Gerard Buckley, University College London, Reino Unido ([email protected]); Tristan Caulfield, University College London, Reino Unido ([email protected]); Ingolf Becker, University College London, Reino Unido ([email protected]).

(1) Gerard Buckley, University College London, Reino Unido ([email protected]);

(2) Tristan Caulfield, University College London, Reino Unido ([email protected]);

(3) Ingolf Becker, University College London, Reino Unido ([email protected]).

O Regulamento Xeral de Protección de Datos (RGPD) segue sendo o estándar de ouro na regulación de privacidade e seguridade. Investigamos como os custos e esforzos necesarios para implementar o RGPD son vistos polos traballadores que tamén experimentaron os beneficios da regulación como cidadáns: vale a pena? Nun estudo de varias etapas, investigamos a N = 273 & 102 persoas que permaneceron traballando nas mesmas empresas antes, durante e despois da implementación do RGPD. A enquisa descubriu que os participantes recoñecen os seus dereitos cando son solicitados, pero saben pouco sobre o seu regulador. Observaron cambios concretos nas prácticas de datos nos seus lugares de traballo e aprecian os compromisos. Están convencidos de que os seus datos persoais son tratados tan coidadosamente como os datos dos seus empregadores. As persoas que cumpren

1 Introdución

As persoas que estiveron empregadas antes de maio de 2018 e que aínda están empregadas pola mesma organización terán experimentado o impacto do GDPR no seu lugar de traballo de primeira man.





O RGPD foi estudado desde varios puntos de vista, desde os retos de implementación que enfrontan os negocios [10, 37] ata os problemas de aplicación que enfrontan as Autoridades de Protección de Datos (DPA) [11, 24, 33, 43] ata as realidades operativas que enfrontan os consumidores [36]. A Comisión Europea (CE) e as empresas de servizos profesionais investigaron a conciencia dos consumidores dos seus dereitos e a conciencia das empresas das súas obrigas. Na academia, houbo estudos de reacción [45] e estudos de conciencia comparativa en toda Europa [42]. A diferenza dos estudos de percepción anteriores que se centraron unicamente en consumidores ou profesionais de datos, esta é a primeira investigación empírica sobre como estes individuos informados perciben o custo-beneficio dos seus dereitos como consumidores equilibrados contra as presións que ven sobre o seu





Para exercer os seus dereitos, os consumidores necesitan ser conscientes, en certa medida, da identidade, o papel e os poderes do regulador.A CE [7, 21, 30, 41] e algúns DPA realizaron enquisas de concienciación e confianza dos consumidores, pero atopamos pouca evidencia de campañas sistemáticas de publicidade aberta.





A maior parte da cobertura centrada no negocio do GDPR nos medios de comunicación concéntrase nas violacións de datos e as multas dos reguladores [11, 49, 53]. Destaca os efectos dissuasivos das sancións do GDPR a expensas de calquera incentivo para cambiar ou reverter o negocio. Se o punto de regulación da privacidade é o cambio de comportamento [13, 46], é difícil medilo. Os datos dispoñibles, como o número de multas, proporcionan unha imaxe moi imperfecta e incompleta do cumprimento dentro das empresas. En lugar diso, probamos que cambios impulsados polo GDPR foron observados polos nosos respondentes dentro da súa organización e se cren que estes cambios foron netamente positivos.





Ao final da enquisa, despois de que os nosos entrevistados considerasen o GDPR desde varios ángulos, preguntamos se senten que o GDPR valeu a pena. A súa resposta é importante porque corta ao corazón da privacidade na era dixital. Sen protección de datos, os cidadáns poderían estar expostos a máis perfís, monitorización e influencia masiva por parte dos anunciantes dixitais e / ou o estado. Descubrimos que o cidadán informado-consumidor compra no GDPR, con todos os seus positivos e negativos. Isto ten importantes implicacións para os responsables políticos e reguladores que poden querer aprender a emular este apoio público e construír sobre el para futuras implementacións regulatorias.

2 Condicións para o GDPR

Esta sección non ten como obxectivo dar unha descrición detallada do GDPR. En vez diso, centrámonos nos grandes temas e proporcionamos resumos de disposicións que son relevantes para a nosa área de interese. Para unha introdución máis fundamental, consulte Voigt & Bussche 2017 ou Hoofnagle et al. 2019. Teña en conta que a pesar do Brexit, o GDPR do Reino Unido é esencialmente equivalente ao GDPR da UE [20].





Europa recoñece desde hai tempo a privacidade como un dereito fundamental ou humano.O artigo 8 da Convención Europea de Dereitos Humanos establece un dereito ao respecto da súa «vida privada e familiar, a súa casa e a súa correspondencia», suxeito a certas restricións que son «conforme á lei» e «necesarias nunha sociedade democrática» [18].





Mentres a lei dos Estados Unidos pode referirse amplamente a "privacidade" ou a "privacidade da información", a lei da UE discute a privacidade da información como "protección de datos".En Europa, a protección de datos e o dereito á privacidade comezan a ser vistos como separados.





Segundo o RGPD, as empresas que utilizan datos persoais deben seguir regras estritas chamadas "principios de protección de datos".Deben asegurarse de que a información sexa: utilizada de forma xusta, legal e transparente; utilizada para fins especificados e explícitos; utilizada de forma adecuada, relevante e limitada ao necesario; precisa e, cando sexa necesario, mantida actualizada; mantida non máis tempo do necesario; mantida de forma que asegure a seguridade adecuada, incluída a protección contra o tratamento ilegal ou non autorizado, acceso, perda, destrución ou dano; Hai unha protección legal máis forte para información máis sensible, como a raza, a relixión, etc.





Estes inclúen o dereito a: ser informado sobre como se utilizan os seus datos; acceder aos datos persoais; ter datos incorrectos actualizados; ter datos borrados; deter ou restrinxir o tratamento dos seus datos; portabilidade de datos (permitindo aos individuos obter e reutilizar os seus datos para diferentes servizos); opoñerse a como se procesan os seus datos en determinadas circunstancias; Os individuos tamén teñen dereitos cando unha organización está a utilizar os seus datos persoais para: procesos de toma de decisións automatizados (sen participación humana); perfilado, por exemplo, para prever o comportamento ou intereses [28].





A dirección destas regras é clara: as empresas terán que asumir máis responsabilidade pola información que manexan e manteñen, e os individuos poderán obter máis control sobre os seus propios datos.





