizi offerti ai residenti della Virginia e che “controllo o processo” dati personali. La legge si applica alle aziende che (1) controllano o elaborano informazioni personali di almeno 100.000 consumatori o (2) controllano o elaborano i dati di almeno 25.000 residenti in Virginia che derivano anche dal 50% o più delle loro entrate lorde dalla vendita di dati personali.

Il CDPA segue da vicino la struttura del CCPA; Tuttavia, ci sono alcune differenze chiave:

• Il CDPA non contiene alcun diritto di azione privato. Piuttosto, tutte le azioni devono essere portate dal procuratore generale della Virginia.
• Il CDPA, come il CCPA, esenta i dati già regolati da alcune leggi federali elencate, come HIPAA, GLBA, FCRA, FERPA e COPPA. Tuttavia, ai sensi del CDPA, l’esenzione GLBA è più ampia in quanto esenta totalmente gli istituti finanziari, non solo i soggetti di dati. Inoltre, ci sono esenzioni basate sui dati per la legge su Fair Credit Reporting, il conducente’S Privacy Protection Act e il Federal Education Rights and Privacy Act e organizzazioni senza scopo di lucro.
• Il CDPA contiene un requisito di opt-in per elaborare dati personali sensibili, a meno che.
• Il CDPA definisce “consumatore” più strettamente del CCPA. Il CDPA esclude coloro che agiscono in un contesto commerciale o occupazionale.
• Sotto il CDPA, il “vendita di informazioni personali” richiede che la considerazione sia monetaria per qualificarsi come vendita di dati. Al contrario, il CCPA consente monetario o “Altra considerazione preziosa.”

Proposto Washington Act

The Washington Privacy Act, Senato Bill 6281 (“WPA”), è una legislazione proposta che rispecchia il CCPA. Come il GDPR e il CCPA, il WPA aumenta i consumatori’ Diritti per quanto riguarda i loro dati personali e garantisce che le aziende siano trasparenti sulla raccolta e l’elaborazione dei dati dei consumatori. Inoltre, il WPA consente ai consumatori di rinunciare alla vendita dei loro dati personali. Il WPA si applicherebbe alle aziende i cui prodotti o servizi sono destinati ai consumatori di Washington se l’azienda: (1) controlla o processi dati di oltre 100.000 consumatori o (2) derivano almeno il 50% di entrate dalla vendita di dati personali E processi o controlla i dati personali di oltre 25.000 consumatori.

Il WPA e il CCPA hanno importanti somiglianze come: (1) un periodo di cura di 30 giorni; (2) L’attività deve eliminare un consumatore’i dati personali su loro richiesta; e (3) responsabilità sull’azienda di essere proattiva nel dire al consumatore quali tipi specifici di informazioni personali raccolte e come vengono utilizzati tali dati. Tuttavia, ci sono importanti differenze tra loro:

• Il WPA limita il “dati personali” Definizione di informazioni su un “persona naturale identificata o identificabile,” mentre la definizione CCPA rimane ampia e si applica alle informazioni collegate a a “Consumatore o famiglia particolare.”
• Il WPA impedisce esplicitamente le leggi, le ordinanze e i regolamenti locali in merito all’elaborazione dei dati personali da parte di controller o processori. Il CCPA no.
• Il WPA, a differenza del CCPA, non include un requisito di soglia delle entrate.
• Il WPA, a differenza del CCPA, comprende un “discriminazione” disposizione che impedisce alle aziende di prendere decisioni finali automatizzate.
• La WPA limita il modo in cui la tecnologia di riconoscimento facciale può essere utilizzata in cui il CCPA non ha una disposizione simile. (I nuovi obblighi di riconoscimento facciale per le società che utilizzano il riconoscimento facciale, se messe in atto, superano gli obblighi attuali che le società devono affrontare ai sensi di Washington’S Biometric Privacy Law (RCW 19.375).)

Atto di New York proposto

Di tutta la proposta di legislazione sulla privacy, il New York Privacy Act (S5642) (“Nypa”) è probabilmente il più previsto perché la sua lingua è molto più audace del CCPA. La NYPA si applica ampiamente a “Entità giuridiche che conducono affari a New York o producono prodotti o servizi che sono intenzionalmente mirati ai residenti di New York.” Con un linguaggio così ampio, la NYPA sembra adattata a raggiungere il maggior numero possibile di aziende, omettendo il linguaggio della soglia delle entrate come si vede nel CCPA.

Sebbene la NYPA possa cambiare prima che venga emanata, la sua lingua attuale parte dal CCPA in due modi:

• Il più grande cambiamento è che le aziende dovrebbero agire come “Fiduciani di dati.” La legge proposta afferma che “Qualsiasi entità che raccoglie, vende o licenzi le informazioni personali dei consumatori deve esercitare il dovere di diligenza, lealtà e riservatezza prevista da un fiduciario in relazione a garantire i dati personali di un consumatore rispetto al rischio per la privacy.” Questo obbligo lo farebbe “sostituire qualsiasi dovere dovuto ai proprietari o agli azionisti” di un’entità.
• La NYPA non riconosce il consenso implicito. A differenza del CCPA, che riconosce il consenso implicito, la NYPA richiederebbe alle aziende di dimostrare di aver ottenuto un accordo chiaro e proattivo da parte dei consumatori ove richiesto.

Takeaway principale

Il GDPR’s L’influenza negli Stati Uniti è qui, e sembra qui rimanere mentre più stati seguono l’esempio. Con due importanti leggi sulla privacy su ogni costa e le variazioni sparse nel mezzo, non è chiaro se il Congresso alla fine approverà una legge federale per creare un po ‘di uniformità. Fino ad allora, quando viene implementata la nuova legislazione, le aziende e le imprese dovrebbero rimanere aggiornate per proteggersi dalle potenziali azioni normative e cause legali.

GDPR nella U.S.: Fai attenzione a ciò che desideri

L’ultimo scandalo di Facebook potrebbe indurre l’America a cambiare permanentemente il modo in cui gestiamo le nostre leggi sulla privacy?

Seth p. Berman

L’attuale attenzione sullo scandalo di Facebook/Cambridge Analytica ha fatto sì che numerosi commentatori suggeriscano che gli Stati Uniti dovrebbero adottare una legge modellata dopo l’Unione Europea’S Regolamento generale sulla protezione dei dati (GDPR), che entrerà in vigore il 25 maggio 2018. In effetti, anche Facebook si è offerto di fornire ai suoi utenti americani le stesse protezioni fornite per i suoi utenti europei. È interessante notare che, anche se sempre più americani citano il GDPR come modello, pochissimi sembrano capire cosa richiede effettivamente il GDPR. Ad esempio, nelle ultime due settimane ho sentito il GDPR riassunto da un presunto esperto come “una legge che richiede al consumatore di optare per condividere i propri dati;” una legge che “stabilisce il diritto di essere dimenticato;” E “Europa’s La legge sulla notifica della violazione dei dati.” Sebbene ci sia verità in ciascuna di queste affermazioni, tali riassunti saltano così tanto su ciò che il GDPR impone che lascia alle persone più, non meno, confuse su ciò che il GDPR coinvolge, e forse non a caso, permettono alle aziende di affermare che stanno fornendo protezioni simili al GDPR senza realmente impegnarsi a impegnarsi molto.

Prima di spiegare in modo più dettagliato ciò che la conformità GDPR comporta davvero.S. e Ue. La più grande differenza è che ad oggi, al di fuori di alcune industrie fortemente regolamentate, come l’assistenza sanitaria e le attività bancarie, l’U.S. non ha generalmente regolamenti sulla privacy applicabili. Invece, decisioni su ciò che si può fare con un individuo’I dati sono lasciati all’azienda che detiene tali dati, a condizione che la società non sia stata disonesta su come intende utilizzare i dati (che sarebbe una violazione di vari statuti di protezione dei consumatori). Questo quadro giuridico ha comportato termini di servizio molto espansivi scritti da aziende che praticamente tutti i consumatori fanno clic senza leggere prima di accedere a un sito Web. In questo modo, i consumatori nella u.S. avere per lo più scelto per fornire dati alle aziende con pochissime limitazioni in cambio gratuitamente o ridotta l’accesso ai costi ai servizi che le aziende forniscono. Questi amplianti termini di servizio sono la prima linea di difesa per qualsiasi società che abbia abusato dei consumatori’ Fidati – essenzialmente “Ci hai dato il permesso” (anche se lo hai fatto’tici che lo hai fatto).

L’approssimazione più vicina alla u.S. Attualmente ha una regolamentazione sulla privacy di dati su ampia dati sono gli statuti di notifica della violazione dei dati statali. Questi statuti, che variano da stato a stato, richiedono generalmente a un’organizzazione di avvisare le persone colpite se subisce una violazione dei dati che si traduce nella perdita di informazioni di identificazione personale (PII), come un numero di previdenza sociale, numero di carta di credito o data di nascita. Questi non sono affatto statuti per la privacy. Invece, sono del tutto retroattivi (sono implicati solo dopo che si è verificata una violazione della sicurezza) e non si basano limiti su ciò che un’organizzazione può fare con i dati personali a condizione che lo mantengano al sicuro da terze parti non autorizzate.

Perché il GDPR conta per U.S. Organizzazioni

Il GDPR è una legge approvata nell’UE e ha avuto implicazioni significative per tutte le aziende che operano in Europa. Tuttavia, questa legge è diventata il “Gold Standard” In luoghi ben oltre l’UE in molti modi il nuovo standard per la sicurezza dei dati e i requisiti di privacy dei dati per le aziende di ogni tipo.

In questo articolo, vogliamo discutere l’impatto che il GDPR ha avuto sulle società statunitensi e perché questa legislazione dovrebbe avere importanza anche per le organizzazioni statunitensi. Una chiave per cui le aziende statunitensi dovrebbero preoccuparsi è perché sono le migliori pratiche e li aiuterà a essere preparati in caso di approvata una grande legge sulla privacy dei dati statunitensi.

Cos’è il GDPR?

Il regolamento generale sulla protezione dei dati (noto anche come GDPR) dell’Unione Europea è una legge sulla protezione dei dati che è entrata in vigore nel 2018. Stabilisce un unico insieme di regole e autorità per salvaguardare i dati personali di tutti gli individui dell’UE. Il GDPR si applica a qualsiasi organizzazione che mantenga i dati dei cittadini dell’UE e di chiunque all’interno della zona di libero scambio European Economic (SEE), non solo quelli con sede nell’UE.

Il regolamento generale sulla protezione dei dati (GDPR) stabilisce una serie di oggetti che gestiscono, procedono e salvaguardano i dati. Queste definizioni ti aiuteranno a iniziare con il GDPR e le regole correlate. Il GDPR divide le parti di dati in tre categorie: soggetti, controller e processori.

Un “soggetto di dati” è qualcuno le cui informazioni vengono raccolte. Un “controllore di dati” è un’entità che decide le circostanze, gli scopi e i metodi per l’elaborazione dei dati personali di un soggetto di dati. Un “processore di dati”, d’altra parte, è un’azienda che gestisce i dati personali per conto del controller.

Controller e trasformatori possono essere situati in qualsiasi parte del mondo, compresi gli Stati Uniti, sotto il GDPR. Questa è una notevole partenza rispetto ai precedenti regolamenti dell’UE.

Ciò che costituisce dati personali è un altro concetto cruciale GDPR da comprendere. Solo i dati che possono essere utilizzati per identificare un individuo sono protetti in GDPR. Ad esempio, l’età da sola non può essere utilizzata per identificare una persona e non è coperta dal GDPR, ma i dati di età più nome possono essere utilizzati per identificare una persona.

Comprensione delle caratteristiche chiave del GDPR

Il GDPR è principalmente motivato dal desiderio dell’UE di creare un mercato digitale unificato. Gli attuali requisiti GDPR sono guidati dai concetti elencati di seguito e tutti e tre si applicano alle organizzazioni statunitensi.

Proporzionalità

Secondo il GDPR, la quantità di dati personali elaborati deve essere proporzionata al motivo per cui è stato raccolto. Ciò comporta la raccolta dei minori dati possibile e la mantenerli per non più di quanto è necessario per servire il consumatore.

Trasparenza

Tutti i soggetti di dati hanno il diritto di essere informati sull’elaborazione dei loro dati personali e sugli scopi per i quali viene utilizzato. Devono anche espressamente acconsentire. (Vedi articoli 7, 10, 11 e 12 per ulteriori informazioni.) Per la maggior parte delle aziende, il GDPR rappresenta un cambiamento significativo. È necessario passare da un opt-out a un atteggiamento di opt-in quando si tratta di elaborazione dei dati.

Scopo legittimo

Affinché la raccolta dei dati sia legale, le organizzazioni devono avere un motivo legittimo per farlo. La quantità di dati personali necessari per svolgere le attività commerciali dovrebbe essere ridotta al minimo. Un’applicazione di gioco, ad esempio, non richiede informazioni sanitarie, quindi non dovrebbe essere tenuta a raccogliere dati che non hanno alcun valore economico.

Cosa dice il GDPR delle aziende statunitensi?

Il GDPR non si applica direttamente a tutte le società statunitensi, ma le influisce indirettamente.

Il GDPR si applica agli Stati Uniti e alle altre nazioni in tutto il mondo. Perché l’articolo 3 del GDPR, che specifica la portata geografica della legge, stabilisce che si applica non solo alle aziende dell’UE, ma anche alle organizzazioni al di fuori dell’UE che forniscono o monitorano i dati dei cittadini dell’UE, questo è il caso.

Se è soddisfatto almeno uno dei seguenti due requisiti, il GDPR si applica a tutte le imprese statunitensi, indipendentemente dalle entrate o dalle dimensioni dei dipendenti:

• Anche se non ci sono interazioni commerciali, la società fornisce beni o servizi ai residenti dell’UE.
• La società tiene traccia di come gli utenti si comportano all’interno dell’Unione europea.

Nomi, informazioni di contatto, specifiche dei dispositivi come indirizzi IP, informazioni biometriche, immagini e video sono tra i dati e il comportamento personali coperti dal GDPR.

I criteri per la conformità GDPR differiscono in base alle caratteristiche dell’azienda. Le aziende con meno di 250 lavoratori, ad esempio, non sono tenute a tenere traccia delle loro operazioni di elaborazione dei dati. Tuttavia, come affermato nell’arte. 30 (5) del GDPR, questo criterio si applica solo se l’elaborazione non rappresenta un pericolo per i diritti e le libertà dei soggetti di dati, se non vengono elaborate categorie speciali di dati o se l’elaborazione viene eseguita in modo molto raramente.

Perché il GDPR è importante?

Le modifiche ai sensi del GDPR sono destinate a spostare le aziende lontano da un approccio di conformità a scatole per la protezione e della privacy dei dati personali e verso una strategia a livello aziendale per la gestione della durata dei dati.

Per cominciare, il GDPR copre un’area geografica più ampia. Non è necessario essere basato in Europa per qualificarsi. Il GDPR si applicherà a qualsiasi società che conduce affari con i cittadini dell’UE. Anche se si fornisce un servizio senza profitto, come un’app accessibile alle persone nell’UE, se si raccolgono informazioni digitali come indirizzi IP o cookie, potresti essere responsabile di GDPR.

C’è anche la questione dei DPA da considerare. Le autorità di protezione dei dati (DPA) sarebbero in grado di imporre multe ancora più dure per violazioni dei dati personali. Il GDPR ha un approccio a tre livelli alle sanzioni. Per le infrazioni più eclatanti, come non riuscire a ottenere un adeguato consenso al consumo ai dati di elaborazione, la penalità massima è il 4% delle entrate globali annuali o € 20 milioni. Una multa fino al 2% delle entrate annuali in tutto il mondo si applicherebbe a infrazioni meno significative, come la mancata informazione di una violazione. La punizione più alta per la violazione della legge sulla protezione dei dati nel Regno Unito è di £ 500.000, e la più grande multa fino ad oggi è stata.”

La conformità del GDPR è particolarmente critica poiché le garanzie tecnologiche e organizzative per garantire i dati personali diventeranno essenziali, con il GDPR che stabilisce esempi di ciò che è previsto. Queste preoccupazioni includono hashing e crittografia dei dati personali, la capacità di mantenere la riservatezza, l’integrità e la disponibilità e i meccanismi per valutare il successo delle misure di sicurezza.

Inoltre, l’ambito dei dati personali è stato ampliato per includere identificatori online come indirizzi IP e identità di dispositivi mobili. Sarà richiesto un accordo espresso per l’elaborazione dei dati personali e le imprese non saranno più autorizzate a utilizzare termini e condizioni estesi e illeggibili. Le persone avranno anche nuovi diritti in termini di elaborazione dei dati, come la cancellazione dei dati e la portabilità dei dati, che è la capacità di trasferire i dati su un controller diverso.

In che modo il GDPR ha influenzato la privacy dei dati a livello internazionale?

Il GDPR ha influenzato la legislazione in tutto il mondo, incluso il Paese della legge generale del Brasile per la protezione dei dati personali, la legge sulla protezione dei dati personali pianificata in Cina e la proposta di legge sulla protezione dei dati personali dell’India, per menzionare alcuni. Negli Stati Uniti, in California e Virginia hanno approvato leggi basate sul GDPR, mentre altri stati, come Washington, stanno ancora lavorando alle idee.

In India, il GDPR è stato un modello per il PDPB pianificato in India, che è probabile che venga presentato prima del Parlamento presto nella sua forma finale. L’India sta prendendo in considerazione l’ampliamento dell’ambito della legge per includere una categoria di dati personali sensibili che richiederebbero la conformità anche se non vengono raccolti dati in India ma viene elaborato lì.

I principi fondamentali del GDPR di apertura, conservazione dei dati e sicurezza sono stati dimostrati universalmente applicabili. Dal 2018, c’è stato un cambiamento significativo, con un riconoscimento che la gestione di dati personali in modo trasparente e in sicurezza è un must.

Su una scala mondiale, anche il GDPR sta aumentando il profilo della privacy. Il GDPR è stata un’opportunità molto vantaggiosa per i professionisti della privacy, aumentando le possibilità di privacy, i percorsi di carriera e i posti di lavoro sviluppando anche un pool di talenti per la privacy più forte e vario. Più in generale, il GDPR ha agito come catalizzatore per spostare la privacy in cima alle agende del CEO in tutte le aziende.

Il GDPR ha aumentato la privacy dei dati a una priorità C-Suite all’interno delle imprese, ha accelerato la maturazione di molti programmi di privacy e ha spostato molti programmi di privacy da un approccio di conformità a scatole per lo sviluppo di una cultura della privacy per progettazione e responsabilità. Il desiderio delle organizzazioni di conformarsi al GDPR non è sorprendente, dati i meccanismi di applicazione della regolamentazione.

Il futuro della conformità GDPR e della privacy dei dati

Mentre il GDPR ha fissato lo standard per un quadro di protezione dei dati in tutto il mondo, può essere migliorato allineando il suo approccio con i principi di diritto internazionale esistenti.

I casi di “Schrems” hanno causato molta confusione negli ultimi anni e il processo di adeguatezza è stato meno che aperto. La procedura di valutazione se un paese soddisfa i criteri dell’UE è ingombra.

Le organizzazioni stanno monitorando profondamente la legislazione sull’e -privacy pianificata dell’UE, che sostituirà la direttiva sull’eprivazione nella definizione di standard per le comunicazioni elettroniche, nonché suggerimenti per la regolamentazione dell’intelligenza artificiale mentre lavorano attraverso il GDPR Conformance. Gli esperti della privacy ritengono che questi piani debbano rispettare il GDPR quando vengono rivisti.

I principi del GDPR, come la responsabilità, l’apertura e la giustizia, possono servire da modello per la legislazione futura, allo scopo di sviluppare soluzioni razionali e pratiche che proteggono le persone. Per evitare la frammentazione delle leggi sulla governance dei dati all’interno dell’UE, la legislazione successiva dovrebbe cercare una significativa conformità con le regole del GDPR.