Lezione 4I principi del GDPR sulla protezione dei dati
- Nozione 26 - L'importanza dei principi di trattamento dei dati personali
- Nozione 27 - Primo principio del GDPR: liceità, correttezza, trasparenza
- Nozione 28 - Secondo principio del GDPR: limitazione delle finalità
- Nozione 29 - Terzo principio del GDPR: minimizzazione dei dati
- Nozione 30 - Quarto principio del GDPR: accuratezza
- Nozione 31 - Quinto principio del GDPR: limitazione della conservazione
- Nozione 32 - Sesto principio del GDPR: integrità e riservatezza.
- Nozione 33 - Settimo principio del GDPR: responsabilità
- Nozione 34 - Ripassare i concetti fondamentali
Nozione 27
Primo principio del GDPR: liceità, correttezza, trasparenza
competenza target
l nucleo del Regolamento generale sulla protezione dei dati è costituito da 7 principi, che sono stati brevemente introdotti nella lezione precedente, Nozione 18. In questa lezione spiegheremo in modo più dettagliato i principi. In questa lezione spiegheremo in modo più dettagliato i principi. Qui vi presenteremo il principio n. 1 (liceità, trasparenza e correttezza) del GDPR.
Che cos'è la liceità?
Quando un'organizzazione tratta dati personali, deve sempre farlo in conformità alla legge (GDRP). In altre parole, deve esistere una base giuridica legittima (motivi) per il trattamento dei dati personali.
I motivi specifici per il trattamento dei dati devono essere identificati e deve applicarsi almeno uno dei seguenti:
- a) La persona interessata ha acconsentito al trattamento dei suoi dati personali per una o più finalità specifiche.
- b) La raccolta dei dati è necessaria per la futura elaborazione di un contratto a cui l'interessato è interessato.
- c) La persona dell'organizzazione responsabile del trattamento dei dati è legalmente obbligata a farlo.
- d) I dati devono essere trattati per proteggere gli interessi vitali dell'interessato.
- e) Il trattamento è necessario per l'esecuzione di un compito svolto dal ""titolare del trattamento"" (cfr. Nozione 26) nell'interesse pubblico o nell'esercizio di pubblici poteri (il titolare del trattamento).
- f) L'organizzazione (o un'altra parte) ha un interesse legittimo a trattare i dati. A meno che gli interessi o i diritti fondamentali dell'interessato non prevalgano su tale interesse.
In sintesi, il trattamento dei dati è "lecito" o legittimo se è soddisfatto almeno uno dei motivi di cui sopra. Anche in questo caso, tutto dipende dall'intenzione e dal rapporto tra le parti coinvolte.
Che cos'è la correttezza?
Il trattamento dei dati deve essere effettuato in un modo che le persone si aspetterebbero e non in un modo che abbia un impatto negativo ingiustificato su di loro. Pertanto, quando si elaborano i dati, è necessario chiedersi due cose:
1) Il trattamento avrà un impatto negativo su un individuo o un gruppo?
2) Il trattamento dei dati è giustificato?
Se non lo è, state violando questo principio. "Se un qualsiasi aspetto del vostro trattamento è ingiusto, state violando questo principio, anche se potete dimostrare di avere una base legittima per il trattamento" (ICO, s.a.).
Che cos'è la trasparenza?
Trasparenza significa essere chiari, onesti e aperti. In materia di privacy e protezione dei dati, ciò significa che le persone devono sapere fin dall'inizio come e perché i loro dati personali vengono raccolti e trattati. Pertanto, un'organizzazione deve comunicarlo in un linguaggio semplice, in modo che tutti possano capirlo. Quando le persone dispongono di queste informazioni, possono esercitare i loro diritti.
Per aiutarvi a comprendere questi concetti, ecco un esempio reale:
Nel marzo 2018, due dei maggiori quotidiani del mondo (The Guardian e NY Times) hanno pubblicato storie su ""come i dati personali di oltre 50 milioni di utenti di Facebook sono finiti nelle mani di Cambridge Analytica"" (Privacy International, 2019). La società di consulenza e analisi dei dati (Cambridge Analytica) ha ottenuto illegalmente dati da Facebook attraverso un'app di terze parti (un test della personalità), senza il consenso degli utenti e senza una base legale. Questo scandalo è stato un evento catalizzatore in termini di leggi e regolamenti sulla protezione dei dati. Infatti, due mesi dopo questo evento, è entrato in vigore il GDRP.
Pertanto, è lecito affermare che vi è stata una completa violazione del principio n. 1 del GDRP e ne spiegheremo il motivo:
Il test della personalità menzionato in precedenza ("This Is Your Digital Life") è stato sviluppato da un dipendente di Cambridge Analytica. Il test ha creato un profilo psicologico della persona che rispondeva alle domande, che la società ha utilizzato per indirizzare i singoli elettori con l'obiettivo di prevedere e influenzare le decisioni di voto delle persone e aumentare il sostegno alla campagna presidenziale di Trump del 2016 (Privacy International, 2019). Per il test è stato previsto un processo di consenso informato per la ricerca, con migliaia di utenti di Facebook che hanno accettato di completarlo solo per scopi accademici. Tuttavia, Facebook ha permesso a questa applicazione di raccogliere dati personali non solo dagli intervistati, ma anche dai loro contatti Facebook.
La condivisione dei dati da parte di Facebook e l'uso dei dati personali da parte di Cambridge Analytica senza il consenso delle persone era completamente illegale (liceità). Sono stati violati i diritti e le libertà fondamentali delle persone, per non parlare del potenziale impatto negativo sulle persone a livello collettivo (impotenza). Inoltre, il modo discutibile di chiedere il consenso delle persone e poi di utilizzare i loro dati personali come strategia per colpirle e influenzare un'elezione (trasparenza).
Riferimenti:
- Privacy International (2019, 30 aprile). Cambridge Analytica, GDPR - 1 anno dopo - molte parole e qualche azione. Recuperato da: https://privacyinternational.org/news-analysis/2857/cambridge-analytica-gdpr-1-year-lot-words-and-some-action
- ICO (s.a.) Principio (a): Legalità, equità e trasparenza. ICO, Information Commissioner's Office. Recuperato da: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/lawfulness-fairness-and-transparency/