In generale, ogni organizzazione dovrebbe tenere un registro delle proprie attività di trattamento. Questo è un inventario di tutte le operazioni di trattamento e può aiutarti a formulare ipotesi corrette sulle tue responsabilità ai sensi del GDPR e sui possibili rischi.
Ciascuna di queste operazioni di trattamento deve essere descritta nel registro con le seguenti informazioni:

• lo scopo del trattamento (ad es. fidelizzazione del cliente);
• le categorie dei dati trattati (ad esempio, per le buste paga: cognome, nome, data di nascita, stipendio, ecc.);
• chi ha accesso ai dati (i destinatari — ad esempio: il dipartimento incaricato del reclutamento, il servizio informatico, il management, il  gestore dei fornitori di servizi, i soci...);
• se applicabile, le informazioni relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE);
• ove possibile, il periodo di conservazione dei dati (il periodo per il quale i dati sono utili dal punto di vista operativo e della necessità di archiviazione);
• ove possibile, una descrizione generale delle misure di sicurezza.

La registrazione delle attività di trattamento rientra sotto la responsabilità del responsabile dell'organizzazione.
Tale registrazione deve essere a disposizione dell'Autorità per la protezione dei dati del paese SEE in cui opera, se richiesto.

Non è necessario per le imprese/organizzazioni che impiegano meno di 250 persone menzionare attività puramente occasionali nei loro registri (ad esempio, i dati elaborati per eventi una tantum come l'apertura di un negozio).

Per maggiori informazioni:

• Essere conformi

Il GDPR o Regolamento generale sulla protezione dei dati, stabilisce un insieme armonizzato di norme applicabili a tutti i trattamenti di dati personali da parte di organizzazioni (pubbliche o private, indipendentemente dalle loro dimensioni) situate nello Spazio economico europeo (SEE) o che si rivolgono a persone nell'UE. L'obiettivo principale del GDPR è garantire che i dati personali godano dello stesso elevato standard di protezione ovunque nel SEE, aumentando la certezza del diritto sia per le persone fisiche che per le organizzazioni che trattano i dati, offrendo un elevato grado di protezione alle persone fisiche.

Il regolamento è entrato in vigore il 24 maggio 2016 e si applica dal 25 maggio 2018.
 

La pseudonimizzazione consiste nel trasformare i dati personali in modo che non possano più essere attribuiti a un individuo specifico senza l'uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative atte a garantire che i dati personali non siano attribuibili all'individuo. In pratica, può significare sostituire i dati personali (cognome, nome, codice fiscale, numero di telefono, ecc.) in un insieme di dati con identificativi indiretti (alias, numero sequenziale, ecc.). I dati pseudonimizzati sono ancora dati personali ed sono soggetti al GDPR.

I dati anonimizzati sono dati resi anonimi in modo tale che l'individuo non sia o non sia più identificabile con alcun mezzo che sia ragionevolmente probabile che venga utilizzato. Quando l'anonimizzazione è attuata correttamente, il GDPR non si applica più ai dati anonimizzati.

Per maggiori informazioni:

• Dati personali sicuri

Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile. Un individuo identificabile è chiunque possa essere identificato, direttamente o indirettamente. Anche le diverse informazioni che sommate insieme potrebbero portare all'identificazione di una determinata persona costituiscono dati personali.
Esempi di dati personali includono:

• nome e cognome;
• un indirizzo di residenza;
• un indirizzo e-mail;
• un numero di carta d'identità;
• dati relativi all'ubicazione;
• un indirizzo IP (Internet Protocol);
• un ID cookie;
• conti bancari;
• relazioni fiscali;
• dati biometrici (come le impronte digitali);
• un numero di previdenza sociale;
• numero di passaporto;
• risultati di esami/concorsi;
• voti scolastici;
• cronologia di navigazione;
• fotografia individuale;
• numero di immatricolazione del veicolo, ecc.

Per maggiori informazioni:

• Principi di base per la protezione dei dati
   

L'EDPB pubblica regolarmente comunicati stampa, notizie, blog e altri contenuti sul sito web EDPB e sui suoi canali social (Twitter: @EU_EDPB; LinkedIn: Comitato europeo per la protezione dei dati) per tenere aggiornati sulle sue attività la community protezione dati e il pubblico in generale. Il sito web dell'EDPB dispone anche di due feed RSS, ai quali è possibile abbonarsi per aggiornamenti automatici di notizie sull’EDPB e delle ultime pubblicazioni dell'EDPB.

• Qualsiasi trattamento di dati personali deve essere lecito, corretto e trasparente.
• Raccogliere dati personali solo per finalità determinate, esplicite e legittime. Il trattamento dei dati di una persona deve essere strettamente limitato alle finalità inizialmente stabilite e quindi non per scopi successivi o per altre finalità incompatibili con le finalità iniziali.
• Trattare solo i dati personali necessari e proporzionati allo scopo previsto.
• Tutti i dati personali trattati devono essere esatti e aggiornati. I dati personali inesatti devono essere rettificati o cancellati.
• La conservazione dei dati personali delle persone fisiche deve essere limitata nel tempo, alla luce dello scopo per il quale tali dati sono stati raccolti e trattati. Pertanto, i dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che tali dati non si rendano più necessari.
• Il trattamento dei dati delle persone fisiche deve essere effettuato in modo sicuro. In tal senso, è necessario istituire solidi controlli di cyber sicurezza per garantire che i dati delle persone siano adeguatamente protetti.

Infine, il titolare è tenuto a rendere conto. Ciò significa che è responsabile e deve essere in grado di dimostrare il rispetto dei principi di cui sopra.

Per maggiori informazioni:

• Protezione base dei dati

Il GDPR distingue tra due ruoli principali: quelli del titolare del trattamento e del responsabile del trattamento. Questa distinzione è fondamentale in quanto il titolare del trattamento ha più responsabilità e deve adempiere a più obblighi rispetto al responsabile del trattamento.
I titolari del trattamento e i responsabili del trattamento possono essere persone fisiche o giuridiche, ad esempio: una PMI, un'autorità pubblica, un'impresa, un'organizzazione, un ente statale, un'associazione, ecc.
Un titolare del trattamento determina le finalità e i mezzi di un'operazione di trattamento dati. In altre parole, il titolare del trattamento decide come e perché di un'operazione di trattamento. Mentre i responsabili del trattamento trattano i dati personali per conto del titolare del trattamento. Il trattamento effettuato dai responsabili del trattamento deve essere regolato da un contratto con il titolare del trattamento o da un altro atto giuridico.

Esempi di titolari del trattamento:

• aziende che trattano i dati personali dei propri clienti per completare una vendita;
• istituti finanziari che trattano i dati personali dei loro clienti;
• associazioni che trattano i dati dei propri soci;
• scuole o università che trattano i dati personali di studenti e docenti;
• ospedali che trattano i dati personali dei loro pazienti;
• agenzie governative che trattano i dati personali dei cittadini.

Esempi di responsabili del trattamento:

• una PMI assume un servizio di contabilità per conservare i propri libri e registri, la PMI è titolare del trattamento dei dati e il servizio di contabilità è un responsabile del trattamento dei dati;
• una società di buste paga tratta i dati personali di una PMI. La società di buste paga agirà in qualità di responsabile del trattamento se tratta esclusivamente i dati personali per conto della PMI. La PMI determina le finalità e i mezzi del trattamento dei dati ed è pertanto titolare del trattamento.
• una PMI commissiona a una società di marketing di raccogliere indirizzi e-mail tramite siti web di terze parti.  La società di marketing lo fa secondo le istruzioni esplicite della PMI e per scopi esclusivi della PMI. La società di marketing funge da responsabile del trattamento per questa raccolta.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento

No, non è necessario rendere pubblico il tuo registro del trattamento. Tuttavia, su richiesta, è necessario essere in grado di mettere il registro a disposizione dell'Autorità per la protezione dei dati.

Per maggiori informazioni:

• Essere conformi

Sì, è possibile, ma il GDPR impone determinati obblighi alle aziende che condividono i dati personali. La tua impresa deve informare le persone che condividerai i loro dati con una terza parte. Devi inoltre informarli dei tuoi scopi, della sicurezza, dell'accesso e delle misure di conservazione che si applicheranno.

Il GDPR si applica all'uso dei cookie quando questi vengono utilizzati per il trattamento dei dati personali, ma ci sono anche regole più specifiche per i cookie, inclusa la direttiva ePrivacy.

La memorizzazione di un cookie, o l'ottenimento dell'accesso a un cookie già memorizzato, nell'apparecchio di un utente è consentita solo a condizione che l'abbonato o l'utente interessato sia stato adeguatamente informato (in particolare sulle finalità del trattamento) e abbia dato il suo consenso.
L'unica eccezione sono i cookie tecnici necessari. Le imprese/organizzazioni non hanno bisogno di chiedere il consenso quando utilizzano i cookie tecnici necessari sui loro siti web.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito