• Adottate Linee guida 3/2021 sull'applicazione dell'articolo 65, paragrafo 1, lettera a), GDPR

    24 May 2023
    Publication Type:

  • Parere 4/2024 sulla nozione di stabilimento principale di un titolare del trattamento nell'Unione ai sensi dell'articolo 4, punto 16), lettera a), GDPR

    13 February 2024
    Publication Type:

    • La conformità con il GDPR è monitorata dalle Autorità nazionali per la protezione dei dati. Le Autorità per la protezione dei dati possono condurre indagini e imporre sanzioni ove necessario. Le Autorità per la protezione dei dati dispongono di una serie di strumenti, tra cui sanzioni pecuniarie fino a 20 milioni di euro o il 4 % del fatturato annuo mondiale, se superiori, richiami e divieti di trattamento temporanei o permanenti.
    Puoi trovare i recapiti di tutte le Autorità per la protezione dei dati SEE sul sito web dell'EDPB: Membri

     

    Per maggiori informazioni:

     

    Hai trovato la tua risposta?

    L'EDPB pubblica regolarmente comunicati stampa, notizie, blog e altri contenuti sul sito web EDPB e sui suoi canali social (Twitter: @EU_EDPB; LinkedIn: Comitato europeo per la protezione dei dati) per tenere aggiornati sulle sue attività la community protezione dati e il pubblico in generale. Il sito web dell'EDPB dispone anche di due feed RSS, ai quali è possibile abbonarsi per aggiornamenti automatici di notizie sull’EDPB e delle ultime pubblicazioni dell'EDPB.

    Hai trovato la tua risposta?

    Il GDPR distingue tra due ruoli principali: quelli del titolare del trattamento e del responsabile del trattamento. Questa distinzione è fondamentale in quanto il titolare del trattamento ha più responsabilità e deve adempiere a più obblighi rispetto al responsabile del trattamento.
    I titolari del trattamento e i responsabili del trattamento possono essere persone fisiche o giuridiche, ad esempio: una PMI, un'autorità pubblica, un'impresa, un'organizzazione, un ente statale, un'associazione, ecc.
    Un titolare del trattamento determina le finalità e i mezzi di un'operazione di trattamento dati. In altre parole, il titolare del trattamento decide come e perché di un'operazione di trattamento. Mentre i responsabili del trattamento trattano i dati personali per conto del titolare del trattamento. Il trattamento effettuato dai responsabili del trattamento deve essere regolato da un contratto con il titolare del trattamento o da un altro atto giuridico.

    Esempi di titolari del trattamento:

    • aziende che trattano i dati personali dei propri clienti per completare una vendita;
    • istituti finanziari che trattano i dati personali dei loro clienti;
    • associazioni che trattano i dati dei propri soci;
    • scuole o università che trattano i dati personali di studenti e docenti;
    • ospedali che trattano i dati personali dei loro pazienti;
    • agenzie governative che trattano i dati personali dei cittadini.

    Esempi di responsabili del trattamento:

    • una PMI assume un servizio di contabilità per conservare i propri libri e registri, la PMI è titolare del trattamento dei dati e il servizio di contabilità è un responsabile del trattamento dei dati;
    • una società di buste paga tratta i dati personali di una PMI. La società di buste paga agirà in qualità di responsabile del trattamento se tratta esclusivamente i dati personali per conto della PMI. La PMI determina le finalità e i mezzi del trattamento dei dati ed è pertanto titolare del trattamento.
    • una PMI commissiona a una società di marketing di raccogliere indirizzi e-mail tramite siti web di terze parti.  La società di marketing lo fa secondo le istruzioni esplicite della PMI e per scopi esclusivi della PMI. La società di marketing funge da responsabile del trattamento per questa raccolta.

    Per maggiori informazioni:

    Hai trovato la tua risposta?

    Il RPD può essere un dipendente con sufficiente conoscenza del GDPR (se i compiti professionali del dipendente sono compatibili con quelli del RPD e questo non porta a conflitti di interesse) o una persona esterna. Il Responsabile della protezione dei dati dovrebbe essere in grado di svolgere i compiti in modo indipendente e dovrebbe essere in grado di riferire direttamente alla direzione più alta.

     

    Per maggiori informazioni:

    Sullo stesso argomento:
    Hai trovato la tua risposta?

    Se la tua impresa/organizzazione sta raccogliendo i dati personali direttamente dalle persone fisiche, deve fornire le informazioni necessarie al momento della raccolta.

    In caso di raccolta indiretta di dati personali, l'impresa/organizzazione deve fornire le informazioni al più tardi entro un mese dalla data in cui i dati personali sono stati inizialmente ottenuti. Questo periodo massimo di un mese può essere ridotto:

    • se i dati personali vengono utilizzati ai fini della comunicazione con l'interessato. In tal caso si deve informare l'interessato al più tardi al momento della prima comunicazione;
    • se i dati vengono trasmessi a un altro destinatario, l'impresa/organizzazione ne informa gli interessati al più tardi al momento del trasferimento dei dati personali. 

     

    Per maggiori informazioni:

     

    Sullo stesso argomento:
    Hai trovato la tua risposta?

    Le persone fisiche possono chiederti se stai trattando i loro dati e, nel caso, hanno il diritto di accedere a tali dati. Quindi, quando ciò accade e se tratti i loro dati, dovresti, ad esempio, fornire una copia dei loro dati personali, gratuitamente, insieme a tutte le informazioni aggiuntive necessarie. Se una richiesta è effettuata elettronicamente, l'impresa/organizzazione deve fornire le informazioni richieste in un formato elettronico di uso comune, salvo diversa richiesta individuale.

     

    Per maggiori informazioni:

     

    Sullo stesso argomento:
    Hai trovato la tua risposta?

    Una violazione di dati personali è una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l’accesso non autorizzati ai dati personali.

    • Se la violazione dei dati rappresenta un rischio per le persone interessate, è necessario segnalarlo all'Autorità competente per la protezione dei dati entro 72 ore.
    • Se la violazione rischia di comportare un rischio elevato per gli individui, sarà inoltre necessario comunicare tale violazione alle persone interessate senza indebito ritardo.

    In ogni caso, per tutte le violazioni — anche quelle che non sono notificate a una Autorità — è necessario registrare almeno i dettagli di base della violazione, la sua valutazione, i suoi effetti e le misure adottate in risposta.

     

    Per maggiori informazioni:

    Hai trovato la tua risposta?
    Subscribe to