Il consenso potrebbe effettivamente costituire una valida base giuridica per la conservazione dei CV dei candidati. Un'altra possibile base giuridica potrebbe essere l'interesse legittimo. In tal caso, si dovrebbe effettuare un test di bilanciamento degli interessi per dimostrare che gli interessi legittimi della tua impresa/organizzazione superano i diritti dei candidati.

In ogni caso, dovrai informare i candidati che intendi conservare i loro dati e per quali scopi.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Sì, ma per farlo, dovrai prima determinare la base giuridica per il trattamento di questo tipo di dati personali. Ad esempio, il trattamento potrebbe essere considerato un interesse legittimo per la tua impresa/ organizzazione. Nel trattamento dei dati personali sulla base di un interesse legittimo, è sempre necessario effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi prevalgono sui diritti delle persone, in particolare se sono coinvolti bambini.

Un'altra possibile base giuridica per tale trattamento potrebbe essere il consenso. In ogni caso, gli individui devono essere sempre informati in anticipo se l'evento viene fotografato o filmato.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Quando vi sono due o più titolari del trattamento che determinano congiuntamente lo scopo e i mezzi del trattamento, sono considerati contitolari del trattamento. Decidono insieme di trattare i dati personali per uno scopo comune. Il controllo congiunto può assumere molte forme e la partecipazione dei diversi titolari del trattamento può essere diseguale. I contitolari del trattamento devono pertanto determinare le rispettive responsabilità per il rispetto del GDPR.

È importante notare che il controllo congiunto comporta la responsabilità congiunta di un'attività di trattamento.

• Esempio di controllo congiunto: Le aziende A e B hanno lanciato un prodotto co-branded e desiderano organizzare un evento per promuovere questo prodotto. A tal fine, decidono di condividere i dati dei rispettivi database clienti e potenziali clienti e, su questa base, decidono l'elenco degli invitati all'evento.Concordano inoltre sulle modalità di invio degli inviti, su come raccogliere feedback durante l'evento e sulle azioni di marketing di follow-up. Le società A e B possono essere considerate contitolari per il trattamento dei dati personali relativi all'organizzazione dell'evento promozionale in quanto decidono insieme in merito allo scopo definito congiuntamente e ai mezzi essenziali del trattamento dei dati in questo contesto.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento

Alcuni tipi di dati personali appartengono a categorie particolari di dati, il che significa che meritano maggiore protezione. Sono i cosiddetti dati particolari (sensibili). I dati sensibili includono dati che rivelano informazioni su:

• la salute di un individuo;
• l'orientamento sessuale di un individuo;
• l'origine razziale o etnica di un individuo;
• le opinioni politiche, le convinzioni religiose o filosofiche di un individuo; l'appartenenza sindacale di un individuo;
• dati biometrici e genetici di un individuo.

Il trattamento dei dati particolari di una persona è generalmente vietato, tranne in circostanze specifiche che ne giustifichino il trattamento.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Una valutazione d'impatto sulla protezione dei dati o DPIA è una valutazione scritta che l’impresa/organizzazione dovrebbe fare per valutare l'impatto di un'operazione di elaborazione dati pianificata.Ti aiuta a identificare le misure appropriate per affrontare i rischi e dimostrare la conformità.
Sebbene sia sempre preferibile anticipare l'impatto delle operazioni di trattamento pianificate effettuando la DPIA, è obbligatorio effettuare una DPIA quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone.
Nello specifico, quando il trattamento previsto comporta:

• il trattamento — su larga scala — di dati personali particolari (sensibili) o di dati relativi a condanne penali;
• una valutazione sistematica e approfondita degli aspetti personali di un individuo basata sul trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici sulla persona in questione o che incidono in modo analogo e significativo su altre persone;
• monitoraggio sistematico di un'area accessibile al pubblico su larga scala.

L'EDPB ha elaborato linee guida che elencano i criteri da prendere in considerazione per valutare se una DPIA è obbligatoria o meno. Le Autorità per la protezione dei dati hanno inoltre pubblicato elenchi di trattamenti che sono soggetti a una DPIA. Inoltre diverse Autorità hanno sviluppato guide, software o strumenti di autovalutazione per aiutarti nella tua analisi.

Per maggiori informazioni:

• Essere conformi
   

Il primo passo per installare una videocamera è quello di identificare lo scopo o gli scopi per farlo. Gli scopi per l'installazione di telecamere a circuito chiuso possono essere diversi, come, ad esempio, garantire la sicurezza dei locali, facilitare la prevenzione e la scoperta di furti e altri reati, e, per la natura del lavoro, proteggere la vita e la salute dei dipendenti. Come per qualsiasi trattamento di dati personali, la ripresa video delle persone fisiche deve avere una base giuridica ai sensi del GDPR. Il consenso può fornire una base giuridica per tale trattamento dei dati. Tuttavia, nella maggior parte dei casi, è improbabile che ciò si applichi all'uso delle telecamere, in quanto sarà difficile ottenere il libero consenso di tutti coloro che potrebbero essere ripresi. La base giuridica più comune per questo tipo di trattamento dei dati personali è l'interesse legittimo. Quando il trattamento si basa su un interesse legittimo, dovrai effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti dell'individuo.

È necessario informare le persone che si stanno riprendendo. Questo può essere fatto posizionando indicazioni di facile comprensione in posti visibili. Inoltre, a tutti gli ingressi dovrebbe essere collocato un cartello indicante lo scopo del sistema di telecamere a circuito chiuso e l'identità e i dati di contatto del titolare del trattamento.

Alle persone le cui immagini sono registrate da un sistema di telecamere a circuito chiuso dovrebbero essere fornite le seguenti informazioni:

• l'identità e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• la base giuridica del trattamento (se è legittimo interesse, le informazioni specifiche su quali interessi legittimi si fa riferimento per quello specifico trattamento e quale entità persegue ciascun interesse legittimo).
• i recapiti del responsabile della protezione dei dati, RDD/DPO (se esiste);
• i destinatari o le categorie di destinatari dei dati;
• le disposizioni di sicurezza per i filmati delle telecamere;
• il periodo di conservazione dei filmati delle telecamere;
• l'esistenza dei diritti delle persone fisiche ai sensi del GDPR e il diritto di presentare un reclamo all'Autorità nazionale per la protezione dei dati.
   

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
• Rispettare i diritti dei singoli
   

Gli RPD possono svolgere altri compiti all'interno dell'impresa/organizzazione, ma ciò non può comportare un conflitto di interessi. Ciò implica che il RPD non può avere una posizione in cui determina le finalità e i mezzi delle attività di trattamento. Le funzioni conflittuali comprendono principalmente le posizioni apicali (Amministratore Delegato, Direttore Generale, Direttore finanziario, Direttore Risorse Umane, Direttore IT, Consigliere delegato) ma possono anche coinvolgere altre funzioni se portano alla determinazione delle finalità e dei mezzi del trattamento.
L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:

• non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle sue funzioni;
• non può penalizzare o licenziare il Responsabile della protezione dei dati a causa dello svolgimento dei propri compiti.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati
   

Il GDPR prevede diritti specifici per le persone che devono essere rispettati. Puoi farlo tramite:

• informare gli individui i cui dati vengono trattati in merito alle operazioni di trattamento e alle finalità del trattamento quando raccogli i loro dati, ad esempio tramite un'informativa sulla privacy sul tuo sito web;
• rispondendo alle richieste delle persone di esercitare i loro diritti, come la richiesta di accesso, rettifica, opposizione, cancellazione o portabilità.

Le imprese/organizzazioni che sono trasparenti sul loro utilizzo dei dati personali e che rispettano i diritti delle persone hanno meno probabilità di essere oggetto di reclami.

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Una violazione di dati personali è una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l’accesso non autorizzati ai dati personali.

• Se la violazione dei dati rappresenta un rischio per le persone interessate, è necessario segnalarlo all'Autorità competente per la protezione dei dati entro 72 ore.
• Se la violazione rischia di comportare un rischio elevato per gli individui, sarà inoltre necessario comunicare tale violazione alle persone interessate senza indebito ritardo.

In ogni caso, per tutte le violazioni — anche quelle che non sono notificate a una Autorità — è necessario registrare almeno i dettagli di base della violazione, la sua valutazione, i suoi effetti e le misure adottate in risposta.

Per maggiori informazioni:

• Violazioni dei dati

Un contratto valido tra il titolare del trattamento e il responsabile del trattamento è obbligatorio ai sensi del GDPR. Un'infrazione può essere oggetto di una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2 % del fatturato annuo totale di una società, se superiore.

Per aiutarvi a stabilire un accordo tra titolare e responsabile del trattamento dei dati, le Autorità di protezione dei dati danesi e slovene, nonché la Commissione europea, hanno elaborato modelli di accordi.

Per maggiori informazioni:

• Il titolare del trattamento o il responsabile del trattamento