Frequently Asked Questions

Il GDPR distingue tra due ruoli principali: quelli del titolare del trattamento e del responsabile del trattamento. Questa distinzione è fondamentale in quanto il titolare del trattamento ha più responsabilità e deve adempiere a più obblighi rispetto al responsabile del trattamento.
I titolari del trattamento e i responsabili del trattamento possono essere persone fisiche o giuridiche, ad esempio: una PMI, un'autorità pubblica, un'impresa, un'organizzazione, un ente statale, un'associazione, ecc.
Un titolare del trattamento determina le finalità e i mezzi di un'operazione di trattamento dati. In altre parole, il titolare del trattamento decide come e perché di un'operazione di trattamento. Mentre i responsabili del trattamento trattano i dati personali per conto del titolare del trattamento. Il trattamento effettuato dai responsabili del trattamento deve essere regolato da un contratto con il titolare del trattamento o da un altro atto giuridico.

Esempi di titolari del trattamento:

• aziende che trattano i dati personali dei propri clienti per completare una vendita;
• istituti finanziari che trattano i dati personali dei loro clienti;
• associazioni che trattano i dati dei propri soci;
• scuole o università che trattano i dati personali di studenti e docenti;
• ospedali che trattano i dati personali dei loro pazienti;
• agenzie governative che trattano i dati personali dei cittadini.

Esempi di responsabili del trattamento:

• una PMI assume un servizio di contabilità per conservare i propri libri e registri, la PMI è titolare del trattamento dei dati e il servizio di contabilità è un responsabile del trattamento dei dati;
• una società di buste paga tratta i dati personali di una PMI. La società di buste paga agirà in qualità di responsabile del trattamento se tratta esclusivamente i dati personali per conto della PMI. La PMI determina le finalità e i mezzi del trattamento dei dati ed è pertanto titolare del trattamento.
• una PMI commissiona a una società di marketing di raccogliere indirizzi e-mail tramite siti web di terze parti.  La società di marketing lo fa secondo le istruzioni esplicite della PMI e per scopi esclusivi della PMI. La società di marketing funge da responsabile del trattamento per questa raccolta.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento

Alcuni tipi di dati personali appartengono a categorie particolari di dati, il che significa che meritano maggiore protezione. Sono i cosiddetti dati particolari (sensibili). I dati sensibili includono dati che rivelano informazioni su:

• la salute di un individuo;
• l'orientamento sessuale di un individuo;
• l'origine razziale o etnica di un individuo;
• le opinioni politiche, le convinzioni religiose o filosofiche di un individuo; l'appartenenza sindacale di un individuo;
• dati biometrici e genetici di un individuo.

Il trattamento dei dati particolari di una persona è generalmente vietato, tranne in circostanze specifiche che ne giustifichino il trattamento.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Il RPD può essere un dipendente con sufficiente conoscenza del GDPR (se i compiti professionali del dipendente sono compatibili con quelli del RPD e questo non porta a conflitti di interesse) o una persona esterna. Il Responsabile della protezione dei dati dovrebbe essere in grado di svolgere i compiti in modo indipendente e dovrebbe essere in grado di riferire direttamente alla direzione più alta.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile. Un individuo identificabile è chiunque possa essere identificato, direttamente o indirettamente. Anche le diverse informazioni che sommate insieme potrebbero portare all'identificazione di una determinata persona costituiscono dati personali.
Esempi di dati personali includono:

• nome e cognome;
• un indirizzo di residenza;
• un indirizzo e-mail;
• un numero di carta d'identità;
• dati relativi all'ubicazione;
• un indirizzo IP (Internet Protocol);
• un ID cookie;
• conti bancari;
• relazioni fiscali;
• dati biometrici (come le impronte digitali);
• un numero di previdenza sociale;
• numero di passaporto;
• risultati di esami/concorsi;
• voti scolastici;
• cronologia di navigazione;
• fotografia individuale;
• numero di immatricolazione del veicolo, ecc.

Per maggiori informazioni:

• Principi di base per la protezione dei dati
   

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Assicurarsi che i dati ricevuti siano stati raccolti legittimamente e che le persone interessate siano state informate del trattamento dei loro dati personali.
2. Nel caso in cui una terza parte tratti dati personali per tuo conto, assicurati di avere un contratto con il responsabile del trattamento che dettagli le attività di trattamento ed i mezzi per trattare i dati personali.

E, naturalmente, rispettare tutti gli obblighi dei titolari del trattamento.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento
   

Le misure di sicurezza necessarie possono differire in base alla natura dei dati personali elaborati e ai rischi associati per le persone fisiche. In ogni caso, ci sono alcune misure minime che dovresti mettere in atto:

• accesso sicuro ai locali;
• utilizzare software antivirus aggiornati regolarmente;
• scegliere con cura le tue password;
• fare autenticare gli utenti prima di utilizzare le strutture informatiche;
• disporre di una politica di backup e recupero dei dati in caso di incidente.

In aggiunta, alcune accortezze base, come bloccare lo schermo mentre si è via e chiudere l'ufficio alla fine della giornata, non sono mai fuori posto...

Per maggiori informazioni:

• Dati personali sicuri
   

Pubblicare i nomi dei vincitori di un concorso sul tuo sito web potrebbe essere considerato un interesse legittimo, se puoi dimostrarlo effettuando un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti delle persone.

Una buona prassi consisterebbe nell'istituire una procedura interna in cui siano spiegate le norme sulla pubblicazione dei dati personali dei vincitori.

Inoltre, il trattamento dei dati personali per tali scopi dovrebbe far parte dell'informativa sulla privacy del concorso, in modo che i partecipanti siano informati in anticipo sulle modalità di trattamento dei loro dati.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

L'EDPB non fornisce consulenza giuridica su misura ai cittadini o alle organizzazioni private/pubbliche su come applicare la normativa in materia di protezione dei dati a casi specifici. 

Il ruolo principale dell'EDPB consiste nell'emettere orientamenti e pareri generali. Tutti gli orientamenti e i pareri adottati sono consultabili al seguente indirizzo: Orientamenti, raccomandazioni, migliori pratiche e pareri. Raccomandiamo inoltre di leggere la guida alla protezione dei dati per le piccole imprese. Questa guida ti aiuterà a comprendere i concetti chiave di protezione dei dati, i diritti delle persone ai sensi del GDPR, i requisiti di conformità, le misure di sicurezza e come gestire le violazioni dei dati.

Ulteriori informazioni sul ruolo dell'EDPB e sull'applicazione del GDPR sono disponibili al seguente indirizzo: Frequently Asked Questions.

Vi invitiamo inoltre a consultare i siti web dell'autorità di protezione dei dati nel vostro paese. I link ai siti web dei nostri membri sono disponibili qui: Nostri membri.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Sì, è possibile, ma il GDPR impone determinati obblighi alle aziende che condividono i dati personali. La tua impresa deve informare le persone che condividerai i loro dati con una terza parte. Devi inoltre informarli dei tuoi scopi, della sicurezza, dell'accesso e delle misure di conservazione che si applicheranno.