Frequently Asked Questions
Devo essere certificato per diventare un Responsabile della protezione dei dati (RPD)?
No, non è necessario essere certificati per diventare un RPD.
Tuttavia, gli RPD devono essere in grado di dimostrare di possedere le qualifiche necessarie richieste dal GDPR, come la conoscenza approfondita della legge e delle pratiche in materia di protezione dei dati.
Per maggiori informazioni:
In qualità di titolare del trattamento ho raccolto i dati personali da terzi, cosa devo fare per essere conforme?
- Assicurarsi che i dati ricevuti siano stati raccolti legittimamente e che le persone interessate siano state informate del trattamento dei loro dati personali.
- Nel caso in cui una terza parte tratti dati personali per tuo conto, assicurati di avere un contratto con il responsabile del trattamento che dettagli le attività di trattamento ed i mezzi per trattare i dati personali.
E, naturalmente, rispettare tutti gli obblighi dei titolari del trattamento.
Per maggiori informazioni:
Posso pubblicare i nomi dei vincitori di un concorso sul sito web della mia organizzazione?
Pubblicare i nomi dei vincitori di un concorso sul tuo sito web potrebbe essere considerato un interesse legittimo, se puoi dimostrarlo effettuando un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti delle persone.
Una buona prassi consisterebbe nell'istituire una procedura interna in cui siano spiegate le norme sulla pubblicazione dei dati personali dei vincitori.
Inoltre, il trattamento dei dati personali per tali scopi dovrebbe far parte dell'informativa sulla privacy del concorso, in modo che i partecipanti siano informati in anticipo sulle modalità di trattamento dei loro dati.
Per maggiori informazioni:
Quali sono i compiti del Responsabile della protezione dei dati (RPD)?
Il compito del responsabile della protezione dei dati comprende, tra l'altro:
- informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
- monitorare la conformità alla protezione dei dati;
- fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
- fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
- fungere da punto di contatto per le persone.
Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.
Per maggiori informazioni:
Quali sono le basi giuridiche per il trattamento ai sensi del GDPR?
I titolari del trattamento possono trattare i dati personali solo in una delle seguenti circostanze:
- con il consenso delle persone interessate;
- quando il trattamento è necessario per l'esecuzione di un contratto (un contratto tra la tua impresa e una persona fisica);
- adempiere ad un obbligo di legge ai sensi della legislazione dell'UE o nazionale;
- quando il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico ai sensi della legislazione dell'UE o nazionale;
- proteggere gli interessi vitali di un individuo;
- per gli interessi legittimi della tua impresa/ente, tranne nei casi in cui prevalgano i diritti e le libertà degli individui.
Inoltre, il GDPR stabilisce condizioni aggiuntive per il trattamento dei dati particolari.
Per maggiori informazioni:
Quando condividere queste informazioni?
Se la tua impresa/organizzazione sta raccogliendo i dati personali direttamente dalle persone fisiche, deve fornire le informazioni necessarie al momento della raccolta.
In caso di raccolta indiretta di dati personali, l'impresa/organizzazione deve fornire le informazioni al più tardi entro un mese dalla data in cui i dati personali sono stati inizialmente ottenuti. Questo periodo massimo di un mese può essere ridotto:
- se i dati personali vengono utilizzati ai fini della comunicazione con l'interessato. In tal caso si deve informare l'interessato al più tardi al momento della prima comunicazione;
- se i dati vengono trasmessi a un altro destinatario, l'impresa/organizzazione ne informa gli interessati al più tardi al momento del trasferimento dei dati personali.
Per maggiori informazioni:
Che cosa costituisce un conflitto di interessi per un Responsabile della protezione dei dati (RPD)?
Gli RPD possono svolgere altri compiti all'interno dell'impresa/organizzazione, ma ciò non può comportare un conflitto di interessi. Ciò implica che il RPD non può avere una posizione in cui determina le finalità e i mezzi delle attività di trattamento. Le funzioni conflittuali comprendono principalmente le posizioni apicali (Amministratore Delegato, Direttore Generale, Direttore finanziario, Direttore Risorse Umane, Direttore IT, Consigliere delegato) ma possono anche coinvolgere altre funzioni se portano alla determinazione delle finalità e dei mezzi del trattamento.
L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:
- non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle sue funzioni;
- non può penalizzare o licenziare il Responsabile della protezione dei dati a causa dello svolgimento dei propri compiti.
Per maggiori informazioni:
Chi può svolgere il ruolo di Responsabile della protezione dei dati (RPD)?
Il RPD può essere un dipendente con sufficiente conoscenza del GDPR (se i compiti professionali del dipendente sono compatibili con quelli del RPD e questo non porta a conflitti di interesse) o una persona esterna. Il Responsabile della protezione dei dati dovrebbe essere in grado di svolgere i compiti in modo indipendente e dovrebbe essere in grado di riferire direttamente alla direzione più alta.
Per maggiori informazioni:
Come posso ottenere un consenso valido?
Affinché il consenso sia considerato valido, esso deve essere:
- dato liberamente;
- specifico;
- informato; e
- inequivocabile.
Ciò significa che le persone devono avere una reale libertà di scelta in merito all'accettazione o meno del trattamento dei propri dati personali; hanno bisogno di informazioni sufficienti per capire quali dati sono trattati, per quale scopo e come viene fatto; hanno anche bisogno di una sufficiente granularità nelle richieste di consenso.
Inoltre, ci dovrebbe essere una chiara azione affermativa da parte dell'individuo (senza caselle già preselezionate e fatta separatamente dalle condizioni generali applicabili).
Inoltre, gli individui devono essere in grado di revocare liberamente il loro consenso (senza conseguenze negative) se cambiano idea in seguito.
Per maggiori informazioni:
Come posso rispettare i diritti alla protezione dei dati degli individui?
Il GDPR prevede diritti specifici per le persone che devono essere rispettati. Puoi farlo tramite:
- informare gli individui i cui dati vengono trattati in merito alle operazioni di trattamento e alle finalità del trattamento quando raccogli i loro dati, ad esempio tramite un'informativa sulla privacy sul tuo sito web;
- rispondendo alle richieste delle persone di esercitare i loro diritti, come la richiesta di accesso, rettifica, opposizione, cancellazione o portabilità.
Le imprese/organizzazioni che sono trasparenti sul loro utilizzo dei dati personali e che rispettano i diritti delle persone hanno meno probabilità di essere oggetto di reclami.
Per maggiori informazioni: