European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Cos'è un'informativa sulla privacy?

In caso di raccolta diretta di dati personali presso le persone interessate, le imprese/organizzazioni devono fornire informazioni sulle operazioni di trattamento in modo conciso e trasparente, utilizzando un linguaggio comprensibile, facilmente accessibile, chiaro e semplice. Ciò può essere fatto per iscritto (ad esempio sul retro di un'offerta) o per via elettronica (ad esempio su un sito web). Se la persona interessata lo richiede, si può fornire queste informazioni anche a voce, ma si deve poter essere in grado di dimostrarlo in seguito.

Anche quando i dati sono stati raccolti indirettamente, vale a dire se non si raccolgono direttamente i dati personali da un individuo, ma ad esempio tramite una terza parte, è necessario fornire le stesse informazioni dettagliate alle persone fisiche.

Come posso rispondere a una richiesta di cancellazione?

Le persone fisiche hanno il diritto di richiedere la cancellazione dei dati personali che li riguardano e, in tal caso, il titolare del trattamento ha l'obbligo di cancellare i dati personali. È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e se è necessario più tempo per adempiere alla richiesta, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta.
È importante notare che il diritto alla cancellazione non è assoluto. Non si applica quando i dati in questione sono necessari per:

  • esercitare il diritto alla libertà di espressione e di informazione (ad esempio a fini giornalistici);
  • l'adempimento di un obbligo legale che richiede il trattamento di dati personali (ad esempio, l'elaborazione di registrazioni sull'orario di lavoro dei dipendenti);
  • motivi di interesse pubblico nel settore della sanità pubblica;
  • finalità di archiviazione nell'interesse pubblico o a fini di ricerca scientifica o storica o a fini statistici; e
  • l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Quando i dati personali, che devono essere cancellati, sono stati precedentemente trasferiti ad altri enti, è necessario informare questi destinatari che l'individuo ha richiesto la cancellazione, a meno che ciò non si riveli impossibile o richiederebbe sforzi sproporzionati.
 

Per maggiori informazioni:

Can a Data Protection Authority (DPA) challenge an Art. 65 GDPR decision by the EDPB?

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Posso registrare conversazioni telefoniche con i clienti al fine di migliorare la qualità del servizio o ho bisogno del consenso per questo?

Sì, i clienti devono essere informati, quando effettuano una telefonata, degli scopi della registrazione, dei destinatari delle registrazioni, del loro diritto di opposizione e del loro diritto di accesso alle registrazioni.

Per maggiori informazioni:

I wish to lodge a complaint with a data protection authority (DPA), which authority should I contact?

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

  • your habitual residence;
  • your place of work; or
  • the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

Related questions
Who is data controller and who is data processor?

Can I lodge a complaint with the EDPB?

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

In which cases is the dispute resolution mechanism of Art. 65.1 (c) GDPR triggered?

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

How does cross-border cooperation work under the GDPR?

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

  • data processing takes place in more than one country;
  • or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

What is the EDPS?

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Cosa significa trattamento dei dati personali?

Per trattamento di dati personali si intende qualsiasi tipo di attività (operazione di trattamento) svolta sui dati o con i dati personali delle persone fisiche. Ciò include la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'indagine, l'uso, la divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di dati personali.

È possibile trattare i dati particolari (dati sensibili)?

No, il trattamento dei dati particolari (dati sensibili) è generalmente vietato, salvo in circostanze molto specifiche:

  • L'interessato ha dato il suo esplicito consenso al trattamento dei suoi dati particolari.
  • Il trattamento dei dati particolari è necessario affinché il titolare del trattamento adempia ai propri obblighi, in particolare nell'ambito dell'impiego e della previdenza sociale. Ad esempio, il titolare del trattamento potrebbe dover trattare i dati particolari di una persona per poter determinare se ha diritto a determinati benefits di previdenza sociale o di stipendio.
  • Il trattamento dei dati particolari è necessario per tutelare gli interessi vitali di un individuo nel caso in cui la persona non sia in grado fisicamente o legalmente di dare il proprio consenso. Ad esempio, se una persona rimane incosciente a seguito di un incidente e richiede cure mediche immediate, i suoi dati sanitari potrebbero aver bisogno di essere trattati per l'erogazione delle cure mediche appropriate.
  • Il trattamento dei dati particolari è effettuato nell'ambito delle legittime attività di una fondazione, associazione o altra organizzazione senza scopo di lucro con finalità politica, filosofica, religiosa o sindacale, e solo per il trattamento dei dati personali dei loro membri, ex membri o persone che hanno contatti regolari con essi.
  • I dati particolari sono stati manifestamente resi pubblici dall'individuo stesso.
  • Il trattamento dei dati particolari è necessario nell'ambito di procedimenti giudiziari.
  • Il trattamento dei dati particolari è necessario per questioni sostanziali di interesse pubblico.
  • Il trattamento dei dati particolari è necessario nel contesto della medicina preventiva o del lavoro. Ad esempio, la valutazione dei dati particolari di un individuo, come i suoi dati medici, può essere necessaria per determinare la sua capacità lavorativa come dipendente.
  • Il trattamento dei dati particolari è necessario per questioni di sanità pubblica sulla base del diritto dell'UE o nazionale. Ad esempio, il trattamento dei dati particolari delle persone può essere necessario per garantire un'alta qualità dell’assistenza sanitaria e un'alta qualità dei prodotti medici, o per combattere gravi minacce per la salute, come i virus.
  • Il trattamento dei dati particolari è necessario per questioni di conservazione nel pubblico interesse o per scopi di ricerca scientifica o storica, o a fini statistici. Ad esempio, il trattamento di dati particolari può essere necessario per fornire statistiche accurate sulla situazione di un paese in un determinato settore. 

Per maggiori informazioni:

Cosa posso fare nel caso in cui il responsabile del trattamento non desideri firmare un contratto con il titolare del trattamento?

Un contratto valido tra il titolare del trattamento e il responsabile del trattamento è obbligatorio ai sensi del GDPR. Un'infrazione può essere oggetto di una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2 % del fatturato annuo totale di una società, se superiore.

Per aiutarvi a stabilire un accordo tra titolare e responsabile del trattamento dei dati, le Autorità di protezione dei dati danesi e slovene, nonché la Commissione europea, hanno elaborato modelli di accordi.

Per maggiori informazioni:

Cosa devo fare quando qualcuno mi chiede come tratto i suoi dati?

Le persone fisiche possono chiederti se stai trattando i loro dati e, nel caso, hanno il diritto di accedere a tali dati. Quindi, quando ciò accade e se tratti i loro dati, dovresti, ad esempio, fornire una copia dei loro dati personali, gratuitamente, insieme a tutte le informazioni aggiuntive necessarie. Se una richiesta è effettuata elettronicamente, l'impresa/organizzazione deve fornire le informazioni richieste in un formato elettronico di uso comune, salvo diversa richiesta individuale.

Per maggiori informazioni:

In quanto tempo devo rispondere a una richiesta di accesso?

È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e è necessario più tempo per rispondere, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta. 
Devi farlo gratuitamente.
 

Per maggiori informazioni:

Chiede all'EDPB di fornire orientamenti su un argomento specifico?

Prendiamo atto del Suo suggerimento all'EDPB di prendere in considerazione la questione per orientamenti futuri. È possibile consultare gli argomenti attualmente inclusi nel programma di lavoro dell'EDPB sul nostro sito web: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_it.

I have received a communication from someone claiming to be working for the EDPB informing me that I am not in compliance with the GDPR, is this something the EDPB does?

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Vai al modulo di contatto

The EDPB has adopted its binding decision: when is it notified to the relevant national Data Protection Authorities (DPAs), in which language and what happens next?

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision1. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

  1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

The dispute resolution mechanism of Art. 65 GDPR has been triggered - what happens next?

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

Ho bisogno del consenso per poter utilizzare i cookie sul sito web della mia impresa?

Il GDPR si applica all'uso dei cookie quando questi vengono utilizzati per il trattamento dei dati personali, ma ci sono anche regole più specifiche per i cookie, inclusa la direttiva ePrivacy.

La memorizzazione di un cookie, o l'ottenimento dell'accesso a un cookie già memorizzato, nell'apparecchio di un utente è consentita solo a condizione che l'abbonato o l'utente interessato sia stato adeguatamente informato (in particolare sulle finalità del trattamento) e abbia dato il suo consenso.
L'unica eccezione sono i cookie tecnici necessari. Le imprese/organizzazioni non hanno bisogno di chiedere il consenso quando utilizzano i cookie tecnici necessari sui loro siti web.

Per maggiori informazioni:

Qual è la differenza tra dati pseudonimizzati e dati anonimizzati?

La pseudonimizzazione consiste nel trasformare i dati personali in modo che non possano più essere attribuiti a un individuo specifico senza l'uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative atte a garantire che i dati personali non siano attribuibili all'individuo. In pratica, può significare sostituire i dati personali (cognome, nome, codice fiscale, numero di telefono, ecc.) in un insieme di dati con identificativi indiretti (alias, numero sequenziale, ecc.). I dati pseudonimizzati sono ancora dati personali ed sono soggetti al GDPR.

I dati anonimizzati sono dati resi anonimi in modo tale che l'individuo non sia o non sia più identificabile con alcun mezzo che sia ragionevolmente probabile che venga utilizzato. Quando l'anonimizzazione è attuata correttamente, il GDPR non si applica più ai dati anonimizzati.

Per maggiori informazioni: