Il compito del responsabile della protezione dei dati comprende, tra l'altro:

• informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
• monitorare la conformità alla protezione dei dati;
• fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
• fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
• fungere da punto di contatto per le persone.

Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario. 

Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.

Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

No, non è necessario rendere pubblico il tuo registro del trattamento. Tuttavia, su richiesta, è necessario essere in grado di mettere il registro a disposizione dell'Autorità per la protezione dei dati.

Per maggiori informazioni:

• Essere conformi

Sì, è possibile, ma il GDPR impone determinati obblighi alle aziende che condividono i dati personali. La tua impresa deve informare le persone che condividerai i loro dati con una terza parte. Devi inoltre informarli dei tuoi scopi, della sicurezza, dell'accesso e delle misure di conservazione che si applicheranno.

Il GDPR si applica all'uso dei cookie quando questi vengono utilizzati per il trattamento dei dati personali, ma ci sono anche regole più specifiche per i cookie, inclusa la direttiva ePrivacy.

La memorizzazione di un cookie, o l'ottenimento dell'accesso a un cookie già memorizzato, nell'apparecchio di un utente è consentita solo a condizione che l'abbonato o l'utente interessato sia stato adeguatamente informato (in particolare sulle finalità del trattamento) e abbia dato il suo consenso.
L'unica eccezione sono i cookie tecnici necessari. Le imprese/organizzazioni non hanno bisogno di chiedere il consenso quando utilizzano i cookie tecnici necessari sui loro siti web.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Il contratto tra il titolare del trattamento e il responsabile del trattamento deve stabilire che il responsabile del trattamento:

• tratti i dati personali solo su istruzioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
• garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
• garantisca la sicurezza del trattamento;
• non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento;
• assista il titolare del trattamento nell’adempimento dei suoi obblighi nei confronti delle richieste delle persone di poter esercitare i loro diritti;
• assista il titolare del trattamento nella protezione del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione della DPIA;
• a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare dopo la fine della prestazione dei servizi;
• metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
• consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.

Inoltre, il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo parere, le istruzioni violano il GDPR o altre disposizioni dell'UE o nazionali in materia di protezione dei dati.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento

Il RPD non può essere ritenuto responsabile per il mancato rispetto del GDPR. Il rispetto del GDPR è responsabilità dell'impresa/organizzazione che ha nominato il RPD.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati
   

Il primo passo per installare una videocamera è quello di identificare lo scopo o gli scopi per farlo. Gli scopi per l'installazione di telecamere a circuito chiuso possono essere diversi, come, ad esempio, garantire la sicurezza dei locali, facilitare la prevenzione e la scoperta di furti e altri reati, e, per la natura del lavoro, proteggere la vita e la salute dei dipendenti. Come per qualsiasi trattamento di dati personali, la ripresa video delle persone fisiche deve avere una base giuridica ai sensi del GDPR. Il consenso può fornire una base giuridica per tale trattamento dei dati. Tuttavia, nella maggior parte dei casi, è improbabile che ciò si applichi all'uso delle telecamere, in quanto sarà difficile ottenere il libero consenso di tutti coloro che potrebbero essere ripresi. La base giuridica più comune per questo tipo di trattamento dei dati personali è l'interesse legittimo. Quando il trattamento si basa su un interesse legittimo, dovrai effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti dell'individuo.

È necessario informare le persone che si stanno riprendendo. Questo può essere fatto posizionando indicazioni di facile comprensione in posti visibili. Inoltre, a tutti gli ingressi dovrebbe essere collocato un cartello indicante lo scopo del sistema di telecamere a circuito chiuso e l'identità e i dati di contatto del titolare del trattamento.

Alle persone le cui immagini sono registrate da un sistema di telecamere a circuito chiuso dovrebbero essere fornite le seguenti informazioni:

• l'identità e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• la base giuridica del trattamento (se è legittimo interesse, le informazioni specifiche su quali interessi legittimi si fa riferimento per quello specifico trattamento e quale entità persegue ciascun interesse legittimo).
• i recapiti del responsabile della protezione dei dati, RDD/DPO (se esiste);
• i destinatari o le categorie di destinatari dei dati;
• le disposizioni di sicurezza per i filmati delle telecamere;
• il periodo di conservazione dei filmati delle telecamere;
• l'esistenza dei diritti delle persone fisiche ai sensi del GDPR e il diritto di presentare un reclamo all'Autorità nazionale per la protezione dei dati.
   

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
• Rispettare i diritti dei singoli
   

Il GDPR dà alle persone il controllo sul trattamento dei loro dati personali. A tal fine, la trasparenza è fondamentale. Ciò significa che devi informare le persone di cui tratti i dati sulle tue operazioni di trattamento e sulle finalità. In altre parole, devi spiegare chi elabora i loro dati, ma anche come e perché. Solo se l'uso dei dati personali è "trasparente" per le persone interessate, quest’ultime possono valutare i possibili rischi e prendere decisioni in merito ai loro dati personali.

Ai sensi del GDPR, sei tenuto a condividere le seguenti informazioni con le persone fisiche:

• l'identità e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• la base giuridica del trattamento (se legittimo interesse, le informazioni specifiche a cui gli interessi legittimi fanno riferimento riguardo ad un particolare trattamento e sul quale l’ente/impresa persegue ciascun interesse legittimo);
• i dati di contatto del responsabile del trattamento;
• i recapiti dell'RPD (se esiste un RPD);
• i destinatari o le categorie di destinatari dei dati;
• informazioni sull'eventuale trasferimento dei dati al di fuori dello Spazio economico europeo (SEE) (dove applicabile: l'esistenza o meno di una decisione di adeguatezza o di un riferimento sulle garanzie adeguate e il modo in cui tali informazioni possono essere messe a disposizione degli interessati;
• le categorie di dati personali trattati, quando i dati non sono ottenuti dall'interessato.

Inoltre, il GDPR richiede all'imresa/organizzazione di fornire le seguenti informazioni per garantire un trattamento equo e trasparente:

• il periodo di conservazione o, ove ciò non sia possibile, i criteri utilizzati per determinare tale periodo;
• il diritto di richiedere l'accesso, la cancellazione, la rettifica, la limitazione, l'obiezione e la portabilità dei dati personali;
• il diritto di presentare un reclamo a un'Autorità per la protezione dei dati;
• se la base giuridica del trattamento è il consenso: il diritto di revocare il consenso in qualsiasi momento;
• nel caso di processi decisionali automatizzati, le informazioni pertinenti sulla logica seguita e sulle conseguenze previste del trattamento per l'interessato;
• la fonte dei dati personali (se non si sono ricevuti direttamente dall'interessato;
• se l'individuo è tenuto a fornire i dati personali (per legge o per contratto o per stipulare un contratto) e quali sono le conseguenze del rifiuto di fornire i dati.

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Alcuni tipi di dati personali appartengono a categorie particolari di dati, il che significa che meritano maggiore protezione. Sono i cosiddetti dati particolari (sensibili). I dati sensibili includono dati che rivelano informazioni su:

• la salute di un individuo;
• l'orientamento sessuale di un individuo;
• l'origine razziale o etnica di un individuo;
• le opinioni politiche, le convinzioni religiose o filosofiche di un individuo; l'appartenenza sindacale di un individuo;
• dati biometrici e genetici di un individuo.

Il trattamento dei dati particolari di una persona è generalmente vietato, tranne in circostanze specifiche che ne giustifichino il trattamento.

Per maggiori informazioni:

• Principi di base per la protezione dei dati