Frequently Asked Questions
Se voglio conservare i Curricula vitae dei candidati per le future procedure di assunzione, devo chiedere il consenso dei candidati?
Il consenso potrebbe effettivamente costituire una valida base giuridica per la conservazione dei CV dei candidati. Un'altra possibile base giuridica potrebbe essere l'interesse legittimo. In tal caso, si dovrebbe effettuare un test di bilanciamento degli interessi per dimostrare che gli interessi legittimi della tua impresa/organizzazione superano i diritti dei candidati.
In ogni caso, dovrai informare i candidati che intendi conservare i loro dati e per quali scopi.
Per maggiori informazioni:
Sto organizzando un evento nell'ambito delle mie attività commerciali, posso fare foto e video dell'evento e delle persone che partecipano?
Sì, ma per farlo, dovrai prima determinare la base giuridica per il trattamento di questo tipo di dati personali. Ad esempio, il trattamento potrebbe essere considerato un interesse legittimo per la tua impresa/ organizzazione. Nel trattamento dei dati personali sulla base di un interesse legittimo, è sempre necessario effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi prevalgono sui diritti delle persone, in particolare se sono coinvolti bambini.
Un'altra possibile base giuridica per tale trattamento potrebbe essere il consenso. In ogni caso, gli individui devono essere sempre informati in anticipo se l'evento viene fotografato o filmato.
Per maggiori informazioni:
Che cosa costituisce un conflitto di interessi per un Responsabile della protezione dei dati (RPD)?
Gli RPD possono svolgere altri compiti all'interno dell'impresa/organizzazione, ma ciò non può comportare un conflitto di interessi. Ciò implica che il RPD non può avere una posizione in cui determina le finalità e i mezzi delle attività di trattamento. Le funzioni conflittuali comprendono principalmente le posizioni apicali (Amministratore Delegato, Direttore Generale, Direttore finanziario, Direttore Risorse Umane, Direttore IT, Consigliere delegato) ma possono anche coinvolgere altre funzioni se portano alla determinazione delle finalità e dei mezzi del trattamento.
L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:
- non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle sue funzioni;
- non può penalizzare o licenziare il Responsabile della protezione dei dati a causa dello svolgimento dei propri compiti.
Per maggiori informazioni:
Come posso rispettare i diritti alla protezione dei dati degli individui?
Il GDPR prevede diritti specifici per le persone che devono essere rispettati. Puoi farlo tramite:
- informare gli individui i cui dati vengono trattati in merito alle operazioni di trattamento e alle finalità del trattamento quando raccogli i loro dati, ad esempio tramite un'informativa sulla privacy sul tuo sito web;
- rispondendo alle richieste delle persone di esercitare i loro diritti, come la richiesta di accesso, rettifica, opposizione, cancellazione o portabilità.
Le imprese/organizzazioni che sono trasparenti sul loro utilizzo dei dati personali e che rispettano i diritti delle persone hanno meno probabilità di essere oggetto di reclami.
Per maggiori informazioni:
Cosa devo fare in caso di violazione dei dati?
Una violazione di dati personali è una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l’accesso non autorizzati ai dati personali.
- Se la violazione dei dati rappresenta un rischio per le persone interessate, è necessario segnalarlo all'Autorità competente per la protezione dei dati entro 72 ore.
- Se la violazione rischia di comportare un rischio elevato per gli individui, sarà inoltre necessario comunicare tale violazione alle persone interessate senza indebito ritardo.
In ogni caso, per tutte le violazioni — anche quelle che non sono notificate a una Autorità — è necessario registrare almeno i dettagli di base della violazione, la sua valutazione, i suoi effetti e le misure adottate in risposta.
Per maggiori informazioni:
Per quanto tempo posso conservare i dati personali?
Non è possibile conservare i dati personali per sempre.
Di norma, i dati personali possono essere conservati solo per il tempo necessario alle finalità per le quali sono trattati.
In alcuni casi, il periodo di conservazione può essere determinato da leggi specifiche, ad esempio, le norme sul lavoro stabiliscono il periodo di conservazione per gli elenchi delle buste paga.
Le imprese/organizzazioni dovrebbero mettere in atto politiche di conservazione dei dati per assicurarsi che i dati personali non siano conservati più a lungo del necessario. I dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che questi dati non sono più necessari per lo scopo per il quale sono stati trattati.
Per maggiori informazioni:
Come posso ottenere un consenso valido?
Affinché il consenso sia considerato valido, esso deve essere:
- dato liberamente;
- specifico;
- informato; e
- inequivocabile.
Ciò significa che le persone devono avere una reale libertà di scelta in merito all'accettazione o meno del trattamento dei propri dati personali; hanno bisogno di informazioni sufficienti per capire quali dati sono trattati, per quale scopo e come viene fatto; hanno anche bisogno di una sufficiente granularità nelle richieste di consenso.
Inoltre, ci dovrebbe essere una chiara azione affermativa da parte dell'individuo (senza caselle già preselezionate e fatta separatamente dalle condizioni generali applicabili).
Inoltre, gli individui devono essere in grado di revocare liberamente il loro consenso (senza conseguenze negative) se cambiano idea in seguito.
Per maggiori informazioni:
Quando condividere queste informazioni?
Se la tua impresa/organizzazione sta raccogliendo i dati personali direttamente dalle persone fisiche, deve fornire le informazioni necessarie al momento della raccolta.
In caso di raccolta indiretta di dati personali, l'impresa/organizzazione deve fornire le informazioni al più tardi entro un mese dalla data in cui i dati personali sono stati inizialmente ottenuti. Questo periodo massimo di un mese può essere ridotto:
- se i dati personali vengono utilizzati ai fini della comunicazione con l'interessato. In tal caso si deve informare l'interessato al più tardi al momento della prima comunicazione;
- se i dati vengono trasmessi a un altro destinatario, l'impresa/organizzazione ne informa gli interessati al più tardi al momento del trasferimento dei dati personali.
Per maggiori informazioni:
Come posso sapere quali misure di sicurezza devo adottare?
Le misure di sicurezza necessarie possono differire in base alla natura dei dati personali elaborati e ai rischi associati per le persone fisiche. In ogni caso, ci sono alcune misure minime che dovresti mettere in atto:
- accesso sicuro ai locali;
- utilizzare software antivirus aggiornati regolarmente;
- scegliere con cura le tue password;
- fare autenticare gli utenti prima di utilizzare le strutture informatiche;
- disporre di una politica di backup e recupero dei dati in caso di incidente.
In aggiunta, alcune accortezze base, come bloccare lo schermo mentre si è via e chiudere l'ufficio alla fine della giornata, non sono mai fuori posto...
Per maggiori informazioni:
In qualità di titolare del trattamento ho raccolto i dati personali da terzi, cosa devo fare per essere conforme?
- Assicurarsi che i dati ricevuti siano stati raccolti legittimamente e che le persone interessate siano state informate del trattamento dei loro dati personali.
- Nel caso in cui una terza parte tratti dati personali per tuo conto, assicurati di avere un contratto con il responsabile del trattamento che dettagli le attività di trattamento ed i mezzi per trattare i dati personali.
E, naturalmente, rispettare tutti gli obblighi dei titolari del trattamento.
Per maggiori informazioni: