Per trattamento di dati personali si intende qualsiasi tipo di attività (operazione di trattamento) svolta sui dati o con i dati personali delle persone fisiche. Ciò include la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'indagine, l'uso, la divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di dati personali.

Il contratto tra il titolare del trattamento e il responsabile del trattamento deve stabilire che il responsabile del trattamento:

• tratti i dati personali solo su istruzioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
• garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
• garantisca la sicurezza del trattamento;
• non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento;
• assista il titolare del trattamento nell’adempimento dei suoi obblighi nei confronti delle richieste delle persone di poter esercitare i loro diritti;
• assista il titolare del trattamento nella protezione del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione della DPIA;
• a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare dopo la fine della prestazione dei servizi;
• metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
• consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.

Inoltre, il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo parere, le istruzioni violano il GDPR o altre disposizioni dell'UE o nazionali in materia di protezione dei dati.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento

Una valutazione d'impatto sulla protezione dei dati o DPIA è una valutazione scritta che l’impresa/organizzazione dovrebbe fare per valutare l'impatto di un'operazione di elaborazione dati pianificata.Ti aiuta a identificare le misure appropriate per affrontare i rischi e dimostrare la conformità.
Sebbene sia sempre preferibile anticipare l'impatto delle operazioni di trattamento pianificate effettuando la DPIA, è obbligatorio effettuare una DPIA quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone.
Nello specifico, quando il trattamento previsto comporta:

• il trattamento — su larga scala — di dati personali particolari (sensibili) o di dati relativi a condanne penali;
• una valutazione sistematica e approfondita degli aspetti personali di un individuo basata sul trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici sulla persona in questione o che incidono in modo analogo e significativo su altre persone;
• monitoraggio sistematico di un'area accessibile al pubblico su larga scala.

L'EDPB ha elaborato linee guida che elencano i criteri da prendere in considerazione per valutare se una DPIA è obbligatoria o meno. Le Autorità per la protezione dei dati hanno inoltre pubblicato elenchi di trattamenti che sono soggetti a una DPIA. Inoltre diverse Autorità hanno sviluppato guide, software o strumenti di autovalutazione per aiutarti nella tua analisi.

Per maggiori informazioni:

• Essere conformi
   

Il GDPR si applica all'uso dei cookie quando questi vengono utilizzati per il trattamento dei dati personali, ma ci sono anche regole più specifiche per i cookie, inclusa la direttiva ePrivacy.

La memorizzazione di un cookie, o l'ottenimento dell'accesso a un cookie già memorizzato, nell'apparecchio di un utente è consentita solo a condizione che l'abbonato o l'utente interessato sia stato adeguatamente informato (in particolare sulle finalità del trattamento) e abbia dato il suo consenso.
L'unica eccezione sono i cookie tecnici necessari. Le imprese/organizzazioni non hanno bisogno di chiedere il consenso quando utilizzano i cookie tecnici necessari sui loro siti web.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

La conformità con il GDPR è monitorata dalle Autorità nazionali per la protezione dei dati. Le Autorità per la protezione dei dati possono condurre indagini e imporre sanzioni ove necessario. Le Autorità per la protezione dei dati dispongono di una serie di strumenti, tra cui sanzioni pecuniarie fino a 20 milioni di euro o il 4 % del fatturato annuo mondiale, se superiori, richiami e divieti di trattamento temporanei o permanenti.
Puoi trovare i recapiti di tutte le Autorità per la protezione dei dati SEE sul sito web dell'EDPB: Membri

Per maggiori informazioni:

• L’Autorità per la protezione dei dati & te

Il primo passo per installare una videocamera è quello di identificare lo scopo o gli scopi per farlo. Gli scopi per l'installazione di telecamere a circuito chiuso possono essere diversi, come, ad esempio, garantire la sicurezza dei locali, facilitare la prevenzione e la scoperta di furti e altri reati, e, per la natura del lavoro, proteggere la vita e la salute dei dipendenti. Come per qualsiasi trattamento di dati personali, la ripresa video delle persone fisiche deve avere una base giuridica ai sensi del GDPR. Il consenso può fornire una base giuridica per tale trattamento dei dati. Tuttavia, nella maggior parte dei casi, è improbabile che ciò si applichi all'uso delle telecamere, in quanto sarà difficile ottenere il libero consenso di tutti coloro che potrebbero essere ripresi. La base giuridica più comune per questo tipo di trattamento dei dati personali è l'interesse legittimo. Quando il trattamento si basa su un interesse legittimo, dovrai effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti dell'individuo.

È necessario informare le persone che si stanno riprendendo. Questo può essere fatto posizionando indicazioni di facile comprensione in posti visibili. Inoltre, a tutti gli ingressi dovrebbe essere collocato un cartello indicante lo scopo del sistema di telecamere a circuito chiuso e l'identità e i dati di contatto del titolare del trattamento.

Alle persone le cui immagini sono registrate da un sistema di telecamere a circuito chiuso dovrebbero essere fornite le seguenti informazioni:

• l'identità e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• la base giuridica del trattamento (se è legittimo interesse, le informazioni specifiche su quali interessi legittimi si fa riferimento per quello specifico trattamento e quale entità persegue ciascun interesse legittimo).
• i recapiti del responsabile della protezione dei dati, RDD/DPO (se esiste);
• i destinatari o le categorie di destinatari dei dati;
• le disposizioni di sicurezza per i filmati delle telecamere;
• il periodo di conservazione dei filmati delle telecamere;
• l'esistenza dei diritti delle persone fisiche ai sensi del GDPR e il diritto di presentare un reclamo all'Autorità nazionale per la protezione dei dati.
   

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
• Rispettare i diritti dei singoli
   

Secondo il GDPR, ci sono, in linea di principio, due modi principali per trasferire i dati personali ad un paese non SEE o a un'organizzazione internazionale. I trasferimenti possono avvenire sulla base di una decisione di adeguatezza o, in mancanza di tale decisione, sulla base di garanzie adeguate, compresi i diritti giuridicamente applicabili e i rimedi giudiziari per le persone fisiche.

Per maggiori informazioni:

• Trasferimenti internazionali
   

Le misure di sicurezza necessarie possono differire in base alla natura dei dati personali elaborati e ai rischi associati per le persone fisiche. In ogni caso, ci sono alcune misure minime che dovresti mettere in atto:

• accesso sicuro ai locali;
• utilizzare software antivirus aggiornati regolarmente;
• scegliere con cura le tue password;
• fare autenticare gli utenti prima di utilizzare le strutture informatiche;
• disporre di una politica di backup e recupero dei dati in caso di incidente.

In aggiunta, alcune accortezze base, come bloccare lo schermo mentre si è via e chiudere l'ufficio alla fine della giornata, non sono mai fuori posto...

Per maggiori informazioni:

• Dati personali sicuri
   

Un contratto valido tra il titolare del trattamento e il responsabile del trattamento è obbligatorio ai sensi del GDPR. Un'infrazione può essere oggetto di una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2 % del fatturato annuo totale di una società, se superiore.

Per aiutarvi a stabilire un accordo tra titolare e responsabile del trattamento dei dati, le Autorità di protezione dei dati danesi e slovene, nonché la Commissione europea, hanno elaborato modelli di accordi.

Per maggiori informazioni:

• Il titolare del trattamento o il responsabile del trattamento

I cookie sono piccoli file memorizzati su un dispositivo, come un computer, un dispositivo mobile o qualsiasi altro dispositivo in grado di memorizzare informazioni. I cookie svolgono una serie di funzioni importanti, tra cui ricordare gli utenti e le loro precedenti interazioni con un sito web. Possono essere utilizzati per tenere traccia degli articoli in un carrello della spesa online o per tenere traccia delle informazioni quando i dettagli sono inseriti in un modulo online.

I cookie di autenticazione sono importanti anche per identificare gli utenti quando effettuano l'accesso ai servizi bancari e ad altri servizi online. Le informazioni memorizzate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificatore univoco o un indirizzo e-mail.