Le persone fisiche hanno il diritto di richiedere la cancellazione dei dati personali che li riguardano e, in tal caso, il titolare del trattamento ha l'obbligo di cancellare i dati personali. È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e se è necessario più tempo per adempiere alla richiesta, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta.
È importante notare che il diritto alla cancellazione non è assoluto. Non si applica quando i dati in questione sono necessari per:

• esercitare il diritto alla libertà di espressione e di informazione (ad esempio a fini giornalistici);
• l'adempimento di un obbligo legale che richiede il trattamento di dati personali (ad esempio, l'elaborazione di registrazioni sull'orario di lavoro dei dipendenti);
• motivi di interesse pubblico nel settore della sanità pubblica;
• finalità di archiviazione nell'interesse pubblico o a fini di ricerca scientifica o storica o a fini statistici; e
• l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Quando i dati personali, che devono essere cancellati, sono stati precedentemente trasferiti ad altri enti, è necessario informare questi destinatari che l'individuo ha richiesto la cancellazione, a meno che ciò non si riveli impossibile o richiederebbe sforzi sproporzionati.
 

Per maggiori informazioni:

• Rispettare i diritti dei singoli

Il GDPR prevede diritti specifici per le persone che devono essere rispettati. Puoi farlo tramite:

• informare gli individui i cui dati vengono trattati in merito alle operazioni di trattamento e alle finalità del trattamento quando raccogli i loro dati, ad esempio tramite un'informativa sulla privacy sul tuo sito web;
• rispondendo alle richieste delle persone di esercitare i loro diritti, come la richiesta di accesso, rettifica, opposizione, cancellazione o portabilità.

Le imprese/organizzazioni che sono trasparenti sul loro utilizzo dei dati personali e che rispettano i diritti delle persone hanno meno probabilità di essere oggetto di reclami.

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Affinché il consenso sia considerato valido, esso deve essere:

• dato liberamente;
• specifico;
• informato; e
• inequivocabile.

Ciò significa che le persone devono avere una reale libertà di scelta in merito all'accettazione o meno del trattamento dei propri dati personali; hanno bisogno di informazioni sufficienti per capire quali dati sono trattati, per quale scopo e come viene fatto; hanno anche bisogno di una sufficiente granularità nelle richieste di consenso.

Inoltre, ci dovrebbe essere una chiara azione affermativa da parte dell'individuo (senza caselle già preselezionate e fatta separatamente dalle condizioni generali applicabili).

Inoltre, gli individui devono essere in grado di revocare liberamente il loro consenso (senza conseguenze negative) se cambiano idea in seguito.
 

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

Le misure di sicurezza necessarie possono differire in base alla natura dei dati personali elaborati e ai rischi associati per le persone fisiche. In ogni caso, ci sono alcune misure minime che dovresti mettere in atto:

• accesso sicuro ai locali;
• utilizzare software antivirus aggiornati regolarmente;
• scegliere con cura le tue password;
• fare autenticare gli utenti prima di utilizzare le strutture informatiche;
• disporre di una politica di backup e recupero dei dati in caso di incidente.

In aggiunta, alcune accortezze base, come bloccare lo schermo mentre si è via e chiudere l'ufficio alla fine della giornata, non sono mai fuori posto...

Per maggiori informazioni:

• Dati personali sicuri
   

Sì, il GDPR si applica se i dati personali sono contenuti o sono destinati a essere contenuti in un sistema di archiviazione. Ciò significa che il GDPR si applica anche ai registri cartacei e non solo al trattamento automatizzato dei dati personali.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario. 

Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.

Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

No, non è necessario essere certificati per diventare un RPD.

Tuttavia, gli RPD devono essere in grado di dimostrare di possedere le qualifiche necessarie richieste dal GDPR, come la conoscenza approfondita della legge e delle pratiche in materia di protezione dei dati.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

Il GDPR si applica all'uso dei cookie quando questi vengono utilizzati per il trattamento dei dati personali, ma ci sono anche regole più specifiche per i cookie, inclusa la direttiva ePrivacy.

La memorizzazione di un cookie, o l'ottenimento dell'accesso a un cookie già memorizzato, nell'apparecchio di un utente è consentita solo a condizione che l'abbonato o l'utente interessato sia stato adeguatamente informato (in particolare sulle finalità del trattamento) e abbia dato il suo consenso.
L'unica eccezione sono i cookie tecnici necessari. Le imprese/organizzazioni non hanno bisogno di chiedere il consenso quando utilizzano i cookie tecnici necessari sui loro siti web.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

In generale, ogni organizzazione dovrebbe tenere un registro delle proprie attività di trattamento. Questo è un inventario di tutte le operazioni di trattamento e può aiutarti a formulare ipotesi corrette sulle tue responsabilità ai sensi del GDPR e sui possibili rischi.
Ciascuna di queste operazioni di trattamento deve essere descritta nel registro con le seguenti informazioni:

• lo scopo del trattamento (ad es. fidelizzazione del cliente);
• le categorie dei dati trattati (ad esempio, per le buste paga: cognome, nome, data di nascita, stipendio, ecc.);
• chi ha accesso ai dati (i destinatari — ad esempio: il dipartimento incaricato del reclutamento, il servizio informatico, il management, il  gestore dei fornitori di servizi, i soci...);
• se applicabile, le informazioni relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE);
• ove possibile, il periodo di conservazione dei dati (il periodo per il quale i dati sono utili dal punto di vista operativo e della necessità di archiviazione);
• ove possibile, una descrizione generale delle misure di sicurezza.

La registrazione delle attività di trattamento rientra sotto la responsabilità del responsabile dell'organizzazione.
Tale registrazione deve essere a disposizione dell'Autorità per la protezione dei dati del paese SEE in cui opera, se richiesto.

Non è necessario per le imprese/organizzazioni che impiegano meno di 250 persone menzionare attività puramente occasionali nei loro registri (ad esempio, i dati elaborati per eventi una tantum come l'apertura di un negozio).

Per maggiori informazioni:

• Essere conformi

Sì, i responsabili del trattamento (ossia le persone fisiche o enti che trattano i dati per conto di un titolare del trattamento) hanno obblighi ai sensi del GDPR. Vi sono, tuttavia, alcune differenze tra le responsabilità dei responsabili del trattamento e i titolari del trattamento.

I responsabili del trattamento devono attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento, che dettaglia le operazioni di trattamento e i mezzi per trattare i dati personali. Ad esempio, il responsabile del trattamento dovrà eseguire le operazioni di trattamento con le misure tecniche e organizzative appropriate, come indicato dal titolare. In tal modo, il responsabile del trattamento assiste il titolare del trattamento nel rispetto del GDPR.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento