Privacy dei dati | Regolamenti | Leggi | Quadri di riferimento
Data & Mores Complice Service (DMCS) supporta un'ampia gamma di quadri giuridici. Dal GDPR europeo al PIPEDE canadese fino al PIPL cinese. Alla base di tutta la privacy dei dati c'è il presupposto che i dati appartengono alle persone e le organizzazioni sono solo custodi dei dati. Con questa consapevolezza, diventa chiaro che tutti i Dati personali devono avere un periodo di conservazione e devono essere cancellati prima che diventi illegale conservarli.
Il GDPR è stata la prima importante normativa sulla privacy dei dati che, per la sua portata complessiva, ha avuto un impatto su quasi tutta la legislazione globale in materia. Tuttavia, come indicato di seguito, è essenziale notare che il GDPR è radicato nella Carta dei diritti fondamentali dell'Unione europea.
Di seguito, abbiamo delineato i dieci framework di retention dei regolatori che il DMCS supporta immediatamente.
1. UE: Regolamento generale sulla protezione dei dati (GDPR):
Ai sensi del GDPR, la conservazione dei dati è un aspetto fondamentale per garantire la conformità. Le organizzazioni devono stabilire chiare politiche di conservazione dei dati che determinino il periodo per il quale i dati personali possono essere conservati. Viene sottolineato il principio della minimizzazione dei dati, il che significa che i dati personali devono essere conservati solo per il tempo necessario allo scopo specificato. Le organizzazioni devono documentare i periodi di conservazione e informare le persone sulla durata della conservazione dei loro dati. Il GDPR richiede inoltre alle organizzazioni di implementare misure di sicurezza adeguate per salvaguardare i dati conservati durante la conservazione.
2. STATI UNITI: Legge sulla privacy dei consumatori della California (CCPA):
Il CCPA concede ai consumatori il diritto di richiedere la cancellazione dei propri dati personali in possesso delle aziende. Di conseguenza, le organizzazioni devono stabilire politiche di conservazione dei dati in linea con questi diritti. Pur non specificando un periodo di conservazione specifico, il CCPA sottolinea la necessità per le organizzazioni di informare le persone sulle loro pratiche di conservazione dei dati. Le aziende devono rendere note le categorie di informazioni personali raccolte, lo scopo della raccolta e il periodo di conservazione dei dati. Il rispetto delle politiche di conservazione dei dati e la tempestiva cancellazione dei dati su richiesta sono fondamentali per soddisfare i requisiti del CCPA.
https://oag.ca.gov/privacy/ccpa
3. Canada: Legge sulla protezione delle informazioni personali e dei documenti elettronici (PIPEDA):
Il PIPEDA richiede alle organizzazioni di avere politiche di conservazione dei dati chiare e ragionevoli. Sottolinea l'importanza di limitare la conservazione dei dati personali solo a quanto necessario per soddisfare gli scopi identificati. Le organizzazioni devono specificare le modalità di raccolta e conservazione dei dati personali e comunicare tali finalità alle persone. Inoltre, il PIPEDA prevede che le organizzazioni debbano disporre di linee guida e procedure per la distruzione o l'anonimizzazione delle informazioni personali quando non sono più necessarie per gli scopi identificati.
4. Brasile: Legge generale sulla protezione dei dati (LGPD):
La LGPD riconosce l'importanza delle politiche di conservazione dei dati per garantire la protezione e la privacy dei dati personali. Richiede alle organizzazioni di stabilire finalità specifiche per il trattamento dei dati e di conservarli per la durata necessaria a raggiungere tali finalità. Le organizzazioni devono informare le persone sul periodo di conservazione e sui criteri utilizzati per determinare la durata della conservazione dei dati. Inoltre, la LGPD sottolinea la necessità di misure di sicurezza adeguate per proteggere i dati conservati e impedire l'accesso o la divulgazione non autorizzati.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
5. Singapore: Legge sulla protezione dei dati personali (PDPA):
Ai sensi del PDPA, le organizzazioni devono stabilire politiche di conservazione dei dati in linea con lo scopo della raccolta. I dati personali non devono essere conservati più a lungo di quanto necessario per soddisfare le finalità dichiarate e le organizzazioni devono documentare i periodi di conservazione. Il PDPA sottolinea inoltre l'importanza di implementare misure di sicurezza adeguate per proteggere i dati conservati da accessi non autorizzati, divulgazione o perdita.
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
6. Legge australiana sulla privacy: (APA)
Sebbene l'Australian Privacy Act non delinei esplicitamente periodi specifici di conservazione dei dati, sottolinea il principio della minimizzazione dei dati. Le organizzazioni sono tenute a stabilire politiche di conservazione dei dati che garantiscano che le informazioni personali siano conservate solo per il tempo necessario a soddisfare gli scopi identificati. Inoltre, la legge sottolinea la necessità per le organizzazioni di implementare adeguate misure di sicurezza per proteggere i dati conservati da accessi non autorizzati, usi impropri, interferenze, perdite o divulgazioni.
https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act
7. US Health Insurance Portability and Accountability Act (HIPAA):
L'HIPAA contiene disposizioni relative alla conservazione dei dati nel settore sanitario. Le entità coperte e i partner commerciali sono tenuti a conservare le informazioni sanitarie protette (PHI) per periodi specifici al fine di soddisfare i requisiti legali e aziendali. L'HIPAA non prevede un periodo di conservazione specifico, ma sottolinea la necessità di implementare politiche e procedure per la conservazione e lo smaltimento dei dati. Le organizzazioni devono considerare le leggi statali e federali quando stabiliscono le politiche di conservazione dei dati per le PHI.
https://www.hhs.gov/hipaa/index.html
8. REGNO UNITO: Legge sulla protezione dei dati:
Il Data Protection Act 2018, insieme al GDPR, impone alle organizzazioni di dotarsi di politiche di conservazione dei dati. I dati personali devono essere conservati solo per il tempo necessario per gli scopi specificati. La legge sottolinea la necessità per le organizzazioni di informare le persone sui periodi di conservazione e sui criteri utilizzati per determinare la durata della conservazione dei dati. Inoltre, devono essere implementate misure di sicurezza adeguate per proteggere i dati conservati.
9. Cina: Legge sulla protezione delle informazioni personali (PIPL):
Il PIPL in Cina impone alle organizzazioni di stabilire politiche di conservazione dei dati ai fini del loro trattamento. Le informazioni personali devono essere conservate solo per il tempo necessario a soddisfare gli scopi specificati. Le organizzazioni devono informare le persone sul periodo di conservazione e sui criteri utilizzati per determinare la durata della conservazione dei dati. La legge richiede inoltre alle organizzazioni di implementare misure di sicurezza per proteggere i dati conservati da accessi non autorizzati, divulgazione o perdita.
http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
India: Legge sulla protezione dei dati personali (PDPB):
Il PDPB proposto in India sottolinea l'importanza delle politiche di conservazione dei dati. Le organizzazioni devono stabilire periodi di conservazione basati sulle finalità del trattamento dei dati. I dati personali non devono essere conservati più a lungo di quanto necessario per soddisfare le finalità specificate. Il PDPB richiede alle organizzazioni di informare le persone sui periodi di conservazione e di implementare misure di sicurezza adeguate per proteggere i dati conservati.
Come sempre, leggete le fonti - andate a zero fiducia