European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Cosa devo fare in caso di violazione dei dati?

Una violazione di dati personali è una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l’accesso non autorizzati ai dati personali.

  • Se la violazione dei dati rappresenta un rischio per le persone interessate, è necessario segnalarlo all'Autorità competente per la protezione dei dati entro 72 ore.
  • Se la violazione rischia di comportare un rischio elevato per gli individui, sarà inoltre necessario comunicare tale violazione alle persone interessate senza indebito ritardo.

In ogni caso, per tutte le violazioni — anche quelle che non sono notificate a una Autorità — è necessario registrare almeno i dettagli di base della violazione, la sua valutazione, i suoi effetti e le misure adottate in risposta.

Per maggiori informazioni:

Come posso rispettare i diritti alla protezione dei dati degli individui?

Il GDPR prevede diritti specifici per le persone che devono essere rispettati. Puoi farlo tramite:

  • informare gli individui i cui dati vengono trattati in merito alle operazioni di trattamento e alle finalità del trattamento quando raccogli i loro dati, ad esempio tramite un'informativa sulla privacy sul tuo sito web;
  • rispondendo alle richieste delle persone di esercitare i loro diritti, come la richiesta di accesso, rettifica, opposizione, cancellazione o portabilità.

Le imprese/organizzazioni che sono trasparenti sul loro utilizzo dei dati personali e che rispettano i diritti delle persone hanno meno probabilità di essere oggetto di reclami.

Per maggiori informazioni:

Stai cercando di esercitare i diritti degli interessati (soppressione, rettifica, accesso) ai dati personali detenuti nel sistema d'informazione Schengen (SIS)?

Il comitato di supervisione del coordinamento (CSC), che esiste in seno all'EDPB, coordina il controllo del trattamento dei dati personali nel sistema d'informazione Schengen (SIS). Le normative pertinenti dell'UE sono il regolamento (UE) 2018/1862 (in particolare l'articolo 71) e il regolamento (UE) 2018/1861 (in particolare l'articolo 57).

Per i dati personali inclusi nel SIS, avete diritto di accesso, rettifica e cancellazione. Tali diritti comprendono:

  • il diritto di sapere se le informazioni che vi riguardano sono trattate nel SIS;
  • il diritto di accesso a tali dati;
  • Il diritto alla rettifica di dati inesatti o alla cancellazione relativi a quando tali dati sono stati archiviati illecitamente; e
  • Il diritto di agire presso i tribunali, l'autorità per la protezione dei dati e / o le autorità competenti, a seconda dei casi, per correggere o cancellare i dati che ti riguardano o per ottenere un risarcimento.

Per esercitare i tuoi diritti, contatta la tua autorità nazionale competente, nel paese Schengen di tua scelta. Per maggiori informazioni sulle autorità nazionali competenti e sull'autorità di protezione dei dati in ciascun paese Schengen, consultare la "Guidaper l'esercizio dei diritti degli interessati", disponibile sul nostro sito web. Lì puoi anche trovare lettere modello per assisterti nell'esercizio dei tuoi diritti. 

Si noti che l'EDPB non ha la competenza per gestire singoli reclami o richieste. Inoltre, l'EDPB non ha accesso al contenuto di tali sistemi di informazione e banche dati.

Maggiori informazioni su come esercitare i tuoi diritti sono disponibili sul nostro sito web https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_it.

Come posso tenere il passo con il lavoro dell'EDPB?

L'EDPB pubblica regolarmente comunicati stampa, notizie, blog e altri contenuti sul sito web EDPB e sui suoi canali social (Twitter: @EU_EDPB; LinkedIn: Comitato europeo per la protezione dei dati) per tenere aggiornati sulle sue attività la community protezione dati e il pubblico in generale. Il sito web dell'EDPB dispone anche di due feed RSS, ai quali è possibile abbonarsi per aggiornamenti automatici di notizie sull’EDPB e delle ultime pubblicazioni dell'EDPB.

Cos'è il GDPR?

Il GDPR o Regolamento generale sulla protezione dei dati, stabilisce un insieme armonizzato di norme applicabili a tutti i trattamenti di dati personali da parte di organizzazioni (pubbliche o private, indipendentemente dalle loro dimensioni) situate nello Spazio economico europeo (SEE) o che si rivolgono a persone nell'UE. L'obiettivo principale del GDPR è garantire che i dati personali godano dello stesso elevato standard di protezione ovunque nel SEE, aumentando la certezza del diritto sia per le persone fisiche che per le organizzazioni che trattano i dati, offrendo un elevato grado di protezione alle persone fisiche.

Il regolamento è entrato in vigore il 24 maggio 2016 e si applica dal 25 maggio 2018.
 

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Il GDPR si applica anche ai documenti cartacei?

Sì, il GDPR si applica se i dati personali sono contenuti o sono destinati a essere contenuti in un sistema di archiviazione. Ciò significa che il GDPR si applica anche ai registri cartacei e non solo al trattamento automatizzato dei dati personali.

Per maggiori informazioni:

Che cosa è un titolare congiunto?

Quando vi sono due o più titolari del trattamento che determinano congiuntamente lo scopo e i mezzi del trattamento, sono considerati contitolari del trattamento. Decidono insieme di trattare i dati personali per uno scopo comune. Il controllo congiunto può assumere molte forme e la partecipazione dei diversi titolari del trattamento può essere diseguale. I contitolari del trattamento devono pertanto determinare le rispettive responsabilità per il rispetto del GDPR.

È importante notare che il controllo congiunto comporta la responsabilità congiunta di un'attività di trattamento.

  • Esempio di controllo congiunto: Le aziende A e B hanno lanciato un prodotto co-branded e desiderano organizzare un evento per promuovere questo prodotto. A tal fine, decidono di condividere i dati dei rispettivi database clienti e potenziali clienti e, su questa base, decidono l'elenco degli invitati all'evento.Concordano inoltre sulle modalità di invio degli inviti, su come raccogliere feedback durante l'evento e sulle azioni di marketing di follow-up. Le società A e B possono essere considerate contitolari per il trattamento dei dati personali relativi all'organizzazione dell'evento promozionale in quanto decidono insieme in merito allo scopo definito congiuntamente e ai mezzi essenziali del trattamento dei dati in questo contesto.

Per maggiori informazioni:

Sto organizzando un evento nell'ambito delle mie attività commerciali, posso fare foto e video dell'evento e delle persone che partecipano?

Sì, ma per farlo, dovrai prima determinare la base giuridica per il trattamento di questo tipo di dati personali. Ad esempio, il trattamento potrebbe essere considerato un interesse legittimo per la tua impresa/ organizzazione. Nel trattamento dei dati personali sulla base di un interesse legittimo, è sempre necessario effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi prevalgono sui diritti delle persone, in particolare se sono coinvolti bambini.

Un'altra possibile base giuridica per tale trattamento potrebbe essere il consenso. In ogni caso, gli individui devono essere sempre informati in anticipo se l'evento viene fotografato o filmato.

Per maggiori informazioni:

Se voglio conservare i Curricula vitae dei candidati per le future procedure di assunzione, devo chiedere il consenso dei candidati?

Il consenso potrebbe effettivamente costituire una valida base giuridica per la conservazione dei CV dei candidati. Un'altra possibile base giuridica potrebbe essere l'interesse legittimo. In tal caso, si dovrebbe effettuare un test di bilanciamento degli interessi per dimostrare che gli interessi legittimi della tua impresa/organizzazione superano i diritti dei candidati.

In ogni caso, dovrai informare i candidati che intendi conservare i loro dati e per quali scopi.

Per maggiori informazioni:

Stai scrivendo di un paese terzo riconosciuto come paese che fornisce un livello adeguato di protezione dei dati (decisioni di adeguatezza)?

La Commissione europea può decidere se un paese al di fuori dell'Europa (o un'organizzazione internazionale) offre un livello "adeguato" di protezione dei dati, che facilita i flussi di dati tra l'Europa e questo paese. 

L'EDPB è incaricato di emettere pareri sui progetti di decisioni di adeguatezza, prima della decisione della Commissione europea. I pareri non sono vincolanti per la Commissione europea, ma di solito sono utili per le altre organizzazioni consultate in questo quadro, come gli Stati membri dell'UE.

Inoltre, la Commissione europea è competente a monitorare gli sviluppi nei paesi non europei che potrebbero influire sulle decisioni di adeguatezza. Alcune decisioni di adeguatezza prevedono una regolarità specifica per il riesame della decisione e possono fare riferimento alla possibilità per i rappresentanti dell'EDPB di partecipare al processo di riesame organizzato dalla Commissione europea.

Si prega inoltre di notare che le autorità europee per la protezione dei dati possono proteggere le persone rispetto ai trasferimenti di dati effettuati nel contesto della decisione di adeguatezza (si prega di trovarne un elenco sul nostro sito web: https://edpb.europa.eu/about-edpb/our-members).

Se ritieni che una decisione di adeguatezza esistente non sia in linea con i tuoi diritti fondamentali dell'individuo alla privacy e alla protezione dei dati, puoi presentare un reclamo alla tua autorità di protezione dei dati che può presentare tali obiezioni dinanzi a un giudice nazionale che può essere tenuto a presentare un rinvio pregiudiziale alla Corte di giustizia (cfr. articolo 58, paragrafo 5, GDPR e sentenza della Corte di giustizia europea Schrems (causa C-362/14)).

Per ulteriori informazioni, si prega di consultare: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_it

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Posso trattare i dati personali solo quando ho il consenso dell'individuo?

Il trattamento dei dati personali è consentito se esiste una base giuridica. Oltre al consenso libero, specifico, informato e inequivocabile, possono essere utilizzate altre basi giuridiche per il trattamento.

In altre parole, il consenso è necessario quando non si applica nessuna delle altre basi giuridiche.

Per maggiori informazioni:

Devo essere certificato per diventare un Responsabile della protezione dei dati (RPD)?

No, non è necessario essere certificati per diventare un RPD.

Tuttavia, gli RPD devono essere in grado di dimostrare di possedere le qualifiche necessarie richieste dal GDPR, come la conoscenza approfondita della legge e delle pratiche in materia di protezione dei dati.

Per maggiori informazioni:

Cos'è una valutazione d'impatto sulla protezione dei dati e quando è obbligatoria?

Una valutazione d'impatto sulla protezione dei dati o DPIA è una valutazione scritta che l’impresa/organizzazione dovrebbe fare per valutare l'impatto di un'operazione di elaborazione dati pianificata.Ti aiuta a identificare le misure appropriate per affrontare i rischi e dimostrare la conformità.
Sebbene sia sempre preferibile anticipare l'impatto delle operazioni di trattamento pianificate effettuando la DPIA, è obbligatorio effettuare una DPIA quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone.
Nello specifico, quando il trattamento previsto comporta:

  • il trattamento — su larga scala — di dati personali particolari (sensibili) o di dati relativi a condanne penali;
  • una valutazione sistematica e approfondita degli aspetti personali di un individuo basata sul trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici sulla persona in questione o che incidono in modo analogo e significativo su altre persone;
  • monitoraggio sistematico di un'area accessibile al pubblico su larga scala.

L'EDPB ha elaborato linee guida che elencano i criteri da prendere in considerazione per valutare se una DPIA è obbligatoria o meno. Le Autorità per la protezione dei dati hanno inoltre pubblicato elenchi di trattamenti che sono soggetti a una DPIA. Inoltre diverse Autorità hanno sviluppato guide, software o strumenti di autovalutazione per aiutarti nella tua analisi.

Per maggiori informazioni:

Quali sono le basi giuridiche per il trattamento ai sensi del GDPR?

I titolari del trattamento possono trattare i dati personali solo in una delle seguenti circostanze:

  • con il consenso delle persone interessate;
  • quando il trattamento è necessario per l'esecuzione di un contratto (un contratto tra la tua impresa e una persona fisica);
  • adempiere ad un obbligo di legge ai sensi della legislazione dell'UE o nazionale;
  • quando il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico ai sensi della legislazione dell'UE o nazionale;
  • proteggere gli interessi vitali di un individuo;
  • per gli interessi legittimi della tua impresa/ente, tranne nei casi in cui prevalgano i diritti e le libertà degli individui.

Inoltre, il GDPR stabilisce condizioni aggiuntive per il trattamento dei dati particolari.

Per maggiori informazioni:

Anche i responsabili del trattamento devono rispettare il GDPR?

Sì, i responsabili del trattamento (ossia le persone fisiche o enti che trattano i dati per conto di un titolare del trattamento) hanno obblighi ai sensi del GDPR. Vi sono, tuttavia, alcune differenze tra le responsabilità dei responsabili del trattamento e i titolari del trattamento.

I responsabili del trattamento devono attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento, che dettaglia le operazioni di trattamento e i mezzi per trattare i dati personali. Ad esempio, il responsabile del trattamento dovrà eseguire le operazioni di trattamento con le misure tecniche e organizzative appropriate, come indicato dal titolare. In tal modo, il responsabile del trattamento assiste il titolare del trattamento nel rispetto del GDPR.

Per maggiori informazioni:

Cosa dovrebbe essere incluso in un contratto di titolare-responsabile del trattamento?

Il contratto tra il titolare del trattamento e il responsabile del trattamento deve stabilire che il responsabile del trattamento:

  • tratti i dati personali solo su istruzioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
  • garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
  • garantisca la sicurezza del trattamento;
  • non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento;
  • assista il titolare del trattamento nell’adempimento dei suoi obblighi nei confronti delle richieste delle persone di poter esercitare i loro diritti;
  • assista il titolare del trattamento nella protezione del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione della DPIA;
  • a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare dopo la fine della prestazione dei servizi;
  • metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
  • consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.

Inoltre, il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo parere, le istruzioni violano il GDPR o altre disposizioni dell'UE o nazionali in materia di protezione dei dati.

Per maggiori informazioni:

Posso trasferire dati personali al di fuori dello Spazio economico europeo (SEE)?

Secondo il GDPR, ci sono, in linea di principio, due modi principali per trasferire i dati personali ad un paese non SEE o a un'organizzazione internazionale. I trasferimenti possono avvenire sulla base di una decisione di adeguatezza o, in mancanza di tale decisione, sulla base di garanzie adeguate, compresi i diritti giuridicamente applicabili e i rimedi giudiziari per le persone fisiche.

Per maggiori informazioni:

Il responsabile della protezione dei dati (RPD) è responsabile della conformità al GDPR?

Il RPD non può essere ritenuto responsabile per il mancato rispetto del GDPR. Il rispetto del GDPR è responsabilità dell'impresa/organizzazione che ha nominato il RPD.

Per maggiori informazioni: