Durante il tuo colloquio legale, ti verrà chiesto di dimostrare di avere una forte consapevolezza commerciale - e discutere del GDPR in modo semplice e competente fa parte di ciò.
Cos'è il GDPR?
Il GDPR (General Data Protection Regulation) è stato introdotto per sostituire il Data Protection Act del 1998 ed è entrato in vigore per proteggere i diritti dei cittadini dell'UE nel 2018. Il GDPR è una serie di rigidi obblighi che le organizzazioni e le aziende devono rispettare quando conservano o elaborano i dati personali dei cittadini dell'UE, ed è stato redatto e approvato dall'Unione Europea per rafforzare il controllo e i diritti che un individuo ha sui propri dati personali.
Essenzialmente, se elabori i dati personali di un cittadino dell'UE (o i dati di cittadini di altri paesi che hanno adottato il GDPR), allora le normative si applicano - anche se la tua azienda o organizzazione non è nell'UE.
Altri paesi (al di fuori dell'UE) che hanno adottato il GDPR includono:
Argentina
Brasile
Cile
Giappone
Kenya
Mauritius
Sudafrica
Corea del Sud
Turchia
Regno Unito
Per semplificare ulteriormente il GDPR e renderlo più facilmente applicabile alle aziende e alle organizzazioni, i sette principi del GDPR sono lo spirito degli obblighi e facilitano la comprensione dello sfondo delle normative.
I sette principi del GDPR
Legalità, equità e trasparenza
I dati raccolti dovrebbero essere elaborati in modo legale, equo e trasparente. I dati dovrebbero essere elaborati secondo linee guida rigide, e il modo in cui vengono utilizzati non dovrebbe essere dannoso o inaspettato. Il motivo per cui l'azienda o l'organizzazione sta raccogliendo i dati dovrebbe essere chiaro e comunicato apertamente all'individuo prima che accetti di condividere i suoi dati.
Limitazione delle finalità
Qualsiasi dato raccolto dovrebbe avere una finalità legittima che è specifica e esplicitamente condivisa. Non solo l'organizzazione deve essere chiara sul motivo per cui sta raccogliendo ed elaborando i dati personali, ma deve anche registrare le finalità come parte della sua tenuta dei registri e descriverle nelle sue informazioni sulla privacy.
Minimizzazione dei dati
Tutti i dati raccolti devono essere adeguati e pertinenti per le finalità descritte, ma dovrebbero anche essere limitati a tali finalità - quindi solo ciò che è necessario.
Dovrebbero inoltre essere rivisti periodicamente per garantire che siano aggiornati e che tutto ciò che non è più pertinente e adeguato venga cancellato.
Accuratezza
I raccoglitori e i processori di dati dovrebbero adottare tutte le misure ragionevoli per garantire che i dati siano mantenuti e aggiornati laddove necessario, e che i dati personali conservati non siano fuorvianti o errati.
Limitazione della conservazione
I dati personali non dovrebbero essere conservati per un periodo più lungo di quanto sia assolutamente necessario - anche se questo può variare a seconda di determinate circostanze, come per i dati di interesse pubblico, o che vengono utilizzati per scopi di ricerca storica o scientifica. Esistono misure specifiche per i dati che rientrano in queste categorie per garantire che i diritti degli individui siano protetti, comunque.
Integrità e riservatezza
La raccolta e l'elaborazione dei dati comportano ulteriori responsabilità per la sicurezza dei dati, e l'organizzazione deve garantire che i dati siano protetti, sia dall'accesso e dall'uso non autorizzati, sia da un'elaborazione illecita.
Responsabilità
Il responsabile del trattamento dei dati nominato (e in alcuni casi i processori dei dati) per un'organizzazione è in definitiva responsabile dei dati che raccoglie, elabora e conserva. Per dimostrare la loro responsabilità, devono essere in grado di mostrare di avere in atto le misure di protezione appropriate.
Perché il GDPR è importante per gli studi legali?
Il GDPR è estremamente importante negli studi legali perché i dati personali vengono raccolti in varie forme per diversi motivi.
Uno studio legale avrà bisogno di un responsabile del trattamento dei dati, che è il principale responsabile delle decisioni quando si tratta di raccolta, elaborazione e conservazione dei dati. Anche il personale di uno studio legale sarà considerato processore di dati, rendendo possibile la raccolta e l'elaborazione dei dati.
Dalle importanti informazioni sui clienti quando utilizzano i servizi legali (che possono includere cose come indirizzi e numeri di telefono, oltre alle informazioni finanziarie), al grande volume di dati che vengono raccolti ed elaborati in preparazione di un caso, gli studi legali faranno uso di dati personali, il che significa che saranno obbligati a seguire le normative del GDPR quando si tratta di cittadini dell'UE.
Che si tratti di ricevere dati in blocco o in quantità minori, lo studio legale dovrà considerare attentamente come sta raccogliendo e utilizzando i dati, e come li sta conservando dopo l'elaborazione.
Come discutere del GDPR in un colloquio
Il background del GDPR
Capire il background del GDPR e perché è stato lanciato è essenziale per qualsiasi organizzazione che si occupa di dati personali, e se sei in grado di discutere di questo nel colloquio mostrerai ai selezionatori che hai un'eccellente consapevolezza commerciale e conoscenza dell'importanza della sicurezza dei dati, anche.
Più sarai in grado di parlare della storia di cose come il Data Protection Act e come è stato sostituito dal GDPR - e i sette principi così come la loro applicazione, più sembrerai competente.
I diritti degli individui
L'intero punto del GDPR è proteggere i diritti dell'individuo, e ci sono un paio di punti che dovresti portare alla luce quando parli del GDPR.
Innanzitutto, il diritto all'oblio. L'articolo 17 del GDPR consente a un individuo di chiedere che i dati che riguardano lui siano rimossi in determinate circostanze. Questo include:
Dati raccolti illecitamente
L'individuo ritira il consenso per l'elaborazione
I dati non sono più necessari da conservare.
In secondo luogo, l'importanza della Data Subject Access Request. In qualsiasi momento, un individuo può richiedere che un'organizzazione divulghi tutti i dati personali che detiene su di lui, e queste richieste devono essere gestite in modo tempestivo.
Avere un'opinione sul GDPR
Il GDPR è un argomento difficile da capire, quindi è qualcosa su cui vale la pena passare un po' di tempo per familiarizzare. Una delle cose più importanti da fare quando si tratta di imparare sul GDPR è sviluppare un'opinione su di esso, poiché essere in grado di articolare il ragionamento e lo sfondo della legislazione sarà più facile quando hai qualcosa da dire al riguardo.
Pratica a parlare del GDPR prima del colloquio - potresti voler provare a raccontarlo a qualcuno che potrebbe non avere già conoscenza, per esempio - in modo che quando arrivi a discuterne come parte del tuo colloquio sei già preparato e puoi parlare in modo chiaro e sicuro.
Come il GDPR influirà sul tuo lavoro come avvocato
L'impatto del GDPR sulla raccolta di dati per le organizzazioni è stato un percorso di apprendimento, e ci sono alcune aziende che sono ancora molto indietro quando si tratta di raccogliere ed elaborare dati in modo legale.
Tuttavia, più conosci su come il tuo ruolo come avvocato sarà influenzato dal GDPR - e cosa significa per le tue responsabilità verso la protezione dei dati - meglio sarai in grado di garantire che stai utilizzando i dati personali nel modo giusto.
Preparati a descrivere il tuo ruolo come processore di dati, e che conosci il rispetto delle normative del GDPR come stabilito nei sette principi, e sarai già migliore di altri candidati. Non dimenticare che uno studio legale potrebbe dover gestire dati in blocco (ad esempio, durante la scoperta) e questo può aggiungere un livello di complessità a causa del grande volume di informazioni.
Discuti le ultime notizie sul GDPR
Le notizie più importanti che provengono dalla legislazione del GDPR tendono ad essere sui casi giudiziari e sulle multe, ma è sempre utile tenere d'occhio le notizie nel caso in cui succeda qualcosa di grande - come un'altra azienda che è stata multata per aver violato gli standard dei dati, o un altro paese che è diventato parte delle normative del GDPR.
È anche una buona idea guardare i risultati delle varie sfide legali e appelli in corso per vedere se le azioni punitive vengono mantenute.
Le sfide che le aziende affrontano nell'implementare il GDPR
In quasi tutti i casi in cui c'è stata una sfida nell'implementare le misure del GDPR, un grande ostacolo è stato l'incarico del responsabile del trattamento dei dati. A volte definito come l'Ufficiale per la Protezione dei Dati, questa è la persona che è responsabile del monitoraggio della conformità e dell'assicurazione che l'organizzazione nel suo complesso stia seguendo le indicazioni pertinenti. Sono la persona che consiglia l'organizzazione su questioni relative al GDPR, e agiscono come punto di contatto per gli individui per contattare riguardo ai loro dati quando necessario.
La maggior parte delle aziende più grandi, soprattutto quelle che gestiscono dati sensibili come uno studio legale, dovrebbero avere una persona appositamente nominata come DPO, e trovare la persona giusta per quel ruolo è una sfida.
Violazioni del GDPR
Questo è sempre un argomento interessante di cui parlare, perché mostra che anche le più grandi aziende del mondo possono sbagliare quando si tratta di raccogliere ed elaborare dati in linea con il GDPR.
Ci sono alcuni casi che hanno attirato l'attenzione internazionale, e questo è dovuto alle enormi sanzioni finanziarie che sono state loro inflitte. Ad esempio:
Amazon sta affrontando una multa di £636 milioni perché un programma di pubblicità mirata non ha utilizzato un consenso adeguato.
WhatsApp sta affrontando una multa di £118,8 milioni perché non ha divulgato come i dati degli utenti sarebbero stati condivisi con Meta, la loro azienda madre.
H&M sta affrontando una multa di £30m per aver violato i termini nel gestire le informazioni private dei loro dipendenti.
Esempi di strategie di implementazione del GDPR di successo
In contrappunto alle violazioni, più puoi descrivere su come appare una corretta implementazione del GDPR, meglio è.
Esempi specifici di questo possono essere trovati online, o potresti avere una descrizione dalle tue precedenti esperienze che puoi condividere anche tu che aiuterà.
GDPR e Brexit
L'ultima cosa di cui essere consapevoli è che il Regno Unito ha ora il GDPR, nonostante non faccia più parte dell'UE.
Per la Gran Bretagna, il GDPR è sancito dalla legge in quanto è stato adottato come parte del Data Protection Act, e poi c'è stato uno strumento legislativo chiamato The Data Protection, Privacy, and Electronic Communications Regulations 2019 (ora noto come UK GDPR).
In sostanza, questo significa che per il Regno Unito, non c'è una vera differenza nelle normative che è venuta alla luce da Brexit, e la conformità non è cambiata affatto.
Punti chiave
Se vuoi essere visto come commercialmente consapevole nel tuo colloquio legale, avere una conoscenza approfondita del GDPR sarà utile. Sii pronto a dimostrare che comprendi i sette principi, riconosci l'importanza di un'eccellente implementazione, e le possibili penalità per aver sbagliato - e sarai in grado di discutere la legislazione in un modo che sia sia rilevante per l'organizzazione che per l'industria legale più ampia.
