Il compito del responsabile della protezione dei dati comprende, tra l'altro:

• informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
• monitorare la conformità alla protezione dei dati;
• fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
• fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
• fungere da punto di contatto per le persone.

Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario. 

Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.

Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

No, non è necessario rendere pubblico il tuo registro del trattamento. Tuttavia, su richiesta, è necessario essere in grado di mettere il registro a disposizione dell'Autorità per la protezione dei dati.

Per maggiori informazioni:

• Essere conformi

Sì, è possibile, ma il GDPR impone determinati obblighi alle aziende che condividono i dati personali. La tua impresa deve informare le persone che condividerai i loro dati con una terza parte. Devi inoltre informarli dei tuoi scopi, della sicurezza, dell'accesso e delle misure di conservazione che si applicheranno.

Alcuni tipi di dati personali appartengono a categorie particolari di dati, il che significa che meritano maggiore protezione. Sono i cosiddetti dati particolari (sensibili). I dati sensibili includono dati che rivelano informazioni su:

• la salute di un individuo;
• l'orientamento sessuale di un individuo;
• l'origine razziale o etnica di un individuo;
• le opinioni politiche, le convinzioni religiose o filosofiche di un individuo; l'appartenenza sindacale di un individuo;
• dati biometrici e genetici di un individuo.

Il trattamento dei dati particolari di una persona è generalmente vietato, tranne in circostanze specifiche che ne giustifichino il trattamento.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Il GDPR si applica all'uso dei cookie quando questi vengono utilizzati per il trattamento dei dati personali, ma ci sono anche regole più specifiche per i cookie, inclusa la direttiva ePrivacy.

La memorizzazione di un cookie, o l'ottenimento dell'accesso a un cookie già memorizzato, nell'apparecchio di un utente è consentita solo a condizione che l'abbonato o l'utente interessato sia stato adeguatamente informato (in particolare sulle finalità del trattamento) e abbia dato il suo consenso.
L'unica eccezione sono i cookie tecnici necessari. Le imprese/organizzazioni non hanno bisogno di chiedere il consenso quando utilizzano i cookie tecnici necessari sui loro siti web.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

I cookie sono piccoli file memorizzati su un dispositivo, come un computer, un dispositivo mobile o qualsiasi altro dispositivo in grado di memorizzare informazioni. I cookie svolgono una serie di funzioni importanti, tra cui ricordare gli utenti e le loro precedenti interazioni con un sito web. Possono essere utilizzati per tenere traccia degli articoli in un carrello della spesa online o per tenere traccia delle informazioni quando i dettagli sono inseriti in un modulo online.

I cookie di autenticazione sono importanti anche per identificare gli utenti quando effettuano l'accesso ai servizi bancari e ad altri servizi online. Le informazioni memorizzate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificatore univoco o un indirizzo e-mail.

La conformità con il GDPR è monitorata dalle Autorità nazionali per la protezione dei dati. Le Autorità per la protezione dei dati possono condurre indagini e imporre sanzioni ove necessario. Le Autorità per la protezione dei dati dispongono di una serie di strumenti, tra cui sanzioni pecuniarie fino a 20 milioni di euro o il 4 % del fatturato annuo mondiale, se superiori, richiami e divieti di trattamento temporanei o permanenti.
Puoi trovare i recapiti di tutte le Autorità per la protezione dei dati SEE sul sito web dell'EDPB: Membri

Per maggiori informazioni:

• L’Autorità per la protezione dei dati & te

Sì, i responsabili del trattamento (ossia le persone fisiche o enti che trattano i dati per conto di un titolare del trattamento) hanno obblighi ai sensi del GDPR. Vi sono, tuttavia, alcune differenze tra le responsabilità dei responsabili del trattamento e i titolari del trattamento.

I responsabili del trattamento devono attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento, che dettaglia le operazioni di trattamento e i mezzi per trattare i dati personali. Ad esempio, il responsabile del trattamento dovrà eseguire le operazioni di trattamento con le misure tecniche e organizzative appropriate, come indicato dal titolare. In tal modo, il responsabile del trattamento assiste il titolare del trattamento nel rispetto del GDPR.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento
   

Il contratto tra il titolare del trattamento e il responsabile del trattamento deve stabilire che il responsabile del trattamento:

• tratti i dati personali solo su istruzioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
• garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
• garantisca la sicurezza del trattamento;
• non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento;
• assista il titolare del trattamento nell’adempimento dei suoi obblighi nei confronti delle richieste delle persone di poter esercitare i loro diritti;
• assista il titolare del trattamento nella protezione del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione della DPIA;
• a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare dopo la fine della prestazione dei servizi;
• metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
• consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.

Inoltre, il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo parere, le istruzioni violano il GDPR o altre disposizioni dell'UE o nazionali in materia di protezione dei dati.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento