L'Ufficio del Commissario per le informazioni del Regno Unito ha emesso un giudizio massiccio contro una società per la condivisione illegale di dati. Ecco come evitare lo stesso destino.
Nel Regno Unito, Bounty è un fornitore ben noto ma alquanto controverso di pacchetti di gravidanza e genitori, consigli, app e foto di reparti di maternità. In passato hanno suscitato critiche in merito alla privacy a causa della loro pratica di inviare rappresentanti nelle stanze delle neomamme per vendere pacchetti di immagini. Ora, Bounty è in guai ancora maggiori, questa volta per motivi di privacy dei dati.
Questo mese la principale agenzia di protezione dei dati del Regno Unito, l'ICO, ha annunciato i risultati di un'indagine sulle pratiche di condivisione dei dati di Bounty. Fino al 30 aprile dello scorso anno, poco prima dell'entrata in vigore del GDPR, la società ha venduto 34,4 milioni di record utente con società esterne come Equifax ( dell'infamia della violazione dei dati ) senza informare gli interessati. I dati includevano anche la data di nascita e il sesso dei neonati. L'ICO ha multato la società £ 400.000.
Poiché Bounty ha concluso la pratica poco prima della data di inizio del GDPR, le pratiche hanno violato il Data Protection Act 1998, non il GDPR. Questo fatto ha limitato la possibile multa a £ 500.000. La sanzione del GDPR per una violazione simile avrebbe potuto raggiungere £ 17 milioni (€ 20 milioni).
Il direttore delle indagini dell'ICO ha emesso un severo rimprovero della società:
Il numero di record personali e di persone interessate in questo caso non ha precedenti nella storia delle indagini dell'ICO sull'industria e le organizzazioni di intermediazione dei dati collegate a questo.
La generosità non era aperta o trasparente a milioni di persone che i loro dati personali potevano essere trasmessi a un numero così elevato di organizzazioni. Qualsiasi consenso dato da queste persone non è stato chiaramente informato. Le azioni di Bounty sembrano essere state motivate da guadagni finanziari, dato che la condivisione dei dati era parte integrante del loro modello di business in quel momento.
È probabile che tale condivisione negligente dei dati abbia causato angoscia a molte persone, poiché non sapevano che le loro informazioni personali venivano condivise più volte con così tante organizzazioni, comprese le informazioni sul loro stato di gravidanza e sui loro figli.
Requisiti per la condivisione dei dati
Non c'è nulla di intrinsecamente sbagliato nella condivisione dei dati personali delle persone con terze parti. Ma devi andare nel modo giusto. Di seguito sono riportati i requisiti GDPR pertinenti se si desidera condividere i dati personali degli utenti al di fuori della propria organizzazione.
Sii chiaro sulle tue intenzioni
Le persone hanno il diritto di sapere come verranno utilizzati i loro dati personali. L'articolo 12 del GDPR spiega questi requisiti. Queste comunicazioni devono essere "in forma concisa, trasparente, intelligibile e facilmente accessibile, usando un linguaggio chiaro e chiaro, in particolare per qualsiasi informazione indirizzata specificamente a un bambino".
È necessario comunicare queste informazioni al momento della raccolta dei dati. L'articolo 13 elenca le informazioni che devono essere fornite e quando.
Devi avere una base legale
L' articolo 6 del GDPR e l' articolo 7 trattano delle basi legali per il trattamento dei dati personali. Molto probabilmente, nel caso di vendita di dati degli utenti a terzi, la base legale sarà il consenso, il che comporta un'ulteriore cautela per garantire che il consenso sia correttamente richiesto e dato liberamente. Abbiamo precedentemente spiegato in dettaglio i requisiti del consenso GDPR .
Può sembrare ovvio, ma è necessario ottenere il consenso esplicito per ciascuna delle attività di trattamento che si intende svolgere con i dati delle persone. Nel caso Bounty, la società ha condiviso i dati personali con 39 organizzazioni. I membri di Bounty non erano a conoscenza del fatto che i loro dati sarebbero stati condivisi con così tante terze parti. Ciò ha violato la loro capacità di esercitare i loro diritti sulla privacy dei dati perché non sapevano dove i loro dati venivano archiviati o come venivano utilizzati.
Trasferimento internazionale di dati
Se si intende condividere informazioni con organizzazioni di altri paesi, ciò innesca responsabilità aggiuntive coperte nel Capitolo 5 del GDPR. In particolare: "Un trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale può aver luogo laddove la Commissione abbia deciso che il paese terzo, un territorio o uno o più settori specifici all'interno di quel paese terzo o l'organizzazione internazionale in questione garantisce un adeguato livello di protezione. "
Conclusione
Non c'è dubbio che il GDPR rende più difficile trarre profitto dai dati personali di altre persone. Ma questo è il punto della legge: sono i dati degli altri; se vuoi usarlo, devi avere una buona ragione, o semplicemente chiedere. Le pratiche di condivisione dei dati di Bounty superarono chiaramente la linea e lo sapevano. Ecco perché hanno terminato la pratica poco prima che il GDPR aumentasse drasticamente la loro esposizione alle multe.
Detto questo, la conformità al GDPR non deve essere difficile. Abbiamo creato questo sito Web per semplificare la conformità delle aziende. La nostra lista di controllo del GDPR e la nostra panoramica della legge sono ottimi punti di partenza. Se sei un'azienda negli Stati Uniti, abbiamo anche una lista di controllo per te .