Il contratto tra il titolare del trattamento e il responsabile del trattamento deve stabilire che il responsabile del trattamento:

• tratti i dati personali solo su istruzioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
• garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
• garantisca la sicurezza del trattamento;
• non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento;
• assista il titolare del trattamento nell’adempimento dei suoi obblighi nei confronti delle richieste delle persone di poter esercitare i loro diritti;
• assista il titolare del trattamento nella protezione del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione della DPIA;
• a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare dopo la fine della prestazione dei servizi;
• metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
• consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.

Inoltre, il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo parere, le istruzioni violano il GDPR o altre disposizioni dell'UE o nazionali in materia di protezione dei dati.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento

Il GDPR o Regolamento generale sulla protezione dei dati, stabilisce un insieme armonizzato di norme applicabili a tutti i trattamenti di dati personali da parte di organizzazioni (pubbliche o private, indipendentemente dalle loro dimensioni) situate nello Spazio economico europeo (SEE) o che si rivolgono a persone nell'UE. L'obiettivo principale del GDPR è garantire che i dati personali godano dello stesso elevato standard di protezione ovunque nel SEE, aumentando la certezza del diritto sia per le persone fisiche che per le organizzazioni che trattano i dati, offrendo un elevato grado di protezione alle persone fisiche.

Il regolamento è entrato in vigore il 24 maggio 2016 e si applica dal 25 maggio 2018.
 

La pseudonimizzazione consiste nel trasformare i dati personali in modo che non possano più essere attribuiti a un individuo specifico senza l'uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative atte a garantire che i dati personali non siano attribuibili all'individuo. In pratica, può significare sostituire i dati personali (cognome, nome, codice fiscale, numero di telefono, ecc.) in un insieme di dati con identificativi indiretti (alias, numero sequenziale, ecc.). I dati pseudonimizzati sono ancora dati personali ed sono soggetti al GDPR.

I dati anonimizzati sono dati resi anonimi in modo tale che l'individuo non sia o non sia più identificabile con alcun mezzo che sia ragionevolmente probabile che venga utilizzato. Quando l'anonimizzazione è attuata correttamente, il GDPR non si applica più ai dati anonimizzati.

Per maggiori informazioni:

• Dati personali sicuri

Alcuni tipi di dati personali appartengono a categorie particolari di dati, il che significa che meritano maggiore protezione. Sono i cosiddetti dati particolari (sensibili). I dati sensibili includono dati che rivelano informazioni su:

• la salute di un individuo;
• l'orientamento sessuale di un individuo;
• l'origine razziale o etnica di un individuo;
• le opinioni politiche, le convinzioni religiose o filosofiche di un individuo; l'appartenenza sindacale di un individuo;
• dati biometrici e genetici di un individuo.

Il trattamento dei dati particolari di una persona è generalmente vietato, tranne in circostanze specifiche che ne giustifichino il trattamento.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile. Un individuo identificabile è chiunque possa essere identificato, direttamente o indirettamente. Anche le diverse informazioni che sommate insieme potrebbero portare all'identificazione di una determinata persona costituiscono dati personali.
Esempi di dati personali includono:

• nome e cognome;
• un indirizzo di residenza;
• un indirizzo e-mail;
• un numero di carta d'identità;
• dati relativi all'ubicazione;
• un indirizzo IP (Internet Protocol);
• un ID cookie;
• conti bancari;
• relazioni fiscali;
• dati biometrici (come le impronte digitali);
• un numero di previdenza sociale;
• numero di passaporto;
• risultati di esami/concorsi;
• voti scolastici;
• cronologia di navigazione;
• fotografia individuale;
• numero di immatricolazione del veicolo, ecc.

Per maggiori informazioni:

• Principi di base per la protezione dei dati
   

In caso di raccolta diretta di dati personali presso le persone interessate, le imprese/organizzazioni devono fornire informazioni sulle operazioni di trattamento in modo conciso e trasparente, utilizzando un linguaggio comprensibile, facilmente accessibile, chiaro e semplice. Ciò può essere fatto per iscritto (ad esempio sul retro di un'offerta) o per via elettronica (ad esempio su un sito web). Se la persona interessata lo richiede, si può fornire queste informazioni anche a voce, ma si deve poter essere in grado di dimostrarlo in seguito.

Anche quando i dati sono stati raccolti indirettamente, vale a dire se non si raccolgono direttamente i dati personali da un individuo, ma ad esempio tramite una terza parte, è necessario fornire le stesse informazioni dettagliate alle persone fisiche.

Quando vi sono due o più titolari del trattamento che determinano congiuntamente lo scopo e i mezzi del trattamento, sono considerati contitolari del trattamento. Decidono insieme di trattare i dati personali per uno scopo comune. Il controllo congiunto può assumere molte forme e la partecipazione dei diversi titolari del trattamento può essere diseguale. I contitolari del trattamento devono pertanto determinare le rispettive responsabilità per il rispetto del GDPR.

È importante notare che il controllo congiunto comporta la responsabilità congiunta di un'attività di trattamento.

• Esempio di controllo congiunto: Le aziende A e B hanno lanciato un prodotto co-branded e desiderano organizzare un evento per promuovere questo prodotto. A tal fine, decidono di condividere i dati dei rispettivi database clienti e potenziali clienti e, su questa base, decidono l'elenco degli invitati all'evento.Concordano inoltre sulle modalità di invio degli inviti, su come raccogliere feedback durante l'evento e sulle azioni di marketing di follow-up. Le società A e B possono essere considerate contitolari per il trattamento dei dati personali relativi all'organizzazione dell'evento promozionale in quanto decidono insieme in merito allo scopo definito congiuntamente e ai mezzi essenziali del trattamento dei dati in questo contesto.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento

Una valutazione d'impatto sulla protezione dei dati o DPIA è una valutazione scritta che l’impresa/organizzazione dovrebbe fare per valutare l'impatto di un'operazione di elaborazione dati pianificata.Ti aiuta a identificare le misure appropriate per affrontare i rischi e dimostrare la conformità.
Sebbene sia sempre preferibile anticipare l'impatto delle operazioni di trattamento pianificate effettuando la DPIA, è obbligatorio effettuare una DPIA quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone.
Nello specifico, quando il trattamento previsto comporta:

• il trattamento — su larga scala — di dati personali particolari (sensibili) o di dati relativi a condanne penali;
• una valutazione sistematica e approfondita degli aspetti personali di un individuo basata sul trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici sulla persona in questione o che incidono in modo analogo e significativo su altre persone;
• monitoraggio sistematico di un'area accessibile al pubblico su larga scala.

L'EDPB ha elaborato linee guida che elencano i criteri da prendere in considerazione per valutare se una DPIA è obbligatoria o meno. Le Autorità per la protezione dei dati hanno inoltre pubblicato elenchi di trattamenti che sono soggetti a una DPIA. Inoltre diverse Autorità hanno sviluppato guide, software o strumenti di autovalutazione per aiutarti nella tua analisi.

Per maggiori informazioni:

• Essere conformi
   

Il GDPR dà alle persone il controllo sul trattamento dei loro dati personali. A tal fine, la trasparenza è fondamentale. Ciò significa che devi informare le persone di cui tratti i dati sulle tue operazioni di trattamento e sulle finalità. In altre parole, devi spiegare chi elabora i loro dati, ma anche come e perché. Solo se l'uso dei dati personali è "trasparente" per le persone interessate, quest’ultime possono valutare i possibili rischi e prendere decisioni in merito ai loro dati personali.

Ai sensi del GDPR, sei tenuto a condividere le seguenti informazioni con le persone fisiche:

• l'identità e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• la base giuridica del trattamento (se legittimo interesse, le informazioni specifiche a cui gli interessi legittimi fanno riferimento riguardo ad un particolare trattamento e sul quale l’ente/impresa persegue ciascun interesse legittimo);
• i dati di contatto del responsabile del trattamento;
• i recapiti dell'RPD (se esiste un RPD);
• i destinatari o le categorie di destinatari dei dati;
• informazioni sull'eventuale trasferimento dei dati al di fuori dello Spazio economico europeo (SEE) (dove applicabile: l'esistenza o meno di una decisione di adeguatezza o di un riferimento sulle garanzie adeguate e il modo in cui tali informazioni possono essere messe a disposizione degli interessati;
• le categorie di dati personali trattati, quando i dati non sono ottenuti dall'interessato.

Inoltre, il GDPR richiede all'imresa/organizzazione di fornire le seguenti informazioni per garantire un trattamento equo e trasparente:

• il periodo di conservazione o, ove ciò non sia possibile, i criteri utilizzati per determinare tale periodo;
• il diritto di richiedere l'accesso, la cancellazione, la rettifica, la limitazione, l'obiezione e la portabilità dei dati personali;
• il diritto di presentare un reclamo a un'Autorità per la protezione dei dati;
• se la base giuridica del trattamento è il consenso: il diritto di revocare il consenso in qualsiasi momento;
• nel caso di processi decisionali automatizzati, le informazioni pertinenti sulla logica seguita e sulle conseguenze previste del trattamento per l'interessato;
• la fonte dei dati personali (se non si sono ricevuti direttamente dall'interessato;
• se l'individuo è tenuto a fornire i dati personali (per legge o per contratto o per stipulare un contratto) e quali sono le conseguenze del rifiuto di fornire i dati.

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Per trattamento di dati personali si intende qualsiasi tipo di attività (operazione di trattamento) svolta sui dati o con i dati personali delle persone fisiche. Ciò include la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'indagine, l'uso, la divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di dati personali.