Domanda:
Il GDPR copre la raccolta di dati da parte di siti Web che eseguono la scansione del Web e rivendono i dati degli utenti
Thomas
2019-04-22 15:35:03 UTC
view on stackexchange narkive permalink

Ho scoperto che molte delle mie informazioni personali sono ora disponibili su una serie di siti Web che raccolgono dati e li rivendono. Sto parlando di quei siti Web "trova qualsiasi cosa su chiunque".

A anche molti dati sono imprecisi.

Dato che molte di queste aziende sono americane e ho vissuto metà della mia vita negli Stati Uniti / metà nell'UE e ora sono residente nell'UE, mi chiedevo:

  • Il GDPR si applica a loro?
  • Il GDPR si applica ai dati che affermano essere "pubblici", ma vedo che questo non è proprio vero?
  • Qual è la responsabilità dei motori di ricerca, come Google, nell'indicizzazione e nella promozione di tali contenuti. Poiché sembra che abbiano un approccio "contatta il webmaster", è possibile rimuovere il contenuto (almeno quello impreciso) dal loro indice?
"dati che affermano essere" pubblici ", ma vedo che questo non è proprio vero": che tipo di dati hai in mente? Molte informazioni che le persone pensano siano private sono in realtà pubbliche. Ad esempio, i registri di proprietà della casa sono pubblici almeno in alcuni degli Stati Uniti e possono includere l'ammontare del mutuo, se presente. I fascicoli del tribunale possono essere pubblici, inclusi i nomi degli imputati.
Un esempio è un numero di telefono non in elenco, quindi doveva essere acquistato da qualche parte, allo stesso modo viene elencato un indirizzo mentre non era mai a mio nome ma affittato da un'azienda e il mio nome non era mai sul contratto. Ma anche qualche informazione sbagliata. Ho un nome piuttosto unico, ma alcuni siti hanno l'età sbagliata, legami familiari sbagliati, ecc. Nel complesso 2/3 è accurato e 1/3 non lo è davvero.
@Thomas L'azienda dovrebbe fornire le informazioni per i propri requisiti di trasparenza di base: "da quale fonte provengono i dati personali e, se applicabile, se provengono da fonti pubblicamente accessibili" (art. 14 (2) (f)). Inoltre, per le richieste di accesso ai sensi dell'articolo 15, paragrafo 1, lettera g): "se i dati non sono raccolti dall'interessato, qualsiasi informazione disponibile sulla loro fonte". È discutibile se le fonti debbano essere identificabili o se le classi di fonti siano sufficienti qui.
@amon, che è molto buono da sapere; Grazie!
Una risposta:
amon
2019-04-22 17:14:49 UTC
view on stackexchange narkive permalink

Il GDPR si applica a tali siti se offrono servizi nell'UE / SEE. Se volevano chiaramente evitare di essere soggetti al GDPR, dovrebbero bloccare i visitatori del SEE. Per il GDPR, conta solo la posizione. Altre preoccupazioni come la residenza o la cittadinanza sono generalmente irrilevanti.

I dati personali non diventano non personali solo perché erano pubblici. Quindi il GDPR si applica ancora quando i dati sono stati raccolti da fonti pubbliche. Tuttavia, il responsabile del trattamento dei dati (che determina lo scopo del trattamento) spesso deve bilanciare i tuoi diritti e interessi con altri interessi (ad esempio, quando utilizza interesse legittimo come base giuridica per alcuni trattamenti). Allo scopo di visualizzare pubblicamente i tuoi dati, mostrare solo i dati che erano già pubblici comunque rende più facile sostenere che questo va bene.

Ma quando si applica il GDPR, hai i diritti dell'interessato. I diritti rilevanti includono:

  • un diritto di accesso, di vedere tutti i dati che hanno su di te
  • un diritto di rettifica, di correggere i dati sbagliati che detengono su di te
  • un diritto alla restrizione, effettivamente un opt-out
  • un diritto alla cancellazione (noto anche come diritto all'oblio)

Questi diritti si applicano sia contro il sito web che contro la Ricerca Google (presumibilmente, entrambi stanno facendo la stessa identica cosa). Google indica correttamente che non possono rimuovere le informazioni dal Web, ma possono nascondere le informazioni dai risultati di ricerca.

Se ritieni che le tue richieste non siano state risolte correttamente, puoi presentare un reclamo al tuo autorità per la protezione dei dati del paese. In teoria puoi anche citarli in giudizio. In pratica, l'applicazione del GDPR contro i responsabili del trattamento dei dati all'estero può essere piuttosto difficile e non è ancora avvenuta.

"Per il GDPR, solo la posizione è importante. Altre preoccupazioni come la residenza o la cittadinanza sono generalmente irrilevanti". Ricordo di aver letto diversamente. Puoi sostenere questa affermazione con le fonti?
@Ave questo è un malinteso molto comune sul GDPR. Ma l'UE non può emanare leggi extraterritoriali, quindi [Art 3 "Territorial Scope"] (https://gdpr-info.eu/art-3-gdpr/) limita l'applicabilità ai casi in cui il responsabile del trattamento dei dati si trova nell'UE, o laddove il titolare del trattamento offra servizi nell'UE o laddove il titolare del trattamento osservi il comportamento degli interessati che si trovano attualmente nell'UE. Ma ad es. un cittadino dell'UE in visita negli Stati Uniti * non * è protetto dal GDPR.
"Un cittadino dell'UE che visita gli Stati Uniti" è plausibilmente "nell'UE" ai fini della protezione del GDPR se mantiene una residenza lì. La protezione sicuramente non svanisce per una settimana o un mese per i residenti dell'UE quando lasciano l'UE per viaggi di breve durata altrove. Un cittadino dell'UE * che risiede * negli Stati Uniti ha meno probabilità di essere "nell'UE" ai sensi del GDPR, ovviamente, e uno che non è mai stato in alcun territorio dell'UE, ancor meno probabile ancora.
@phoog Queste apparenti contraddizioni scompaiono quando si guardano le relazioni individuali soggetto-controllore separatamente. Per esempio. se visito gli Stati Uniti e faccio il check-in in un hotel, quell'hotel non è vincolato dal GDPR. Ma mentre ero nell'UE ho aperto un account Facebook e ora voglio chiuderlo. Sebbene usassi FB, la relazione tra me e FB era chiaramente soggetta al GDPR. Ma posso esercitare i miei diritti di persona interessata mentre sono fisicamente negli Stati Uniti? Direi di sì, ho i diritti GDPR per i dati raccolti / elaborati ai sensi del GDPR. Ma non posso occuparmi della nuova raccolta di dati mentre non sono nell'UE
Facebook forse non è un ottimo esempio, dal momento che ha uffici nell'UE, ma il punto è comunque ben preso. Ma la questione dei diritti del GDPR per gli interessati in relazione ai titolari del trattamento che altrimenti non sarebbero coperti è probabilmente comunque abbastanza accademica, indipendentemente da dove si trova l'argomento al momento della raccolta dei dati, perché, come noti, è improbabile che ci sia un modo per far rispettare il GDPR contro un'azienda che non ha alcuna presenza nell'UE.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...