È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e è necessario più tempo per rispondere, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta. 
Devi farlo gratuitamente.
 

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Non è possibile conservare i dati personali per sempre.
Di norma, i dati personali possono essere conservati solo per il tempo necessario alle finalità per le quali sono trattati.

In alcuni casi, il periodo di conservazione può essere determinato da leggi specifiche, ad esempio, le norme sul lavoro stabiliscono il periodo di conservazione per gli elenchi delle buste paga.

Le imprese/organizzazioni dovrebbero mettere in atto politiche di conservazione dei dati per assicurarsi che i dati personali non siano conservati più a lungo del necessario. I dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che questi dati non sono più necessari per lo scopo per il quale sono stati trattati. 

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Le persone fisiche hanno il diritto di richiedere la cancellazione dei dati personali che li riguardano e, in tal caso, il titolare del trattamento ha l'obbligo di cancellare i dati personali. È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e se è necessario più tempo per adempiere alla richiesta, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta.
È importante notare che il diritto alla cancellazione non è assoluto. Non si applica quando i dati in questione sono necessari per:

• esercitare il diritto alla libertà di espressione e di informazione (ad esempio a fini giornalistici);
• l'adempimento di un obbligo legale che richiede il trattamento di dati personali (ad esempio, l'elaborazione di registrazioni sull'orario di lavoro dei dipendenti);
• motivi di interesse pubblico nel settore della sanità pubblica;
• finalità di archiviazione nell'interesse pubblico o a fini di ricerca scientifica o storica o a fini statistici; e
• l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Quando i dati personali, che devono essere cancellati, sono stati precedentemente trasferiti ad altri enti, è necessario informare questi destinatari che l'individuo ha richiesto la cancellazione, a meno che ciò non si riveli impossibile o richiederebbe sforzi sproporzionati.
 

Per maggiori informazioni:

• Rispettare i diritti dei singoli

Il GDPR prevede diritti specifici per le persone che devono essere rispettati. Puoi farlo tramite:

• informare gli individui i cui dati vengono trattati in merito alle operazioni di trattamento e alle finalità del trattamento quando raccogli i loro dati, ad esempio tramite un'informativa sulla privacy sul tuo sito web;
• rispondendo alle richieste delle persone di esercitare i loro diritti, come la richiesta di accesso, rettifica, opposizione, cancellazione o portabilità.

Le imprese/organizzazioni che sono trasparenti sul loro utilizzo dei dati personali e che rispettano i diritti delle persone hanno meno probabilità di essere oggetto di reclami.

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Affinché il consenso sia considerato valido, esso deve essere:

• dato liberamente;
• specifico;
• informato; e
• inequivocabile.

Ciò significa che le persone devono avere una reale libertà di scelta in merito all'accettazione o meno del trattamento dei propri dati personali; hanno bisogno di informazioni sufficienti per capire quali dati sono trattati, per quale scopo e come viene fatto; hanno anche bisogno di una sufficiente granularità nelle richieste di consenso.

Inoltre, ci dovrebbe essere una chiara azione affermativa da parte dell'individuo (senza caselle già preselezionate e fatta separatamente dalle condizioni generali applicabili).

Inoltre, gli individui devono essere in grado di revocare liberamente il loro consenso (senza conseguenze negative) se cambiano idea in seguito.
 

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

Le misure di sicurezza necessarie possono differire in base alla natura dei dati personali elaborati e ai rischi associati per le persone fisiche. In ogni caso, ci sono alcune misure minime che dovresti mettere in atto:

• accesso sicuro ai locali;
• utilizzare software antivirus aggiornati regolarmente;
• scegliere con cura le tue password;
• fare autenticare gli utenti prima di utilizzare le strutture informatiche;
• disporre di una politica di backup e recupero dei dati in caso di incidente.

In aggiunta, alcune accortezze base, come bloccare lo schermo mentre si è via e chiudere l'ufficio alla fine della giornata, non sono mai fuori posto...

Per maggiori informazioni:

• Dati personali sicuri
   

Sì, il GDPR si applica se i dati personali sono contenuti o sono destinati a essere contenuti in un sistema di archiviazione. Ciò significa che il GDPR si applica anche ai registri cartacei e non solo al trattamento automatizzato dei dati personali.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario. 

Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.

Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

No, non è necessario essere certificati per diventare un RPD.

Tuttavia, gli RPD devono essere in grado di dimostrare di possedere le qualifiche necessarie richieste dal GDPR, come la conoscenza approfondita della legge e delle pratiche in materia di protezione dei dati.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

Il GDPR si applica all'uso dei cookie quando questi vengono utilizzati per il trattamento dei dati personali, ma ci sono anche regole più specifiche per i cookie, inclusa la direttiva ePrivacy.

La memorizzazione di un cookie, o l'ottenimento dell'accesso a un cookie già memorizzato, nell'apparecchio di un utente è consentita solo a condizione che l'abbonato o l'utente interessato sia stato adeguatamente informato (in particolare sulle finalità del trattamento) e abbia dato il suo consenso.
L'unica eccezione sono i cookie tecnici necessari. Le imprese/organizzazioni non hanno bisogno di chiedere il consenso quando utilizzano i cookie tecnici necessari sui loro siti web.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito