Frequently Asked Questions
Posso trasferire dati personali al di fuori dello Spazio economico europeo (SEE)?
Secondo il GDPR, ci sono, in linea di principio, due modi principali per trasferire i dati personali ad un paese non SEE o a un'organizzazione internazionale. I trasferimenti possono avvenire sulla base di una decisione di adeguatezza o, in mancanza di tale decisione, sulla base di garanzie adeguate, compresi i diritti giuridicamente applicabili e i rimedi giudiziari per le persone fisiche.
Per maggiori informazioni:
Il GDPR si applica anche ai documenti cartacei?
Sì, il GDPR si applica se i dati personali sono contenuti o sono destinati a essere contenuti in un sistema di archiviazione. Ciò significa che il GDPR si applica anche ai registri cartacei e non solo al trattamento automatizzato dei dati personali.
Per maggiori informazioni:
Quali sono le sanzioni se la mia impres/organizzazione non rispetta il GDPR o se il mio trattamento viola il GDPR?
La conformità con il GDPR è monitorata dalle Autorità nazionali per la protezione dei dati. Le Autorità per la protezione dei dati possono condurre indagini e imporre sanzioni ove necessario. Le Autorità per la protezione dei dati dispongono di una serie di strumenti, tra cui sanzioni pecuniarie fino a 20 milioni di euro o il 4 % del fatturato annuo mondiale, se superiori, richiami e divieti di trattamento temporanei o permanenti.
Puoi trovare i recapiti di tutte le Autorità per la protezione dei dati SEE sul sito web dell'EDPB: Membri
Per maggiori informazioni:
Anche i responsabili del trattamento devono rispettare il GDPR?
Sì, i responsabili del trattamento (ossia le persone fisiche o enti che trattano i dati per conto di un titolare del trattamento) hanno obblighi ai sensi del GDPR. Vi sono, tuttavia, alcune differenze tra le responsabilità dei responsabili del trattamento e i titolari del trattamento.
I responsabili del trattamento devono attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento, che dettaglia le operazioni di trattamento e i mezzi per trattare i dati personali. Ad esempio, il responsabile del trattamento dovrà eseguire le operazioni di trattamento con le misure tecniche e organizzative appropriate, come indicato dal titolare. In tal modo, il responsabile del trattamento assiste il titolare del trattamento nel rispetto del GDPR.
Per maggiori informazioni:
Cosa dovrebbe essere incluso in un contratto di titolare-responsabile del trattamento?
Il contratto tra il titolare del trattamento e il responsabile del trattamento deve stabilire che il responsabile del trattamento:
- tratti i dati personali solo su istruzioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
- garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
- garantisca la sicurezza del trattamento;
- non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento;
- assista il titolare del trattamento nell’adempimento dei suoi obblighi nei confronti delle richieste delle persone di poter esercitare i loro diritti;
- assista il titolare del trattamento nella protezione del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione della DPIA;
- a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare dopo la fine della prestazione dei servizi;
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
- consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.
Inoltre, il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo parere, le istruzioni violano il GDPR o altre disposizioni dell'UE o nazionali in materia di protezione dei dati.
Per maggiori informazioni:
Cosa sono i cookie?
I cookie sono piccoli file memorizzati su un dispositivo, come un computer, un dispositivo mobile o qualsiasi altro dispositivo in grado di memorizzare informazioni. I cookie svolgono una serie di funzioni importanti, tra cui ricordare gli utenti e le loro precedenti interazioni con un sito web. Possono essere utilizzati per tenere traccia degli articoli in un carrello della spesa online o per tenere traccia delle informazioni quando i dettagli sono inseriti in un modulo online.
I cookie di autenticazione sono importanti anche per identificare gli utenti quando effettuano l'accesso ai servizi bancari e ad altri servizi online. Le informazioni memorizzate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificatore univoco o un indirizzo e-mail.
Devo essere certificato per diventare un Responsabile della protezione dei dati (RPD)?
No, non è necessario essere certificati per diventare un RPD.
Tuttavia, gli RPD devono essere in grado di dimostrare di possedere le qualifiche necessarie richieste dal GDPR, come la conoscenza approfondita della legge e delle pratiche in materia di protezione dei dati.
Per maggiori informazioni:
Il responsabile della protezione dei dati (RPD) è responsabile della conformità al GDPR?
Il RPD non può essere ritenuto responsabile per il mancato rispetto del GDPR. Il rispetto del GDPR è responsabilità dell'impresa/organizzazione che ha nominato il RPD.
Per maggiori informazioni:
La mia impresa/organizzazione deve rispettare il GDPR?
Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario.
Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.
Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.
Per maggiori informazioni:
Quali sono le basi giuridiche per il trattamento ai sensi del GDPR?
I titolari del trattamento possono trattare i dati personali solo in una delle seguenti circostanze:
- con il consenso delle persone interessate;
- quando il trattamento è necessario per l'esecuzione di un contratto (un contratto tra la tua impresa e una persona fisica);
- adempiere ad un obbligo di legge ai sensi della legislazione dell'UE o nazionale;
- quando il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico ai sensi della legislazione dell'UE o nazionale;
- proteggere gli interessi vitali di un individuo;
- per gli interessi legittimi della tua impresa/ente, tranne nei casi in cui prevalgano i diritti e le libertà degli individui.
Inoltre, il GDPR stabilisce condizioni aggiuntive per il trattamento dei dati particolari.
Per maggiori informazioni: