Come il GDPR europeo influenzerà le organizzazioni australiane

Nel maggio 2018 entrerà in vigore il Regolamento generale sulla protezione dei dati (GDPR), che richiederà alle organizzazioni di tutto il mondo che detengono dati appartenenti a individui provenienti dall'Unione Europea (UE) per fornire un elevato livello di protezione e sapere esplicitamente dove si trova ogni grammo di dati è memorizzato.

Le organizzazioni che non rispettano le norme requisiti normativi potrebbe essere inflitto con sanzioni amministrative fino a 20 milioni di euro o, nel caso di un'impresa, anche fino al 4% del fatturato annuo mondiale totale dell’anno finanziario precedente, qualunque sia più alto.

Tuttavia, le leggi non si fermano ai confini europei, poiché quelli del resto del mondo, inclusa l’Australia, sono vincolati dai requisiti GDPR se hanno una sede nell’UE, se offrono beni e servizi nell’UE o se monitorano il comportamento degli individui nell’UE.

Il GDPR e quello australiano Legge sulla privacy del 1988 condividere molti requisiti comuni, tra cui l’implementazione di un approccio privacy-by-design alla conformità; essere in grado di dimostrare il rispetto dei principi e degli obblighi privacy; e adottare pratiche trasparenti di gestione delle informazioni.

Ci sono anche molte differenze, con la nomina di un responsabile della protezione dei dati per ciascuna organizzazione, un requisito significativo ai sensi del GDPR.

Mercoledì, intervenendo alla conferenza Data + Privacy Asia Pacific tenutasi a Sydney, il commissario australiano per la privacy e l'informazione Timothy Pilgrim ha spiegato che, sebbene la legge australiana non impone la presenza di un responsabile della protezione dei dati all'interno di un'organizzazione, il GDPR lo fa, quindi le organizzazioni che operano nell'UE devono assicurarsi di avere una persona incaricata della responsabilità.

"Queste sono le questioni chiave a cui devi iniziare a pensare se operi o commerci in Europa", ha detto Pilgrim.

Raccomanda inoltre alle organizzazioni australiane di sfruttare l'opportunità per assicurarsi di essere conformi ai requisiti previsti dalla Legge sulla privacy, come l'adozione di una buona governance e l'effettuazione di valutazioni d'impatto sulla privacy.

"Ci sono molte più somiglianze che differenze ed è da questo che dobbiamo attingere", ha detto.

Il GDPR è una legge in qualche modo basata sul consenso, con l'articolo 17 del regolamento intitolato Diritto alla cancellazione: il diritto di un individuo a essere "dimenticato" da un'organizzazione che detiene i suoi dati.

"L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”, GDPR stati.

Afferma inoltre che un individuo può correggere qualsiasi informazione errata tenuta su di lui.

Secondo la legge australiana, Pilgrim ha spiegato che un'organizzazione non richiede nemmeno un consenso specifico per la raccolta generale dei dati personali a meno che non si tratti di raccogliere informazioni sensibili, per non parlare del mandato di cancellare la traccia di un individuale.

Secondo il GDPR, le persone sono protette dall’essere soggette a determinazioni basate su sistemi automatizzati senza intervento umano. In quanto tali, pratiche impiegate da organizzazioni simili a quelle adottate dal Dipartimento australiano dei servizi umani Progetto di recupero crediti automatizzato di Centrelink potrebbero ritrovarsi in acque profonde.

Simon Entwisle, vice commissario per le operazioni dell'Information Commissioner's Office (ICO) del Regno Unito, ha chiarito che il GDPR copre anche un outsider che si trova in Europa.

"Chiunque in Europa è coperto e non sono nemmeno solo i cittadini... se sei in Europa e sei soggetto a qualche atroce problema di protezione dei dati, allora sei coperto dal GDPR", ha spiegato.

Il GDPR è incentrato sull’individuo e sui suoi diritti e attribuisce una forte responsabilità alle organizzazioni. Nelle parole di Entwisle, chiarisce la definizione di dati personali, rende il consenso più specifico, dovrebbe comportare trasparenza e responsabilità, impone obblighi ai titolari del trattamento e ai soggetti che trattano i dati e affida loro ulteriori obblighi anche le responsabilità.

Con 26,9 miliardi di dollari di entrate per il 2016, Entwisle ha messo in guardia il gigante dei social media Facebook per aver aderito alle regole GDPR.

Con l’avanzare della Brexit, il Regno Unito è ancora vincolato dal GDPR finché farà parte dell’UE; tuttavia Entwisle ha notato che l'ICO - l'organismo indipendente istituito per difendere i diritti di informazione nel Regno Unito - riceve notifiche di violazione dei dati solo su base volontaria e non obbligatoria.

Nel tentativo di legiferare sull'informazione degli australiani quando la loro privacy è stata violata, il governo federale ha finalmente deciso di farlo ha approvato le leggi sulla notifica della violazione dei dati al suo terzo tentativo a febbraio che vedrà le persone essere avvisate dell'accesso inappropriato ai loro dati a partire da febbraio 2018 ai sensi del Legge sull'emendamento sulla privacy (violazioni dei dati notificabili)..

La legislazione è limitata agli incidenti che coinvolgono informazioni personali, informazioni sulla carta di credito, idoneità al credito e informazioni sul codice fiscale che metterebbero gli individui a "rischio reale di gravi danno".

Le leggi sulla notifica si applicano solo alle società coperte dal Legge sulla privacy, e prevede che le agenzie di intelligence, le piccole imprese con un fatturato inferiore a 3 milioni di dollari australiani all'anno e i partiti politici siano esentati dalla divulgazione di violazioni.

Le organizzazioni hanno 30 giorni per dichiarare la violazione; secondo il GDPR, le organizzazioni hanno 72 ore per avvisare le autorità dopo averne preso conoscenza, a meno che non sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà naturali persone.

Uno dei compiti principali per tutte le autorità di protezione dei dati in Europa in questo momento è quello di dotare le risorse per affrontare il GDPR.

"È enorme, stiamo cercando di aumentare il nostro personale di circa il 15% o qualcosa del genere", ha spiegato Entwisle. "È un grosso problema e ci sono alcune sfide enormi."

Louis Tague, amministratore delegato di Veritas Technologies per Australia e Nuova Zelanda, ha parlato con ZDNet all'inizio di quest'anno Il 30% delle imprese locali soddisfa i requisiti per conformarsi al GDPR e che non sono consapevoli delle implicazioni del GDPR o potenzialmente sottovalutano lo sforzo necessario per essere conformi alla direttiva.

Secondo i risultati del sondaggio rilasciato da Dell Technologies in ottobre, quasi il 90% delle imprese dell'area Asia-Pacifico sapeva poco o nulla dell'UE imminente regolamentazione, mentre un altro 93% non aveva alcun piano in atto per l’entrata in vigore del GDPR prende il via.

L’articolo 5 del GDPR afferma che le organizzazioni devono essere in grado di dimostrare di rispettare tutti i principi relativi al trattamento dei dati personali; le organizzazioni devono inoltre implementare misure tecniche e organizzative adeguate, compresi i dati politiche di protezione, per garantire e poter dimostrare che il trattamento è conforme al GDPR ai sensi Articolo 24; e l'articolo 25 stabilisce che le organizzazioni devono attuare misure tecniche e organizzative per dimostrare di averlo fatto hanno considerato e integrato la protezione dei dati nelle loro attività di trattamento - "protezione dei dati fin dalla progettazione e per impostazione predefinita".