Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile. Un individuo identificabile è chiunque possa essere identificato, direttamente o indirettamente. Anche le diverse informazioni che sommate insieme potrebbero portare all'identificazione di una determinata persona costituiscono dati personali.
Esempi di dati personali includono:

• nome e cognome;
• un indirizzo di residenza;
• un indirizzo e-mail;
• un numero di carta d'identità;
• dati relativi all'ubicazione;
• un indirizzo IP (Internet Protocol);
• un ID cookie;
• conti bancari;
• relazioni fiscali;
• dati biometrici (come le impronte digitali);
• un numero di previdenza sociale;
• numero di passaporto;
• risultati di esami/concorsi;
• voti scolastici;
• cronologia di navigazione;
• fotografia individuale;
• numero di immatricolazione del veicolo, ecc.

Per maggiori informazioni:

• Principi di base per la protezione dei dati
   

In caso di raccolta diretta di dati personali presso le persone interessate, le imprese/organizzazioni devono fornire informazioni sulle operazioni di trattamento in modo conciso e trasparente, utilizzando un linguaggio comprensibile, facilmente accessibile, chiaro e semplice. Ciò può essere fatto per iscritto (ad esempio sul retro di un'offerta) o per via elettronica (ad esempio su un sito web). Se la persona interessata lo richiede, si può fornire queste informazioni anche a voce, ma si deve poter essere in grado di dimostrarlo in seguito.

Anche quando i dati sono stati raccolti indirettamente, vale a dire se non si raccolgono direttamente i dati personali da un individuo, ma ad esempio tramite una terza parte, è necessario fornire le stesse informazioni dettagliate alle persone fisiche.

Quando vi sono due o più titolari del trattamento che determinano congiuntamente lo scopo e i mezzi del trattamento, sono considerati contitolari del trattamento. Decidono insieme di trattare i dati personali per uno scopo comune. Il controllo congiunto può assumere molte forme e la partecipazione dei diversi titolari del trattamento può essere diseguale. I contitolari del trattamento devono pertanto determinare le rispettive responsabilità per il rispetto del GDPR.

È importante notare che il controllo congiunto comporta la responsabilità congiunta di un'attività di trattamento.

• Esempio di controllo congiunto: Le aziende A e B hanno lanciato un prodotto co-branded e desiderano organizzare un evento per promuovere questo prodotto. A tal fine, decidono di condividere i dati dei rispettivi database clienti e potenziali clienti e, su questa base, decidono l'elenco degli invitati all'evento.Concordano inoltre sulle modalità di invio degli inviti, su come raccogliere feedback durante l'evento e sulle azioni di marketing di follow-up. Le società A e B possono essere considerate contitolari per il trattamento dei dati personali relativi all'organizzazione dell'evento promozionale in quanto decidono insieme in merito allo scopo definito congiuntamente e ai mezzi essenziali del trattamento dei dati in questo contesto.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento

Una valutazione d'impatto sulla protezione dei dati o DPIA è una valutazione scritta che l’impresa/organizzazione dovrebbe fare per valutare l'impatto di un'operazione di elaborazione dati pianificata.Ti aiuta a identificare le misure appropriate per affrontare i rischi e dimostrare la conformità.
Sebbene sia sempre preferibile anticipare l'impatto delle operazioni di trattamento pianificate effettuando la DPIA, è obbligatorio effettuare una DPIA quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone.
Nello specifico, quando il trattamento previsto comporta:

• il trattamento — su larga scala — di dati personali particolari (sensibili) o di dati relativi a condanne penali;
• una valutazione sistematica e approfondita degli aspetti personali di un individuo basata sul trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici sulla persona in questione o che incidono in modo analogo e significativo su altre persone;
• monitoraggio sistematico di un'area accessibile al pubblico su larga scala.

L'EDPB ha elaborato linee guida che elencano i criteri da prendere in considerazione per valutare se una DPIA è obbligatoria o meno. Le Autorità per la protezione dei dati hanno inoltre pubblicato elenchi di trattamenti che sono soggetti a una DPIA. Inoltre diverse Autorità hanno sviluppato guide, software o strumenti di autovalutazione per aiutarti nella tua analisi.

Per maggiori informazioni:

• Essere conformi
   

Il GDPR dà alle persone il controllo sul trattamento dei loro dati personali. A tal fine, la trasparenza è fondamentale. Ciò significa che devi informare le persone di cui tratti i dati sulle tue operazioni di trattamento e sulle finalità. In altre parole, devi spiegare chi elabora i loro dati, ma anche come e perché. Solo se l'uso dei dati personali è "trasparente" per le persone interessate, quest’ultime possono valutare i possibili rischi e prendere decisioni in merito ai loro dati personali.

Ai sensi del GDPR, sei tenuto a condividere le seguenti informazioni con le persone fisiche:

• l'identità e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• la base giuridica del trattamento (se legittimo interesse, le informazioni specifiche a cui gli interessi legittimi fanno riferimento riguardo ad un particolare trattamento e sul quale l’ente/impresa persegue ciascun interesse legittimo);
• i dati di contatto del responsabile del trattamento;
• i recapiti dell'RPD (se esiste un RPD);
• i destinatari o le categorie di destinatari dei dati;
• informazioni sull'eventuale trasferimento dei dati al di fuori dello Spazio economico europeo (SEE) (dove applicabile: l'esistenza o meno di una decisione di adeguatezza o di un riferimento sulle garanzie adeguate e il modo in cui tali informazioni possono essere messe a disposizione degli interessati;
• le categorie di dati personali trattati, quando i dati non sono ottenuti dall'interessato.

Inoltre, il GDPR richiede all'imresa/organizzazione di fornire le seguenti informazioni per garantire un trattamento equo e trasparente:

• il periodo di conservazione o, ove ciò non sia possibile, i criteri utilizzati per determinare tale periodo;
• il diritto di richiedere l'accesso, la cancellazione, la rettifica, la limitazione, l'obiezione e la portabilità dei dati personali;
• il diritto di presentare un reclamo a un'Autorità per la protezione dei dati;
• se la base giuridica del trattamento è il consenso: il diritto di revocare il consenso in qualsiasi momento;
• nel caso di processi decisionali automatizzati, le informazioni pertinenti sulla logica seguita e sulle conseguenze previste del trattamento per l'interessato;
• la fonte dei dati personali (se non si sono ricevuti direttamente dall'interessato;
• se l'individuo è tenuto a fornire i dati personali (per legge o per contratto o per stipulare un contratto) e quali sono le conseguenze del rifiuto di fornire i dati.

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Per trattamento di dati personali si intende qualsiasi tipo di attività (operazione di trattamento) svolta sui dati o con i dati personali delle persone fisiche. Ciò include la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'indagine, l'uso, la divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di dati personali.

Gli RPD possono svolgere altri compiti all'interno dell'impresa/organizzazione, ma ciò non può comportare un conflitto di interessi. Ciò implica che il RPD non può avere una posizione in cui determina le finalità e i mezzi delle attività di trattamento. Le funzioni conflittuali comprendono principalmente le posizioni apicali (Amministratore Delegato, Direttore Generale, Direttore finanziario, Direttore Risorse Umane, Direttore IT, Consigliere delegato) ma possono anche coinvolgere altre funzioni se portano alla determinazione delle finalità e dei mezzi del trattamento.
L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:

• non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle sue funzioni;
• non può penalizzare o licenziare il Responsabile della protezione dei dati a causa dello svolgimento dei propri compiti.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati
   

Un contratto valido tra il titolare del trattamento e il responsabile del trattamento è obbligatorio ai sensi del GDPR. Un'infrazione può essere oggetto di una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2 % del fatturato annuo totale di una società, se superiore.

Per aiutarvi a stabilire un accordo tra titolare e responsabile del trattamento dei dati, le Autorità di protezione dei dati danesi e slovene, nonché la Commissione europea, hanno elaborato modelli di accordi.

Per maggiori informazioni:

• Il titolare del trattamento o il responsabile del trattamento

Il compito del responsabile della protezione dei dati comprende, tra l'altro:

• informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
• monitorare la conformità alla protezione dei dati;
• fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
• fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
• fungere da punto di contatto per le persone.

Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

I titolari del trattamento possono trattare i dati personali solo in una delle seguenti circostanze:

• con il consenso delle persone interessate;
• quando il trattamento è necessario per l'esecuzione di un contratto (un contratto tra la tua impresa e una persona fisica);
• adempiere ad un obbligo di legge ai sensi della legislazione dell'UE o nazionale;
• quando il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico ai sensi della legislazione dell'UE o nazionale;
• proteggere gli interessi vitali di un individuo;
• per gli interessi legittimi della tua impresa/ente, tranne nei casi in cui prevalgano i diritti e le libertà degli individui.

Inoltre, il GDPR stabilisce condizioni aggiuntive per il trattamento dei dati particolari.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito