Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Spiegazione dei punti chiave nella creazione di una politica sulla privacy conforme al GDPR (General Data Protection Regulation)

Spiegazione dei punti chiave nella creazione di una politica sulla privacy conforme al GDPR (General Data Protection Regulation)

General Corporate

Spiegazione dei punti chiave nella creazione di una politica sulla privacy conforme al GDPR (General Data Protection Regulation)

Quando si gestiscono dati personali di utenti all’interno del territorio dell’UE, è necessario conformarsi al GDPR (General Data Protection Regulation) e creare una politica sulla privacy che sia in linea con il GDPR stesso. Tuttavia, molti potrebbero non comprendere dettagliatamente il GDPR e quindi non sapere se il proprio sito web necessita di adeguamento e, in caso affermativo, come procedere.

In questo articolo, pertanto, spiegheremo le linee guida generali del GDPR e i punti chiave per creare una politica sulla privacy che sia conforme. Inoltre, presenteremo la situazione attuale in Giappone e alcuni casi di aziende note, che potranno servire come riferimento.

Il GDPR e la Politica sulla Privacy

Il GDPR e la Politica sulla Privacy

Che cos’è una politica sulla privacy conforme al GDPR? In questa sezione, spiegheremo le linee guida generali del GDPR e gli obblighi relativi alla politica sulla privacy imposti dal GDPR.

Il GDPR e la Politica sulla Privacy

Il GDPR è un regolamento stabilito dall’UE che definisce in dettaglio la protezione e il trattamento dei dati personali. Il GDPR si applica all’interno dello Spazio Economico Europeo (SEE: i paesi membri dell’UE, esclusa la Svizzera, e i paesi membri dell’EFTA, ovvero Islanda, Liechtenstein e Norvegia). Anche le aziende giapponesi possono essere soggette a questo regolamento nei seguenti casi:

  • Se offrono beni o servizi ai soggetti dei dati all’interno dell’UE
  • Se monitorano il comportamento dei soggetti dei dati all’interno dell’UE

Il soggetto dei dati è una persona fisica identificata o identificabile, a cui si riferiscono i dati personali.

Le aziende che rientrano nelle categorie sopra menzionate devono rivedere e, se necessario, modificare la loro politica sulla privacy (nota di privacy). In caso di violazione del GDPR, potrebbero essere obbligate a pagare fino a 20 milioni di euro o il 4% del fatturato globale.

Riferimento: Organizzazione Giapponese per il Commercio Estero | “Il Regolamento Generale sulla Protezione dei Dati (GDPR)”[ja]

Per condurre transazioni con i paesi dell’UE in tutta sicurezza, è essenziale verificare la propria politica sulla privacy.

Le “Informazioni da Fornire” al Momento dell’Acquisizione dei Dati Personali secondo il GDPR

Il GDPR stabilisce che, al momento dell’acquisizione dei dati personali, l’amministratore deve fornire al soggetto dei dati determinate informazioni, e l’articolo 12, paragrafo 1 del GDPR descrive il metodo di fornitura di tali informazioni.

I dettagli sono i seguenti:

  • Essere concisi, trasparenti, comprensibili e facilmente accessibili
  • Utilizzare un linguaggio chiaro e semplice
  • Adottare misure appropriate quando si forniscono informazioni ai bambini
  • Essere fornite per iscritto o, se appropriato, per via elettronica o altri mezzi
  • Se richiesto dal soggetto dei dati, le informazioni possono essere fornite oralmente

Inoltre, l’articolo 12, paragrafo 5 del GDPR afferma che la fornitura di informazioni deve essere gratuita. Verificate se la vostra politica sulla privacy soddisfa i requisiti sopra elencati e, se necessario, procedete con la revisione.

Punti chiave per la revisione della Privacy Policy in conformità con il GDPR

Punti chiave per la revisione della Privacy Policy in conformità con il GDPR

Il GDPR richiede che, quando si acquisiscono dati personali direttamente dalla persona interessata (articolo 13 del GDPR) o da fonti diverse dalla persona interessata (articolo 14 del GDPR), il responsabile del trattamento debba fornire alla persona interessata una serie di informazioni specifiche.

Le informazioni che il responsabile del trattamento deve fornire includono:

  • Identità e dettagli di contatto del responsabile del trattamento
  • Identità e dettagli di contatto del rappresentante, se presente
  • I diritti della persona interessata di accedere, rettificare, cancellare, limitare il trattamento, la portabilità dei dati e di opporsi
  • Le finalità del trattamento dei dati e la base giuridica
  • Il periodo di conservazione dei dati personali o i criteri utilizzati per determinare tale periodo
  • Le categorie di dati personali coinvolti

Alcune delle informazioni da fornire non sono presenti nelle Privacy Policy giapponesi, quindi sarà necessario concentrarsi su questi aspetti durante la revisione. Per una Privacy Policy che tenga conto della Legge sulla Protezione dei Dati Personali giapponese (Japanese Personal Information Protection Act), si prega di consultare l’articolo seguente.

Articolo correlato: Quali sono i punti chiave nella creazione di una Privacy Policy in conformità con la Legge sulla Protezione dei Dati Personali?[ja]

In questo articolo, spiegheremo i punti chiave della revisione, concentrandoci sugli aspetti che non sono coperti dalla Privacy Policy basata sulla Legge sulla Protezione dei Dati Personali giapponese.

Fondamenti della legittimità del trattamento dei dati

Il GDPR (General Data Protection Regulation) impone l’obbligo di esplicitare i “fondamenti della legittimità del trattamento dei dati”, che non erano presenti nella legge sulla protezione dei dati personali precedente. Le basi per rendere legale il trattamento dei dati personali sono le seguenti sei (articolo 6 del GDPR).

  • Il consenso dell’interessato
  • L’esecuzione di un contratto
  • Un obbligo legale
  • Interessi vitali
  • Interesse pubblico
  • Interesse legittimo

Se anche solo uno di questi sei principi è applicabile, il trattamento è considerato legale, quindi è importante esplicitarlo nella politica sulla privacy. Per le persone che forniscono informazioni per la prima volta, è possibile ottenere il consenso attraverso una nuova politica sulla privacy.

Tuttavia, è necessario prestare attenzione al trattamento degli utenti che avevano già dato il loro consenso. Per coloro che avevano acconsentito prima della revisione della politica sulla privacy, potrebbe essere necessario ottenere nuovamente il consenso.

In questo caso, si può procedere includendo uno dei sei fondamenti di legittimità nella politica sulla privacy e ottenendo il consenso per la revisione in tale maniera.

Categorie di informazioni raccolte e scopi dell’utilizzo

Nelle tradizionali politiche sulla privacy, era comune raccogliere il consenso per le informazioni acquisite e gli scopi dell’utilizzo, nonché per i termini di servizio, su una singola pagina. Tuttavia, il GDPR richiede che sia chiaro per gli utenti a cosa stanno dando il loro consenso, necessitando quindi di una specificazione degli oggetti del consenso.

È consigliabile descrivere gli scopi dell’utilizzo per ogni categoria di informazioni raccolte e ottenere il consenso per ciascuna attraverso un formato di presentazione che lo permetta.

Chiarificazione dello scopo dell’utilizzo

Il GDPR richiede che lo scopo dell’utilizzo delle informazioni raccolte sia chiaramente indicato. Ad esempio, uno scopo come “per migliorare il servizio” potrebbe essere considerato troppo vago e quindi inappropriato.

Inoltre, non è consentito trattare i dati per scopi che non sono compatibili con quelli dichiarati, quindi è importante prestare attenzione a questo aspetto quando si revisiona la politica sulla privacy.

Diritto all’oblio e diritto alla portabilità dei dati

Molte aziende hanno incluso nei loro tradizionali regolamenti sulla privacy i diritti di accesso e di rettifica. Tuttavia, il GDPR (General Data Protection Regulation) richiede anche la menzione del “diritto all’oblio e diritto alla portabilità dei dati”.

Il diritto all’oblio consente agli utenti di richiedere l’eliminazione dei propri dati personali da parte del gestore. Il diritto alla portabilità dei dati, invece, si riferisce alla possibilità di trasferire i propri dati personali a un altro servizio.

Un esempio potrebbe essere il trasferimento dei dati e dello storico di un cliente da un operatore telefonico A a un operatore telefonico B. Per essere conformi al GDPR, è necessario includere questi diritti nella politica sulla privacy.

Esplicitazione del periodo di conservazione dei dati

Il GDPR richiede l’esplicitazione del “periodo di conservazione delle informazioni personali”, un dettaglio che non era necessario includere nelle precedenti politiche sulla privacy. Se non è possibile determinare un periodo specifico, il regolamento consente di indicare i criteri utilizzati per stabilire il periodo di conservazione.

Stato della conformità al GDPR delle aziende giapponesi

Stato della conformità al GDPR delle aziende giapponesi

Vi presentiamo le informazioni dell’indagine contenute nei risultati dettagliati del “Sondaggio sulle tendenze nell’utilizzo dell’IT aziendale 2021” condotto dalla Japan Information Economy Society Promotion Association e dalla società ITR Corporation, disponibili al seguente link 「企業IT利活⽤動向調査2021」集計結果(詳細版)[ja].

Risultati dettagliati del Sondaggio sulle tendenze nell'utilizzo dell'IT aziendale 2021

Secondo i risultati dell’indagine, le aziende che hanno adottato il GDPR sono poche e quelle che stanno considerando di conformarsi (in fase di valutazione) rappresentano il 26,1%, la percentuale più alta. Al momento della raccolta dei dati nel 2021, vi è anche una tendenza significativa di aziende che non effettuano trasferimenti di dati personali con l’UE.

I risultati dell’indagine sullo scambio di dati personali con l’UE sono i seguenti:

Risultati dettagliati del Sondaggio sulle tendenze nell'utilizzo dell'IT aziendale 2021

Guardando il grafico sopra, il 44,4% delle aziende ha risposto che “attualmente non c’è scambio e non è previsto in futuro”, la percentuale più alta. Il 12% ha risposto che “c’era uno scambio in passato, ma dopo l’attuazione del GDPR, i dati vengono trattati separatamente in UE e in Giappone”.

Il 25,9% ha risposto che “attualmente non c’è scambio, ma è previsto in futuro”, e il 17,6% che “attualmente c’è uno scambio”, indicando che potrebbe esserci un aumento delle aziende che scambieranno dati con l’UE in futuro, ma al momento dell’indagine nel 2021, queste sono ancora poche.

Fonte: JIPDEC/ITR「Sondaggio sulle tendenze nell’utilizzo dell’IT aziendale 2021」[ja]

L’adeguamento delle aziende famose al GDPR

L'adeguamento delle aziende famose al GDPR

Molti si chiedono come dovrebbero rivedere la propria politica sulla privacy per conformarsi al GDPR, ma non sanno quali contenuti includere. In questa sezione, spiegheremo in dettaglio come Google e Facebook, a titolo di esempio di aziende, hanno risposto al GDPR.

L’adeguamento di Google al GDPR

Google ha annunciato le seguenti misure per conformarsi al GDPR:

  • Miglioramento della trasparenza nei confronti degli utenti
  • Ottimizzazione del controllo da parte degli utenti
  • Incremento della portabilità dei dati
  • Miglioramento degli strumenti per il consenso dei genitori e l’uso appropriato di Internet da parte dei bambini
  • Supporto per utenti business e partner
  • Rafforzamento del programma di conformità alla privacy

Qui di seguito, forniremo una spiegazione dettagliata.

Riferimento: Google “Le iniziative di Google in preparazione al nuovo regolamento generale sulla protezione dei dati (GDPR) dell’UE

Miglioramento della trasparenza verso gli utenti

Google sta migliorando e aggiornando la propria politica sulla privacy per rendere più comprensibili le informazioni raccolte e le ragioni di tale raccolta, e per facilitare la ricerca di queste informazioni. Altre modifiche includono:

  • Aggiunta di dettagli sulla gestione, l’esportazione e l’eliminazione delle informazioni
  • Inserimento di video e grafici oltre ai testi

Inoltre, abbiamo modificato le impostazioni per consentire un accesso più facile alla pagina delle impostazioni della privacy.

Miglioramento della gestione da parte degli utenti

Per conformarci al Regolamento Generale sulla Protezione dei Dati (GDPR), abbiamo migliorato il modo in cui gestiamo gli utenti. Le modifiche apportate sono le seguenti:

  • Possibilità di visualizzare e cancellare i dati nella sezione “La mia attività”
  • Funzionalità di ricerca per argomento, data e prodotto
  • Verifica delle impostazioni di privacy personalizzate
  • Gestione e occultamento degli annunci pubblicitari visualizzati
  • Comprensione dei dati tramite il Google Dashboard

Inoltre, anche prima dell’entrata in vigore del GDPR, abbiamo reso più semplice la gestione delle informazioni degli utenti e degli annunci pubblicitari.

Miglioramento della portabilità dei dati

Google offre vari servizi come Google Foto, Drive, Calendario e Gmail. Le azioni intraprese da Google per migliorare la portabilità dei dati in conformità con il GDPR includono:

  • Ampliamento dei servizi e delle opzioni di gestione che supportano il download dei dati
  • Introduzione di una funzione per programmare download periodici

Miglioramento degli strumenti per il consenso dei genitori e l’uso appropriato di Internet da parte dei bambini

Google offre l’app Family Link per supportare i genitori e garantire un uso appropriato di Internet da parte dei bambini. Attraverso Family Link, i genitori possono creare account per i loro figli.

L’app permette di impostare e gestire regole domestiche come “gestione del tempo di utilizzo” e “sospensione temporanea del dispositivo”.

Supporto per Utenti Business e Partner

Per conformarsi al GDPR (Regolamento Generale sulla Protezione dei Dati), abbiamo aggiornato le politiche che richiedono il consenso degli utenti da parte dei partner di Google (inclusi inserzionisti e gestori di siti web) all’interno dei siti e delle app. Altre misure adottate includono:

  • Fornitura di strumenti per supportare la conformità al GDPR
  • Inasprimento del processo di certificazione per le aziende che utilizzano i servizi pubblicitari di Google
  • Aggiornamento delle condizioni di elaborazione dei dati
  • Fornitura di informazioni dettagliate su portabilità dei dati e notifiche di incidenti relativi ai dati

Rafforzamento del Programma di Compliance sulla Privacy

Per conformarci al GDPR (Regolamento Generale sulla Protezione dei Dati), stiamo implementando un rafforzamento del nostro Programma di Compliance sulla Privacy. I dettagli sono i seguenti:

  • Miglioramento del Programma Privacy
  • Rafforzamento del processo di revisione dei prodotti

Inoltre, stiamo documentando in modo più completo anche il trattamento dei dati.

L’adeguamento di Facebook al GDPR

Facebook ha annunciato le seguenti misure per conformarsi al GDPR:

  • Verifica dell’acquisizione di informazioni dagli annunci pubblicitari
  • Scelta delle informazioni del profilo
  • Verifica dell’uso della tecnologia di riconoscimento facciale (UE e Canada)
  • Termini di servizio aggiornati e consenso relativo ai dati
  • Introduzione di funzionalità che facilitano l’accesso, la cancellazione e il download delle informazioni
  • Informazioni rivolte agli utenti più giovani

Qui di seguito, forniremo una spiegazione dettagliata.

Riferimento: Facebook “Conformità al Regolamento Generale sulla Protezione dei Dati (GDPR) e introduzione di nuove protezioni per la privacy[ja]

Verifica dell’acquisizione di informazioni dagli annunci pubblicitari

I partner di Facebook utilizzano le informazioni ottenute tramite i click sul pulsante “Mi piace” e gli strumenti forniti da Facebook per la visualizzazione degli annunci pubblicitari. Viene fornita agli utenti la possibilità di ricevere informazioni sugli annunci e di scegliere se consentire ai partner di utilizzare tali informazioni per la visualizzazione degli annunci.

Scelta delle informazioni del profilo

Il profilo di Facebook può includere e rendere pubbliche informazioni relative a visioni politiche, credenze religiose e relazioni personali. Gli utenti possono scegliere se continuare a rendere pubbliche queste informazioni e se consentire il loro utilizzo negli annunci pubblicitari.

Le informazioni del profilo possono essere selezionate liberamente in qualsiasi momento e, se desiderato, possono essere facilmente cancellate dall’utente.

Verifica dell’uso della tecnologia di riconoscimento facciale (UE e Canada)

Facebook offre agli utenti degli stati membri dell’UE e del Canada la possibilità di scegliere se utilizzare o meno la tecnologia di riconoscimento facciale. Anche gli utenti di altre regioni possono fare questa scelta liberamente.

Termini di servizio aggiornati e consenso relativo ai dati

Verrà richiesto il consenso agli utenti per i “Termini di servizio” e la “Politica sui dati”, che includono informazioni dettagliate sul funzionamento del servizio.

Introduzione di funzionalità che facilitano l’accesso, la cancellazione e il download delle informazioni

L’uso dello “strumento di gestione dei dati personali” permette di verificare e cancellare i dati personali. Inoltre, è stato reso semplice scaricare ed esportare i dati.

La funzionalità di log delle attività su dispositivi mobili è stata aggiornata per facilitare agli utenti la verifica delle informazioni condivise in passato.

Informazioni rivolte agli utenti più giovani

Facebook ha già impostato delle restrizioni specifiche per gli utenti adolescenti, che includono:

  • Limitazioni sulle categorie di annunci
  • Divieto dell’uso del riconoscimento facciale (per utenti sotto i 18 anni)
  • Limitazioni sulla visualizzazione e ricerca delle informazioni condivise dagli utenti adolescenti

Inoltre, le impostazioni predefinite sono progettate per non rendere pubbliche le informazioni.

Per conformarsi al GDPR, Facebook ha stabilito delle norme aggiuntive. Per gli utenti degli stati membri dell’UE, è necessario il permesso dei genitori per la visualizzazione degli annunci e per la pubblicazione di informazioni nel profilo (come credenze religiose e visioni politiche).

Nelle altre regioni, gli utenti hanno la possibilità di scegliere se consentire l’utilizzo dei dati ottenuti dai partner per la visualizzazione degli annunci e se rendere pubbliche le informazioni personali nel proprio profilo.

Riassunto: Il GDPR ha un ambito più ampio rispetto alla legge giapponese e richiede una conformità obbligatoria

GDPR

Il GDPR prevede una serie di disposizioni, tra cui la “specificazione degli scopi per ogni informazione raccolta”, la “dichiarazione del diritto all’oblio e del diritto alla portabilità dei dati” e la “dichiarazione dei periodi di conservazione”, che ampliano significativamente l’ambito dei diritti degli utenti rispetto alla precedente legge giapponese.

In caso di violazione del GDPR, potrebbe essere necessario pagare pesanti sanzioni. Pertanto, le aziende che gestiscono dati personali all’interno dell’UE devono conformarsi al GDPR. Le aziende che operano o prevedono di espandersi nell’UE dovrebbero sviluppare una politica sulla privacy in linea con il GDPR.

Presentazione delle strategie del nostro studio legale

Lo studio legale Monolith è specializzato in IT, con particolare esperienza nel settore di Internet e del diritto. Negli ultimi anni, il business globale si è notevolmente espanso e la necessità di controlli legali da parte di esperti è in costante aumento. Il nostro studio offre soluzioni in materia di diritto internazionale.

Aree di competenza dello studio legale Monolith: Affari internazionali e d’oltremare[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Spiegazione delle procedure, vantaggi e svantaggi dell'M&A utilizzato per la vendita di un'azienda

Spiegazione delle procedure, vantaggi e svantaggi dell'M&A utilizzato per la vendita di un'a.

General Corporate

Cosa succede in caso di violazione della Legge Giapponese sulla Presentazione dei Premi (Legge sui Premi)? Spiegazione anche del sistema delle multe

Cosa succede in caso di violazione della Legge Giapponese sulla Presentazione dei Premi (Legge s.

General Corporate

Cosa sono le modifiche alla Legge sull'Impresa di Telecomunicazioni Giapponese del 5° anno dell'era Reiwa (2023)? Spiegazione dettagliata anche sulla regolamentazione dei Cookie

Cosa sono le modifiche alla Legge sull'Impresa di Telecomunicazioni Giapponese del 5° anno dell'.

General Corporate

L'effetto delle cause giudiziarie sulla revisione dell'elenco

L'effetto delle cause giudiziarie sulla revisione dell'elenco

General Corporate

La necessità di concludere un contratto di investimento nel round di seed

La necessità di concludere un contratto di investimento nel round di seed

General Corporate

Spiegazione sulle 'Penalità' nella Legge sulla Protezione dei Dati Personali modificata nel 4° anno dell'era Reiwa (2022)

Spiegazione sulle 'Penalità' nella Legge sulla Protezione dei Dati Personali modificata nel 4° a.

General Corporate

Cosa sono le procedure per lo scambio di biglietti da visita online? Spiegazione anche dei punti da notare sulla 'Legge Giapponese sulle Email Elettroniche Specifiche

Cosa sono le procedure per lo scambio di biglietti da visita online? Spiegazione anche dei punti.

General Corporate

Guida completa ai punti chiave che le aziende giapponesi dovrebbero considerare quando esplorano l'espansione all'estero

Guida completa ai punti chiave che le aziende giapponesi dovrebbero considerare quando esplorano.

General Corporate

Punti da considerare quando si stipula un contratto di lavoro nel crescente settore degli 'eSports'?

Punti da considerare quando si stipula un contratto di lavoro nel crescente settore degli 'eSpor.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su