Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

La nomina di un responsabile della protezione dei dati è obbligatoria nei seguenti tre casi:

• l'ente è un'autorità pubblica;
• le attività principali dell'ente consistono nel monitoraggio regolare e sistematico delle persone su larga scala, ad esempio la geolocalizzazione tramite un'applicazione mobile, o nella sorveglianza dei centri commerciali e degli spazi pubblici attraverso le telecamere;
• le attività principali dell'ente consistono nel trattamento su vasta scala di dati particolari o di dati personali relativi a condanne penali e reati.

È sempre possibile nominare un RPD su base volontaria, anche se ciò non è richiesto dalla legge. Si prega di notare che in tal caso, è necessario rispettare tutte le disposizioni del GDPR relative ai compiti e alla posizione del responsabile della protezione dei dati.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

No, non è necessario rendere pubblico il tuo registro del trattamento. Tuttavia, su richiesta, è necessario essere in grado di mettere il registro a disposizione dell'Autorità per la protezione dei dati.

Per maggiori informazioni:

• Essere conformi

Chiede all'EDPB di indagare e intraprendere azioni nei confronti di un'organizzazione che ritiene stia violando la legislazione dell'UE, anche attraverso tecnologie specifiche, come l'IA, i social media o i servizi di messaggistica?

Nel contesto delle norme sulla protezione dei dati, è possibile presentare un reclamo all'autorità per la protezione dei dati (DPA) (si prega di trovarne un elenco sul nostro sito web: https://edpb.europa.eu/about-edpb/our-members). L'applicazione delle norme in materia di protezione dei dati è di competenza delle autorità di protezione dei dati. È possibile contattare l'autorità per la protezione dei dati in cui si vive o si lavora, o dove si è verificata la presunta violazione, ad esempio.

Un'altra alternativa è quella di rivolgersi ai tribunali nazionali in cui vivi o in cui è stabilito il titolare del trattamento o l'incaricato del trattamento. 

Se il GDPR si applica nella tua situazione ma non hai sede in Europa, puoi comunque presentare un reclamo a un'autorità di protezione dei dati in Europa e / o andare in tribunale.

L'EDPB non è competente a gestire richieste o reclami individuali specifici, né a fornire servizi di consulenza individuali. L'EDPB non è un organismo sovranazionale che può esaminare le denunce.

Infine, se desideri presentare un reclamo in merito all'utilizzo dei tuoi dati personali da parte di un'istituzione, un'agenzia o un organismo dell'UE, puoi presentare un reclamo al Garante europeo della protezione dei dati (cfr. i recapiti sul nostro sito web: https://edpb.europa.eu/about-edpb/our-members).

Si prega di notare che non trasmettiamo il Suo messaggio alle autorità nazionali di protezione dei dati o al GEPD. Pertanto, è necessario contattarli direttamente.

Affinché il consenso sia considerato valido, esso deve essere:

• dato liberamente;
• specifico;
• informato; e
• inequivocabile.

Ciò significa che le persone devono avere una reale libertà di scelta in merito all'accettazione o meno del trattamento dei propri dati personali; hanno bisogno di informazioni sufficienti per capire quali dati sono trattati, per quale scopo e come viene fatto; hanno anche bisogno di una sufficiente granularità nelle richieste di consenso.

Inoltre, ci dovrebbe essere una chiara azione affermativa da parte dell'individuo (senza caselle già preselezionate e fatta separatamente dalle condizioni generali applicabili).

Inoltre, gli individui devono essere in grado di revocare liberamente il loro consenso (senza conseguenze negative) se cambiano idea in seguito.
 

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

Se la tua impresa/organizzazione sta raccogliendo i dati personali direttamente dalle persone fisiche, deve fornire le informazioni necessarie al momento della raccolta.

In caso di raccolta indiretta di dati personali, l'impresa/organizzazione deve fornire le informazioni al più tardi entro un mese dalla data in cui i dati personali sono stati inizialmente ottenuti. Questo periodo massimo di un mese può essere ridotto:

• se i dati personali vengono utilizzati ai fini della comunicazione con l'interessato. In tal caso si deve informare l'interessato al più tardi al momento della prima comunicazione;
• se i dati vengono trasmessi a un altro destinatario, l'impresa/organizzazione ne informa gli interessati al più tardi al momento del trasferimento dei dati personali. 

Per maggiori informazioni:

• Rispettare i diritti dei singoli

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario. 

Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.

Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Il compito del responsabile della protezione dei dati comprende, tra l'altro:

• informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
• monitorare la conformità alla protezione dei dati;
• fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
• fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
• fungere da punto di contatto per le persone.

Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

Il GDPR impone obblighi a tutte gli enti che trattano dati personali, indipendentemente dal fatto che siano titolari del trattamento o responsabili del trattamento dei dati.
In particolare, si deve:

• Chiedersi se lo scopo per il quale i dati personali possono essere raccolti è giustificato e raccogliere solo i dati personali necessari per le finalità specifiche previste;
• tenere i dati personali delle persone fisiche accurati e aggiornati e cancellarli quando non sono più necessari;
• rispettare i diritti delle persone informandole su come e perché i loro dati sono trattati e consentendo loro di esercitare i loro diritti;
• verificare se si dispone di una base giuridica adeguata per il trattamento dei dati personali. Nel caso in cui si intenda fare affidamento sul consenso delle persone fisiche, chiedere il loro consenso prima del trattamento dei loro dati personali;
• assicurarsi che i dati personali delle persone siano trattati in modo sicuro;
• mantenere un registro delle operazioni di trattamento.

I responsabili del trattamento dovranno attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento e non dovranno trattare i dati se non secondo le istruzioni del titolare del trattamento.

Per maggiori informazioni:

• Essere conformi
• Titolare del trattamento o responsabile del trattamento
• Principi di base per la protezione dei dati
   

• Qualsiasi trattamento di dati personali deve essere lecito, corretto e trasparente.
• Raccogliere dati personali solo per finalità determinate, esplicite e legittime. Il trattamento dei dati di una persona deve essere strettamente limitato alle finalità inizialmente stabilite e quindi non per scopi successivi o per altre finalità incompatibili con le finalità iniziali.
• Trattare solo i dati personali necessari e proporzionati allo scopo previsto.
• Tutti i dati personali trattati devono essere esatti e aggiornati. I dati personali inesatti devono essere rettificati o cancellati.
• La conservazione dei dati personali delle persone fisiche deve essere limitata nel tempo, alla luce dello scopo per il quale tali dati sono stati raccolti e trattati. Pertanto, i dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che tali dati non si rendano più necessari.
• Il trattamento dei dati delle persone fisiche deve essere effettuato in modo sicuro. In tal senso, è necessario istituire solidi controlli di cyber sicurezza per garantire che i dati delle persone siano adeguatamente protetti.

Infine, il titolare è tenuto a rendere conto. Ciò significa che è responsabile e deve essere in grado di dimostrare il rispetto dei principi di cui sopra.

Per maggiori informazioni:

• Protezione base dei dati

Non è possibile conservare i dati personali per sempre.
Di norma, i dati personali possono essere conservati solo per il tempo necessario alle finalità per le quali sono trattati.

In alcuni casi, il periodo di conservazione può essere determinato da leggi specifiche, ad esempio, le norme sul lavoro stabiliscono il periodo di conservazione per gli elenchi delle buste paga.

Le imprese/organizzazioni dovrebbero mettere in atto politiche di conservazione dei dati per assicurarsi che i dati personali non siano conservati più a lungo del necessario. I dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che questi dati non sono più necessari per lo scopo per il quale sono stati trattati. 

Per maggiori informazioni:

• Principi di base per la protezione dei dati

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

L'EDPB non ha la competenza di esercitare il controllo sulle attività delle autorità di protezione dei dati su richiesta delle persone fisiche.

Si noti che la competenza a emanare orientamenti generali non può essere intesa come un meccanismo che consente all'EDPB di esercitare un controllo sul modo in cui le autorità di protezione dei dati gestiscono il singolo caso. 

Se ritieni che il GDPR sia stato violato e non sei soddisfatto della risposta dell'autorità di protezione dei dati, la soluzione rimanente spetta a te avviare un procedimento giudiziario.

In generale, ogni organizzazione dovrebbe tenere un registro delle proprie attività di trattamento. Questo è un inventario di tutte le operazioni di trattamento e può aiutarti a formulare ipotesi corrette sulle tue responsabilità ai sensi del GDPR e sui possibili rischi.
Ciascuna di queste operazioni di trattamento deve essere descritta nel registro con le seguenti informazioni:

• lo scopo del trattamento (ad es. fidelizzazione del cliente);
• le categorie dei dati trattati (ad esempio, per le buste paga: cognome, nome, data di nascita, stipendio, ecc.);
• chi ha accesso ai dati (i destinatari — ad esempio: il dipartimento incaricato del reclutamento, il servizio informatico, il management, il  gestore dei fornitori di servizi, i soci...);
• se applicabile, le informazioni relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE);
• ove possibile, il periodo di conservazione dei dati (il periodo per il quale i dati sono utili dal punto di vista operativo e della necessità di archiviazione);
• ove possibile, una descrizione generale delle misure di sicurezza.

La registrazione delle attività di trattamento rientra sotto la responsabilità del responsabile dell'organizzazione.
Tale registrazione deve essere a disposizione dell'Autorità per la protezione dei dati del paese SEE in cui opera, se richiesto.

Non è necessario per le imprese/organizzazioni che impiegano meno di 250 persone menzionare attività puramente occasionali nei loro registri (ad esempio, i dati elaborati per eventi una tantum come l'apertura di un negozio).

Per maggiori informazioni:

• Essere conformi

Gli RPD possono svolgere altri compiti all'interno dell'impresa/organizzazione, ma ciò non può comportare un conflitto di interessi. Ciò implica che il RPD non può avere una posizione in cui determina le finalità e i mezzi delle attività di trattamento. Le funzioni conflittuali comprendono principalmente le posizioni apicali (Amministratore Delegato, Direttore Generale, Direttore finanziario, Direttore Risorse Umane, Direttore IT, Consigliere delegato) ma possono anche coinvolgere altre funzioni se portano alla determinazione delle finalità e dei mezzi del trattamento.
L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:

• non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle sue funzioni;
• non può penalizzare o licenziare il Responsabile della protezione dei dati a causa dello svolgimento dei propri compiti.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati