Data protection guide for small business logo
Close menu
Back to EDPB

Domande frequenti

Filter on
Filter on topic

Cos'è un'informativa sulla privacy?

In caso di raccolta diretta di dati personali presso le persone interessate, le imprese/organizzazioni devono fornire informazioni sulle operazioni di trattamento in modo conciso e trasparente, utilizzando un linguaggio comprensibile, facilmente accessibile, chiaro e semplice. Ciò può essere fatto per iscritto (ad esempio sul retro di un'offerta) o per via elettronica (ad esempio su un sito web). Se la persona interessata lo richiede, si può fornire queste informazioni anche a voce, ma si deve poter essere in grado di dimostrarlo in seguito.

Anche quando i dati sono stati raccolti indirettamente, vale a dire se non si raccolgono direttamente i dati personali da un individuo, ma ad esempio tramite una terza parte, è necessario fornire le stesse informazioni dettagliate alle persone fisiche.

Come posso rispondere a una richiesta di cancellazione?

Le persone fisiche hanno il diritto di richiedere la cancellazione dei dati personali che li riguardano e, in tal caso, il titolare del trattamento ha l'obbligo di cancellare i dati personali. È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e se è necessario più tempo per adempiere alla richiesta, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta.
È importante notare che il diritto alla cancellazione non è assoluto. Non si applica quando i dati in questione sono necessari per:

  • esercitare il diritto alla libertà di espressione e di informazione (ad esempio a fini giornalistici);
  • l'adempimento di un obbligo legale che richiede il trattamento di dati personali (ad esempio, l'elaborazione di registrazioni sull'orario di lavoro dei dipendenti);
  • motivi di interesse pubblico nel settore della sanità pubblica;
  • finalità di archiviazione nell'interesse pubblico o a fini di ricerca scientifica o storica o a fini statistici; e
  • l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Quando i dati personali, che devono essere cancellati, sono stati precedentemente trasferiti ad altri enti, è necessario informare questi destinatari che l'individuo ha richiesto la cancellazione, a meno che ciò non si riveli impossibile o richiederebbe sforzi sproporzionati.
 

Per maggiori informazioni:

Posso registrare conversazioni telefoniche con i clienti al fine di migliorare la qualità del servizio o ho bisogno del consenso per questo?

Sì, i clienti devono essere informati, quando effettuano una telefonata, degli scopi della registrazione, dei destinatari delle registrazioni, del loro diritto di opposizione e del loro diritto di accesso alle registrazioni.

Per maggiori informazioni:

Cosa significa trattamento dei dati personali?

Per trattamento di dati personali si intende qualsiasi tipo di attività (operazione di trattamento) svolta sui dati o con i dati personali delle persone fisiche. Ciò include la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'indagine, l'uso, la divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione di dati personali.

È possibile trattare i dati particolari (dati sensibili)?

No, il trattamento dei dati particolari (dati sensibili) è generalmente vietato, salvo in circostanze molto specifiche:

  • L'interessato ha dato il suo esplicito consenso al trattamento dei suoi dati particolari.
  • Il trattamento dei dati particolari è necessario affinché il titolare del trattamento adempia ai propri obblighi, in particolare nell'ambito dell'impiego e della previdenza sociale. Ad esempio, il titolare del trattamento potrebbe dover trattare i dati particolari di una persona per poter determinare se ha diritto a determinati benefits di previdenza sociale o di stipendio.
  • Il trattamento dei dati particolari è necessario per tutelare gli interessi vitali di un individuo nel caso in cui la persona non sia in grado fisicamente o legalmente di dare il proprio consenso. Ad esempio, se una persona rimane incosciente a seguito di un incidente e richiede cure mediche immediate, i suoi dati sanitari potrebbero aver bisogno di essere trattati per l'erogazione delle cure mediche appropriate.
  • Il trattamento dei dati particolari è effettuato nell'ambito delle legittime attività di una fondazione, associazione o altra organizzazione senza scopo di lucro con finalità politica, filosofica, religiosa o sindacale, e solo per il trattamento dei dati personali dei loro membri, ex membri o persone che hanno contatti regolari con essi.
  • I dati particolari sono stati manifestamente resi pubblici dall'individuo stesso.
  • Il trattamento dei dati particolari è necessario nell'ambito di procedimenti giudiziari.
  • Il trattamento dei dati particolari è necessario per questioni sostanziali di interesse pubblico.
  • Il trattamento dei dati particolari è necessario nel contesto della medicina preventiva o del lavoro. Ad esempio, la valutazione dei dati particolari di un individuo, come i suoi dati medici, può essere necessaria per determinare la sua capacità lavorativa come dipendente.
  • Il trattamento dei dati particolari è necessario per questioni di sanità pubblica sulla base del diritto dell'UE o nazionale. Ad esempio, il trattamento dei dati particolari delle persone può essere necessario per garantire un'alta qualità dell’assistenza sanitaria e un'alta qualità dei prodotti medici, o per combattere gravi minacce per la salute, come i virus.
  • Il trattamento dei dati particolari è necessario per questioni di conservazione nel pubblico interesse o per scopi di ricerca scientifica o storica, o a fini statistici. Ad esempio, il trattamento di dati particolari può essere necessario per fornire statistiche accurate sulla situazione di un paese in un determinato settore. 

Per maggiori informazioni:

Cosa posso fare nel caso in cui il responsabile del trattamento non desideri firmare un contratto con il titolare del trattamento?

Un contratto valido tra il titolare del trattamento e il responsabile del trattamento è obbligatorio ai sensi del GDPR. Un'infrazione può essere oggetto di una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2 % del fatturato annuo totale di una società, se superiore.

Per aiutarvi a stabilire un accordo tra titolare e responsabile del trattamento dei dati, le Autorità di protezione dei dati danesi e slovene, nonché la Commissione europea, hanno elaborato modelli di accordi.

Per maggiori informazioni:

Cosa devo fare quando qualcuno mi chiede come tratto i suoi dati?

Le persone fisiche possono chiederti se stai trattando i loro dati e, nel caso, hanno il diritto di accedere a tali dati. Quindi, quando ciò accade e se tratti i loro dati, dovresti, ad esempio, fornire una copia dei loro dati personali, gratuitamente, insieme a tutte le informazioni aggiuntive necessarie. Se una richiesta è effettuata elettronicamente, l'impresa/organizzazione deve fornire le informazioni richieste in un formato elettronico di uso comune, salvo diversa richiesta individuale.

Per maggiori informazioni:

In quanto tempo devo rispondere a una richiesta di accesso?

È necessario rispondere senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di altri due mesi se la richiesta è troppo complessa e è necessario più tempo per rispondere, a condizione che l'individuo ne sia informato entro un mese dal ricevimento della richiesta. 
Devi farlo gratuitamente.
 

Per maggiori informazioni:

Ho bisogno del consenso per poter utilizzare i cookie sul sito web della mia impresa?

Il GDPR si applica all'uso dei cookie quando questi vengono utilizzati per il trattamento dei dati personali, ma ci sono anche regole più specifiche per i cookie, inclusa la direttiva ePrivacy.

La memorizzazione di un cookie, o l'ottenimento dell'accesso a un cookie già memorizzato, nell'apparecchio di un utente è consentita solo a condizione che l'abbonato o l'utente interessato sia stato adeguatamente informato (in particolare sulle finalità del trattamento) e abbia dato il suo consenso.
L'unica eccezione sono i cookie tecnici necessari. Le imprese/organizzazioni non hanno bisogno di chiedere il consenso quando utilizzano i cookie tecnici necessari sui loro siti web.

Per maggiori informazioni:

Qual è la differenza tra dati pseudonimizzati e dati anonimizzati?

La pseudonimizzazione consiste nel trasformare i dati personali in modo che non possano più essere attribuiti a un individuo specifico senza l'uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative atte a garantire che i dati personali non siano attribuibili all'individuo. In pratica, può significare sostituire i dati personali (cognome, nome, codice fiscale, numero di telefono, ecc.) in un insieme di dati con identificativi indiretti (alias, numero sequenziale, ecc.). I dati pseudonimizzati sono ancora dati personali ed sono soggetti al GDPR.

I dati anonimizzati sono dati resi anonimi in modo tale che l'individuo non sia o non sia più identificabile con alcun mezzo che sia ragionevolmente probabile che venga utilizzato. Quando l'anonimizzazione è attuata correttamente, il GDPR non si applica più ai dati anonimizzati.

Per maggiori informazioni:

Chi è il titolare del trattamento e chi è il responsabile del trattamento?

Il GDPR distingue tra due ruoli principali: quelli del titolare del trattamento e del responsabile del trattamento. Questa distinzione è fondamentale in quanto il titolare del trattamento ha più responsabilità e deve adempiere a più obblighi rispetto al responsabile del trattamento.
I titolari del trattamento e i responsabili del trattamento possono essere persone fisiche o giuridiche, ad esempio: una PMI, un'autorità pubblica, un'impresa, un'organizzazione, un ente statale, un'associazione, ecc.
Un titolare del trattamento determina le finalità e i mezzi di un'operazione di trattamento dati. In altre parole, il titolare del trattamento decide come e perché di un'operazione di trattamento. Mentre i responsabili del trattamento trattano i dati personali per conto del titolare del trattamento. Il trattamento effettuato dai responsabili del trattamento deve essere regolato da un contratto con il titolare del trattamento o da un altro atto giuridico.

Esempi di titolari del trattamento:

  • aziende che trattano i dati personali dei propri clienti per completare una vendita;
  • istituti finanziari che trattano i dati personali dei loro clienti;
  • associazioni che trattano i dati dei propri soci;
  • scuole o università che trattano i dati personali di studenti e docenti;
  • ospedali che trattano i dati personali dei loro pazienti;
  • agenzie governative che trattano i dati personali dei cittadini.

Esempi di responsabili del trattamento:

  • una PMI assume un servizio di contabilità per conservare i propri libri e registri, la PMI è titolare del trattamento dei dati e il servizio di contabilità è un responsabile del trattamento dei dati;
  • una società di buste paga tratta i dati personali di una PMI. La società di buste paga agirà in qualità di responsabile del trattamento se tratta esclusivamente i dati personali per conto della PMI. La PMI determina le finalità e i mezzi del trattamento dei dati ed è pertanto titolare del trattamento.
  • una PMI commissiona a una società di marketing di raccogliere indirizzi e-mail tramite siti web di terze parti.  La società di marketing lo fa secondo le istruzioni esplicite della PMI e per scopi esclusivi della PMI. La società di marketing funge da responsabile del trattamento per questa raccolta.

Per maggiori informazioni:

Che cosa sono i dati particolari (sensibili)?

Alcuni tipi di dati personali appartengono a categorie particolari di dati, il che significa che meritano maggiore protezione. Sono i cosiddetti dati particolari (sensibili). I dati sensibili includono dati che rivelano informazioni su:

  • la salute di un individuo;
  • l'orientamento sessuale di un individuo;
  • l'origine razziale o etnica di un individuo;
  • le opinioni politiche, le convinzioni religiose o filosofiche di un individuo; l'appartenenza sindacale di un individuo;
  • dati biometrici e genetici di un individuo.

Il trattamento dei dati particolari di una persona è generalmente vietato, tranne in circostanze specifiche che ne giustifichino il trattamento.


Per maggiori informazioni:

Chi può svolgere il ruolo di Responsabile della protezione dei dati (RPD)?

Il RPD può essere un dipendente con sufficiente conoscenza del GDPR (se i compiti professionali del dipendente sono compatibili con quelli del RPD e questo non porta a conflitti di interesse) o una persona esterna. Il Responsabile della protezione dei dati dovrebbe essere in grado di svolgere i compiti in modo indipendente e dovrebbe essere in grado di riferire direttamente alla direzione più alta.

Per maggiori informazioni:

Che cosa sono i dati personali?

Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile. Un individuo identificabile è chiunque possa essere identificato, direttamente o indirettamente. Anche le diverse informazioni che sommate insieme potrebbero portare all'identificazione di una determinata persona costituiscono dati personali.
Esempi di dati personali includono:

  • nome e cognome;
  • un indirizzo di residenza;
  • un indirizzo e-mail;
  • un numero di carta d'identità;
  • dati relativi all'ubicazione;
  • un indirizzo IP (Internet Protocol);
  • un ID cookie;
  • conti bancari;
  • relazioni fiscali;
  • dati biometrici (come le impronte digitali);
  • un numero di previdenza sociale;
  • numero di passaporto;
  • risultati di esami/concorsi;
  • voti scolastici;
  • cronologia di navigazione;
  • fotografia individuale;
  • numero di immatricolazione del veicolo, ecc.

Per maggiori informazioni:

In qualità di titolare del trattamento ho raccolto i dati personali da terzi, cosa devo fare per essere conforme?

  1. Assicurarsi che i dati ricevuti siano stati raccolti legittimamente e che le persone interessate siano state informate del trattamento dei loro dati personali.
  2. Nel caso in cui una terza parte tratti dati personali per tuo conto, assicurati di avere un contratto con il responsabile del trattamento che dettagli le attività di trattamento ed i mezzi per trattare i dati personali.

E, naturalmente, rispettare tutti gli obblighi dei titolari del trattamento.

Per maggiori informazioni:

Come posso sapere quali misure di sicurezza devo adottare?

Le misure di sicurezza necessarie possono differire in base alla natura dei dati personali elaborati e ai rischi associati per le persone fisiche. In ogni caso, ci sono alcune misure minime che dovresti mettere in atto:

  • accesso sicuro ai locali;
  • utilizzare software antivirus aggiornati regolarmente;
  • scegliere con cura le tue password;
  • fare autenticare gli utenti prima di utilizzare le strutture informatiche;
  • disporre di una politica di backup e recupero dei dati in caso di incidente.

In aggiunta, alcune accortezze base, come bloccare lo schermo mentre si è via e chiudere l'ufficio alla fine della giornata, non sono mai fuori posto...

Per maggiori informazioni:

Posso pubblicare i nomi dei vincitori di un concorso sul sito web della mia organizzazione?

Pubblicare i nomi dei vincitori di un concorso sul tuo sito web potrebbe essere considerato un interesse legittimo, se puoi dimostrarlo effettuando un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti delle persone.

Una buona prassi consisterebbe nell'istituire una procedura interna in cui siano spiegate le norme sulla pubblicazione dei dati personali dei vincitori.

Inoltre, il trattamento dei dati personali per tali scopi dovrebbe far parte dell'informativa sulla privacy del concorso, in modo che i partecipanti siano informati in anticipo sulle modalità di trattamento dei loro dati.

Per maggiori informazioni:

Posso condividere un elenco di dati personali delle persone con i miei partner commerciali (terze parti)?

Sì, è possibile, ma il GDPR impone determinati obblighi alle aziende che condividono i dati personali. La tua impresa deve informare le persone che condividerai i loro dati con una terza parte. Devi inoltre informarli dei tuoi scopi, della sicurezza, dell'accesso e delle misure di conservazione che si applicheranno.

Devo nominare un responsabile della protezione dei dati (RDP)?

La nomina di un responsabile della protezione dei dati è obbligatoria nei seguenti tre casi:

  • l'ente è un'autorità pubblica;
  • le attività principali dell'ente consistono nel monitoraggio regolare e sistematico delle persone su larga scala, ad esempio la geolocalizzazione tramite un'applicazione mobile, o nella sorveglianza dei centri commerciali e degli spazi pubblici attraverso le telecamere;
  • le attività principali dell'ente consistono nel trattamento su vasta scala di dati particolari o di dati personali relativi a condanne penali e reati.

È sempre possibile nominare un RPD su base volontaria, anche se ciò non è richiesto dalla legge. Si prega di notare che in tal caso, è necessario rispettare tutte le disposizioni del GDPR relative ai compiti e alla posizione del responsabile della protezione dei dati.

Per maggiori informazioni:

Sono tenuto a rendere pubblico il mio registro del trattamento?

No, non è necessario rendere pubblico il tuo registro del trattamento. Tuttavia, su richiesta, è necessario essere in grado di mettere il registro a disposizione dell'Autorità per la protezione dei dati.

Per maggiori informazioni: