Le persone fisiche hanno il diritto di richiedere la cancellazione dei dati personali che li riguardano e, in tal caso, il titolare del trattamento ha l'obbligo di cancellare i dati personali. È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e se è necessario più tempo per adempiere alla richiesta, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta.
È importante notare che il diritto alla cancellazione non è assoluto. Non si applica quando i dati in questione sono necessari per:

• esercitare il diritto alla libertà di espressione e di informazione (ad esempio a fini giornalistici);
• l'adempimento di un obbligo legale che richiede il trattamento di dati personali (ad esempio, l'elaborazione di registrazioni sull'orario di lavoro dei dipendenti);
• motivi di interesse pubblico nel settore della sanità pubblica;
• finalità di archiviazione nell'interesse pubblico o a fini di ricerca scientifica o storica o a fini statistici; e
• l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Quando i dati personali, che devono essere cancellati, sono stati precedentemente trasferiti ad altri enti, è necessario informare questi destinatari che l'individuo ha richiesto la cancellazione, a meno che ciò non si riveli impossibile o richiederebbe sforzi sproporzionati.
 

Per maggiori informazioni:

• Rispettare i diritti dei singoli

Una violazione di dati personali è una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l’accesso non autorizzati ai dati personali.

• Se la violazione dei dati rappresenta un rischio per le persone interessate, è necessario segnalarlo all'Autorità competente per la protezione dei dati entro 72 ore.
• Se la violazione rischia di comportare un rischio elevato per gli individui, sarà inoltre necessario comunicare tale violazione alle persone interessate senza indebito ritardo.

In ogni caso, per tutte le violazioni — anche quelle che non sono notificate a una Autorità — è necessario registrare almeno i dettagli di base della violazione, la sua valutazione, i suoi effetti e le misure adottate in risposta.

Per maggiori informazioni:

• Violazioni dei dati

Le persone fisiche possono chiederti se stai trattando i loro dati e, nel caso, hanno il diritto di accedere a tali dati. Quindi, quando ciò accade e se tratti i loro dati, dovresti, ad esempio, fornire una copia dei loro dati personali, gratuitamente, insieme a tutte le informazioni aggiuntive necessarie. Se una richiesta è effettuata elettronicamente, l'impresa/organizzazione deve fornire le informazioni richieste in un formato elettronico di uso comune, salvo diversa richiesta individuale.

Per maggiori informazioni:

• Rispettare i diritti dei singoli

No, il trattamento dei dati particolari (dati sensibili) è generalmente vietato, salvo in circostanze molto specifiche:

• L'interessato ha dato il suo esplicito consenso al trattamento dei suoi dati particolari.
• Il trattamento dei dati particolari è necessario affinché il titolare del trattamento adempia ai propri obblighi, in particolare nell'ambito dell'impiego e della previdenza sociale. Ad esempio, il titolare del trattamento potrebbe dover trattare i dati particolari di una persona per poter determinare se ha diritto a determinati benefits di previdenza sociale o di stipendio.
• Il trattamento dei dati particolari è necessario per tutelare gli interessi vitali di un individuo nel caso in cui la persona non sia in grado fisicamente o legalmente di dare il proprio consenso. Ad esempio, se una persona rimane incosciente a seguito di un incidente e richiede cure mediche immediate, i suoi dati sanitari potrebbero aver bisogno di essere trattati per l'erogazione delle cure mediche appropriate.
• Il trattamento dei dati particolari è effettuato nell'ambito delle legittime attività di una fondazione, associazione o altra organizzazione senza scopo di lucro con finalità politica, filosofica, religiosa o sindacale, e solo per il trattamento dei dati personali dei loro membri, ex membri o persone che hanno contatti regolari con essi.
• I dati particolari sono stati manifestamente resi pubblici dall'individuo stesso.
• Il trattamento dei dati particolari è necessario nell'ambito di procedimenti giudiziari.
• Il trattamento dei dati particolari è necessario per questioni sostanziali di interesse pubblico.
• Il trattamento dei dati particolari è necessario nel contesto della medicina preventiva o del lavoro. Ad esempio, la valutazione dei dati particolari di un individuo, come i suoi dati medici, può essere necessaria per determinare la sua capacità lavorativa come dipendente.
• Il trattamento dei dati particolari è necessario per questioni di sanità pubblica sulla base del diritto dell'UE o nazionale. Ad esempio, il trattamento dei dati particolari delle persone può essere necessario per garantire un'alta qualità dell’assistenza sanitaria e un'alta qualità dei prodotti medici, o per combattere gravi minacce per la salute, come i virus.
• Il trattamento dei dati particolari è necessario per questioni di conservazione nel pubblico interesse o per scopi di ricerca scientifica o storica, o a fini statistici. Ad esempio, il trattamento di dati particolari può essere necessario per fornire statistiche accurate sulla situazione di un paese in un determinato settore. 

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Il RPD non può essere ritenuto responsabile per il mancato rispetto del GDPR. Il rispetto del GDPR è responsabilità dell'impresa/organizzazione che ha nominato il RPD.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati
   

È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e è necessario più tempo per rispondere, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta. 
Devi farlo gratuitamente.
 

Per maggiori informazioni:

• Rispettare i diritti dei singoli
   

Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario. 

Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.

Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Non è possibile conservare i dati personali per sempre.
Di norma, i dati personali possono essere conservati solo per il tempo necessario alle finalità per le quali sono trattati.

In alcuni casi, il periodo di conservazione può essere determinato da leggi specifiche, ad esempio, le norme sul lavoro stabiliscono il periodo di conservazione per gli elenchi delle buste paga.

Le imprese/organizzazioni dovrebbero mettere in atto politiche di conservazione dei dati per assicurarsi che i dati personali non siano conservati più a lungo del necessario. I dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che questi dati non sono più necessari per lo scopo per il quale sono stati trattati. 

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Il trattamento dei dati personali è consentito se esiste una base giuridica. Oltre al consenso libero, specifico, informato e inequivocabile, possono essere utilizzate altre basi giuridiche per il trattamento.

In altre parole, il consenso è necessario quando non si applica nessuna delle altre basi giuridiche.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Il GDPR dà alle persone il controllo sul trattamento dei loro dati personali. A tal fine, la trasparenza è fondamentale. Ciò significa che devi informare le persone di cui tratti i dati sulle tue operazioni di trattamento e sulle finalità. In altre parole, devi spiegare chi elabora i loro dati, ma anche come e perché. Solo se l'uso dei dati personali è "trasparente" per le persone interessate, quest’ultime possono valutare i possibili rischi e prendere decisioni in merito ai loro dati personali.

Ai sensi del GDPR, sei tenuto a condividere le seguenti informazioni con le persone fisiche:

• l'identità e i dati di contatto del titolare del trattamento;
• le finalità del trattamento;
• la base giuridica del trattamento (se legittimo interesse, le informazioni specifiche a cui gli interessi legittimi fanno riferimento riguardo ad un particolare trattamento e sul quale l’ente/impresa persegue ciascun interesse legittimo);
• i dati di contatto del responsabile del trattamento;
• i recapiti dell'RPD (se esiste un RPD);
• i destinatari o le categorie di destinatari dei dati;
• informazioni sull'eventuale trasferimento dei dati al di fuori dello Spazio economico europeo (SEE) (dove applicabile: l'esistenza o meno di una decisione di adeguatezza o di un riferimento sulle garanzie adeguate e il modo in cui tali informazioni possono essere messe a disposizione degli interessati;
• le categorie di dati personali trattati, quando i dati non sono ottenuti dall'interessato.

Inoltre, il GDPR richiede all'imresa/organizzazione di fornire le seguenti informazioni per garantire un trattamento equo e trasparente:

• il periodo di conservazione o, ove ciò non sia possibile, i criteri utilizzati per determinare tale periodo;
• il diritto di richiedere l'accesso, la cancellazione, la rettifica, la limitazione, l'obiezione e la portabilità dei dati personali;
• il diritto di presentare un reclamo a un'Autorità per la protezione dei dati;
• se la base giuridica del trattamento è il consenso: il diritto di revocare il consenso in qualsiasi momento;
• nel caso di processi decisionali automatizzati, le informazioni pertinenti sulla logica seguita e sulle conseguenze previste del trattamento per l'interessato;
• la fonte dei dati personali (se non si sono ricevuti direttamente dall'interessato;
• se l'individuo è tenuto a fornire i dati personali (per legge o per contratto o per stipulare un contratto) e quali sono le conseguenze del rifiuto di fornire i dati.

Per maggiori informazioni:

• Rispettare i diritti dei singoli