Data protection guide for small business logo
Close menu
Back to EDPB

Domande frequenti

Filter on
Filter on topic

Come posso ottenere un consenso valido?

Affinché il consenso sia considerato valido, esso deve essere:

  • dato liberamente;
  • specifico;
  • informato; e
  • inequivocabile.

Ciò significa che le persone devono avere una reale libertà di scelta in merito all'accettazione o meno del trattamento dei propri dati personali; hanno bisogno di informazioni sufficienti per capire quali dati sono trattati, per quale scopo e come viene fatto; hanno anche bisogno di una sufficiente granularità nelle richieste di consenso.

Inoltre, ci dovrebbe essere una chiara azione affermativa da parte dell'individuo (senza caselle già preselezionate e fatta separatamente dalle condizioni generali applicabili).

Inoltre, gli individui devono essere in grado di revocare liberamente il loro consenso (senza conseguenze negative) se cambiano idea in seguito.
 

Per maggiori informazioni:

Quando condividere queste informazioni?

Se la tua impresa/organizzazione sta raccogliendo i dati personali direttamente dalle persone fisiche, deve fornire le informazioni necessarie al momento della raccolta.

In caso di raccolta indiretta di dati personali, l'impresa/organizzazione deve fornire le informazioni al più tardi entro un mese dalla data in cui i dati personali sono stati inizialmente ottenuti. Questo periodo massimo di un mese può essere ridotto:

  • se i dati personali vengono utilizzati ai fini della comunicazione con l'interessato. In tal caso si deve informare l'interessato al più tardi al momento della prima comunicazione;
  • se i dati vengono trasmessi a un altro destinatario, l'impresa/organizzazione ne informa gli interessati al più tardi al momento del trasferimento dei dati personali. 

Per maggiori informazioni:

La mia impresa/organizzazione deve rispettare il GDPR?

Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario. 

Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.

Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.

Per maggiori informazioni:

Quali sono i compiti del Responsabile della protezione dei dati (RPD)?

Il compito del responsabile della protezione dei dati comprende, tra l'altro:

  • informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
  • monitorare la conformità alla protezione dei dati;
  • fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
  • fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
  • fungere da punto di contatto per le persone.

Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.

Per maggiori informazioni:

Quali sono le mie responsabilità ai sensi del GDPR?

Il GDPR impone obblighi a tutte gli enti che trattano dati personali, indipendentemente dal fatto che siano titolari del trattamento o responsabili del trattamento dei dati.
In particolare, si deve:

  • Chiedersi se lo scopo per il quale i dati personali possono essere raccolti è giustificato e raccogliere solo i dati personali necessari per le finalità specifiche previste;
  • tenere i dati personali delle persone fisiche accurati e aggiornati e cancellarli quando non sono più necessari;
  • rispettare i diritti delle persone informandole su come e perché i loro dati sono trattati e consentendo loro di esercitare i loro diritti;
  • verificare se si dispone di una base giuridica adeguata per il trattamento dei dati personali. Nel caso in cui si intenda fare affidamento sul consenso delle persone fisiche, chiedere il loro consenso prima del trattamento dei loro dati personali;
  • assicurarsi che i dati personali delle persone siano trattati in modo sicuro;
  • mantenere un registro delle operazioni di trattamento.

I responsabili del trattamento dovranno attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento e non dovranno trattare i dati se non secondo le istruzioni del titolare del trattamento.

Per maggiori informazioni:

Quali sono i principi fondamentali del trattamento ai sensi del GDPR?

  • Qualsiasi trattamento di dati personali deve essere lecito, corretto e trasparente.
  • Raccogliere dati personali solo per finalità determinate, esplicite e legittime. Il trattamento dei dati di una persona deve essere strettamente limitato alle finalità inizialmente stabilite e quindi non per scopi successivi o per altre finalità incompatibili con le finalità iniziali.
  • Trattare solo i dati personali necessari e proporzionati allo scopo previsto.
  • Tutti i dati personali trattati devono essere esatti e aggiornati. I dati personali inesatti devono essere rettificati o cancellati.
  • La conservazione dei dati personali delle persone fisiche deve essere limitata nel tempo, alla luce dello scopo per il quale tali dati sono stati raccolti e trattati. Pertanto, i dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che tali dati non si rendano più necessari.
  • Il trattamento dei dati delle persone fisiche deve essere effettuato in modo sicuro. In tal senso, è necessario istituire solidi controlli di cyber sicurezza per garantire che i dati delle persone siano adeguatamente protetti.

Infine, il titolare è tenuto a rendere conto. Ciò significa che è responsabile e deve essere in grado di dimostrare il rispetto dei principi di cui sopra.

Per maggiori informazioni:

Per quanto tempo posso conservare i dati personali?

Non è possibile conservare i dati personali per sempre.
Di norma, i dati personali possono essere conservati solo per il tempo necessario alle finalità per le quali sono trattati.

In alcuni casi, il periodo di conservazione può essere determinato da leggi specifiche, ad esempio, le norme sul lavoro stabiliscono il periodo di conservazione per gli elenchi delle buste paga.

Le imprese/organizzazioni dovrebbero mettere in atto politiche di conservazione dei dati per assicurarsi che i dati personali non siano conservati più a lungo del necessario. I dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che questi dati non sono più necessari per lo scopo per il quale sono stati trattati. 

Per maggiori informazioni:

Ho bisogno di un registro di trattamento?

In generale, ogni organizzazione dovrebbe tenere un registro delle proprie attività di trattamento. Questo è un inventario di tutte le operazioni di trattamento e può aiutarti a formulare ipotesi corrette sulle tue responsabilità ai sensi del GDPR e sui possibili rischi.
Ciascuna di queste operazioni di trattamento deve essere descritta nel registro con le seguenti informazioni:

  • lo scopo del trattamento (ad es. fidelizzazione del cliente);
  • le categorie dei dati trattati (ad esempio, per le buste paga: cognome, nome, data di nascita, stipendio, ecc.);
  • chi ha accesso ai dati (i destinatari — ad esempio: il dipartimento incaricato del reclutamento, il servizio informatico, il management, il  gestore dei fornitori di servizi, i soci...);
  • se applicabile, le informazioni relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE);
  • ove possibile, il periodo di conservazione dei dati (il periodo per il quale i dati sono utili dal punto di vista operativo e della necessità di archiviazione);
  • ove possibile, una descrizione generale delle misure di sicurezza.

La registrazione delle attività di trattamento rientra sotto la responsabilità del responsabile dell'organizzazione.
Tale registrazione deve essere a disposizione dell'Autorità per la protezione dei dati del paese SEE in cui opera, se richiesto.

Non è necessario per le imprese/organizzazioni che impiegano meno di 250 persone menzionare attività puramente occasionali nei loro registri (ad esempio, i dati elaborati per eventi una tantum come l'apertura di un negozio).

Per maggiori informazioni:

Che cosa costituisce un conflitto di interessi per un Responsabile della protezione dei dati (RPD)?

Gli RPD possono svolgere altri compiti all'interno dell'impresa/organizzazione, ma ciò non può comportare un conflitto di interessi. Ciò implica che il RPD non può avere una posizione in cui determina le finalità e i mezzi delle attività di trattamento. Le funzioni conflittuali comprendono principalmente le posizioni apicali (Amministratore Delegato, Direttore Generale, Direttore finanziario, Direttore Risorse Umane, Direttore IT, Consigliere delegato) ma possono anche coinvolgere altre funzioni se portano alla determinazione delle finalità e dei mezzi del trattamento.
L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:

  • non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle sue funzioni;
  • non può penalizzare o licenziare il Responsabile della protezione dei dati a causa dello svolgimento dei propri compiti.

Per maggiori informazioni:

Cosa devo fare in caso di violazione dei dati?

Una violazione di dati personali è una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l’accesso non autorizzati ai dati personali.

  • Se la violazione dei dati rappresenta un rischio per le persone interessate, è necessario segnalarlo all'Autorità competente per la protezione dei dati entro 72 ore.
  • Se la violazione rischia di comportare un rischio elevato per gli individui, sarà inoltre necessario comunicare tale violazione alle persone interessate senza indebito ritardo.

In ogni caso, per tutte le violazioni — anche quelle che non sono notificate a una Autorità — è necessario registrare almeno i dettagli di base della violazione, la sua valutazione, i suoi effetti e le misure adottate in risposta.

Per maggiori informazioni:

Come posso rispettare i diritti alla protezione dei dati degli individui?

Il GDPR prevede diritti specifici per le persone che devono essere rispettati. Puoi farlo tramite:

  • informare gli individui i cui dati vengono trattati in merito alle operazioni di trattamento e alle finalità del trattamento quando raccogli i loro dati, ad esempio tramite un'informativa sulla privacy sul tuo sito web;
  • rispondendo alle richieste delle persone di esercitare i loro diritti, come la richiesta di accesso, rettifica, opposizione, cancellazione o portabilità.

Le imprese/organizzazioni che sono trasparenti sul loro utilizzo dei dati personali e che rispettano i diritti delle persone hanno meno probabilità di essere oggetto di reclami.

Per maggiori informazioni:

Come posso tenere il passo con il lavoro dell'EDPB?

L'EDPB pubblica regolarmente comunicati stampa, notizie, blog e altri contenuti sul sito web EDPB e sui suoi canali social (Twitter: @EU_EDPB; LinkedIn: Comitato europeo per la protezione dei dati) per tenere aggiornati sulle sue attività la community protezione dati e il pubblico in generale. Il sito web dell'EDPB dispone anche di due feed RSS, ai quali è possibile abbonarsi per aggiornamenti automatici di notizie sull’EDPB e delle ultime pubblicazioni dell'EDPB.

Cos'è il GDPR?

Il GDPR o Regolamento generale sulla protezione dei dati, stabilisce un insieme armonizzato di norme applicabili a tutti i trattamenti di dati personali da parte di organizzazioni (pubbliche o private, indipendentemente dalle loro dimensioni) situate nello Spazio economico europeo (SEE) o che si rivolgono a persone nell'UE. L'obiettivo principale del GDPR è garantire che i dati personali godano dello stesso elevato standard di protezione ovunque nel SEE, aumentando la certezza del diritto sia per le persone fisiche che per le organizzazioni che trattano i dati, offrendo un elevato grado di protezione alle persone fisiche.

Il regolamento è entrato in vigore il 24 maggio 2016 e si applica dal 25 maggio 2018.
 

Il GDPR si applica anche ai documenti cartacei?

Sì, il GDPR si applica se i dati personali sono contenuti o sono destinati a essere contenuti in un sistema di archiviazione. Ciò significa che il GDPR si applica anche ai registri cartacei e non solo al trattamento automatizzato dei dati personali.

Per maggiori informazioni:

Che cosa è un titolare congiunto?

Quando vi sono due o più titolari del trattamento che determinano congiuntamente lo scopo e i mezzi del trattamento, sono considerati contitolari del trattamento. Decidono insieme di trattare i dati personali per uno scopo comune. Il controllo congiunto può assumere molte forme e la partecipazione dei diversi titolari del trattamento può essere diseguale. I contitolari del trattamento devono pertanto determinare le rispettive responsabilità per il rispetto del GDPR.

È importante notare che il controllo congiunto comporta la responsabilità congiunta di un'attività di trattamento.

  • Esempio di controllo congiunto: Le aziende A e B hanno lanciato un prodotto co-branded e desiderano organizzare un evento per promuovere questo prodotto. A tal fine, decidono di condividere i dati dei rispettivi database clienti e potenziali clienti e, su questa base, decidono l'elenco degli invitati all'evento.Concordano inoltre sulle modalità di invio degli inviti, su come raccogliere feedback durante l'evento e sulle azioni di marketing di follow-up. Le società A e B possono essere considerate contitolari per il trattamento dei dati personali relativi all'organizzazione dell'evento promozionale in quanto decidono insieme in merito allo scopo definito congiuntamente e ai mezzi essenziali del trattamento dei dati in questo contesto.

Per maggiori informazioni:

Sto organizzando un evento nell'ambito delle mie attività commerciali, posso fare foto e video dell'evento e delle persone che partecipano?

Sì, ma per farlo, dovrai prima determinare la base giuridica per il trattamento di questo tipo di dati personali. Ad esempio, il trattamento potrebbe essere considerato un interesse legittimo per la tua impresa/ organizzazione. Nel trattamento dei dati personali sulla base di un interesse legittimo, è sempre necessario effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi prevalgono sui diritti delle persone, in particolare se sono coinvolti bambini.

Un'altra possibile base giuridica per tale trattamento potrebbe essere il consenso. In ogni caso, gli individui devono essere sempre informati in anticipo se l'evento viene fotografato o filmato.

Per maggiori informazioni:

Se voglio conservare i Curricula vitae dei candidati per le future procedure di assunzione, devo chiedere il consenso dei candidati?

Il consenso potrebbe effettivamente costituire una valida base giuridica per la conservazione dei CV dei candidati. Un'altra possibile base giuridica potrebbe essere l'interesse legittimo. In tal caso, si dovrebbe effettuare un test di bilanciamento degli interessi per dimostrare che gli interessi legittimi della tua impresa/organizzazione superano i diritti dei candidati.

In ogni caso, dovrai informare i candidati che intendi conservare i loro dati e per quali scopi.

Per maggiori informazioni:

Posso trattare i dati personali solo quando ho il consenso dell'individuo?

Il trattamento dei dati personali è consentito se esiste una base giuridica. Oltre al consenso libero, specifico, informato e inequivocabile, possono essere utilizzate altre basi giuridiche per il trattamento.

In altre parole, il consenso è necessario quando non si applica nessuna delle altre basi giuridiche.

Per maggiori informazioni:

Devo essere certificato per diventare un Responsabile della protezione dei dati (RPD)?

No, non è necessario essere certificati per diventare un RPD.

Tuttavia, gli RPD devono essere in grado di dimostrare di possedere le qualifiche necessarie richieste dal GDPR, come la conoscenza approfondita della legge e delle pratiche in materia di protezione dei dati.

Per maggiori informazioni:

Cos'è una valutazione d'impatto sulla protezione dei dati e quando è obbligatoria?

Una valutazione d'impatto sulla protezione dei dati o DPIA è una valutazione scritta che l’impresa/organizzazione dovrebbe fare per valutare l'impatto di un'operazione di elaborazione dati pianificata.Ti aiuta a identificare le misure appropriate per affrontare i rischi e dimostrare la conformità.
Sebbene sia sempre preferibile anticipare l'impatto delle operazioni di trattamento pianificate effettuando la DPIA, è obbligatorio effettuare una DPIA quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone.
Nello specifico, quando il trattamento previsto comporta:

  • il trattamento — su larga scala — di dati personali particolari (sensibili) o di dati relativi a condanne penali;
  • una valutazione sistematica e approfondita degli aspetti personali di un individuo basata sul trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici sulla persona in questione o che incidono in modo analogo e significativo su altre persone;
  • monitoraggio sistematico di un'area accessibile al pubblico su larga scala.

L'EDPB ha elaborato linee guida che elencano i criteri da prendere in considerazione per valutare se una DPIA è obbligatoria o meno. Le Autorità per la protezione dei dati hanno inoltre pubblicato elenchi di trattamenti che sono soggetti a una DPIA. Inoltre diverse Autorità hanno sviluppato guide, software o strumenti di autovalutazione per aiutarti nella tua analisi.

Per maggiori informazioni: