La nomina di un responsabile della protezione dei dati è obbligatoria nei seguenti tre casi:

• l'ente è un'autorità pubblica;
• le attività principali dell'ente consistono nel monitoraggio regolare e sistematico delle persone su larga scala, ad esempio la geolocalizzazione tramite un'applicazione mobile, o nella sorveglianza dei centri commerciali e degli spazi pubblici attraverso le telecamere;
• le attività principali dell'ente consistono nel trattamento su vasta scala di dati particolari o di dati personali relativi a condanne penali e reati.

È sempre possibile nominare un RPD su base volontaria, anche se ciò non è richiesto dalla legge. Si prega di notare che in tal caso, è necessario rispettare tutte le disposizioni del GDPR relative ai compiti e alla posizione del responsabile della protezione dei dati.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e è necessario più tempo per rispondere, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta. 
Devi farlo gratuitamente.
 

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Se la tua impresa/organizzazione sta raccogliendo i dati personali direttamente dalle persone fisiche, deve fornire le informazioni necessarie al momento della raccolta.

In caso di raccolta indiretta di dati personali, l'impresa/organizzazione deve fornire le informazioni al più tardi entro un mese dalla data in cui i dati personali sono stati inizialmente ottenuti. Questo periodo massimo di un mese può essere ridotto:

• se i dati personali vengono utilizzati ai fini della comunicazione con l'interessato. In tal caso si deve informare l'interessato al più tardi al momento della prima comunicazione;
• se i dati vengono trasmessi a un altro destinatario, l'impresa/organizzazione ne informa gli interessati al più tardi al momento del trasferimento dei dati personali. 

Per maggiori informazioni:

• Rispettare i diritti dei singoli

Il RPD può essere un dipendente con sufficiente conoscenza del GDPR (se i compiti professionali del dipendente sono compatibili con quelli del RPD e questo non porta a conflitti di interesse) o una persona esterna. Il Responsabile della protezione dei dati dovrebbe essere in grado di svolgere i compiti in modo indipendente e dovrebbe essere in grado di riferire direttamente alla direzione più alta.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

Le misure di sicurezza necessarie possono differire in base alla natura dei dati personali elaborati e ai rischi associati per le persone fisiche. In ogni caso, ci sono alcune misure minime che dovresti mettere in atto:

• accesso sicuro ai locali;
• utilizzare software antivirus aggiornati regolarmente;
• scegliere con cura le tue password;
• fare autenticare gli utenti prima di utilizzare le strutture informatiche;
• disporre di una politica di backup e recupero dei dati in caso di incidente.

In aggiunta, alcune accortezze base, come bloccare lo schermo mentre si è via e chiudere l'ufficio alla fine della giornata, non sono mai fuori posto...

Per maggiori informazioni:

• Dati personali sicuri
   

1. Assicurarsi che i dati ricevuti siano stati raccolti legittimamente e che le persone interessate siano state informate del trattamento dei loro dati personali.
2. Nel caso in cui una terza parte tratti dati personali per tuo conto, assicurati di avere un contratto con il responsabile del trattamento che dettagli le attività di trattamento ed i mezzi per trattare i dati personali.

E, naturalmente, rispettare tutti gli obblighi dei titolari del trattamento.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento
   

Pubblicare i nomi dei vincitori di un concorso sul tuo sito web potrebbe essere considerato un interesse legittimo, se puoi dimostrarlo effettuando un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti delle persone.

Una buona prassi consisterebbe nell'istituire una procedura interna in cui siano spiegate le norme sulla pubblicazione dei dati personali dei vincitori.

Inoltre, il trattamento dei dati personali per tali scopi dovrebbe far parte dell'informativa sulla privacy del concorso, in modo che i partecipanti siano informati in anticipo sulle modalità di trattamento dei loro dati.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

Il compito del responsabile della protezione dei dati comprende, tra l'altro:

• informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
• monitorare la conformità alla protezione dei dati;
• fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
• fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
• fungere da punto di contatto per le persone.

Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

Gli RPD possono svolgere altri compiti all'interno dell'impresa/organizzazione, ma ciò non può comportare un conflitto di interessi. Ciò implica che il RPD non può avere una posizione in cui determina le finalità e i mezzi delle attività di trattamento. Le funzioni conflittuali comprendono principalmente le posizioni apicali (Amministratore Delegato, Direttore Generale, Direttore finanziario, Direttore Risorse Umane, Direttore IT, Consigliere delegato) ma possono anche coinvolgere altre funzioni se portano alla determinazione delle finalità e dei mezzi del trattamento.
L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:

• non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle sue funzioni;
• non può penalizzare o licenziare il Responsabile della protezione dei dati a causa dello svolgimento dei propri compiti.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati
   

Affinché il consenso sia considerato valido, esso deve essere:

• dato liberamente;
• specifico;
• informato; e
• inequivocabile.

Ciò significa che le persone devono avere una reale libertà di scelta in merito all'accettazione o meno del trattamento dei propri dati personali; hanno bisogno di informazioni sufficienti per capire quali dati sono trattati, per quale scopo e come viene fatto; hanno anche bisogno di una sufficiente granularità nelle richieste di consenso.

Inoltre, ci dovrebbe essere una chiara azione affermativa da parte dell'individuo (senza caselle già preselezionate e fatta separatamente dalle condizioni generali applicabili).

Inoltre, gli individui devono essere in grado di revocare liberamente il loro consenso (senza conseguenze negative) se cambiano idea in seguito.
 

Per maggiori informazioni:

• Trattare i dati personali in modo lecito