Data protection guide for small business logo
Close menu
Back to EDPB

Domande frequenti

Filter on
Filter on topic

Quali sono le basi giuridiche per il trattamento ai sensi del GDPR?

I titolari del trattamento possono trattare i dati personali solo in una delle seguenti circostanze:

  • con il consenso delle persone interessate;
  • quando il trattamento è necessario per l'esecuzione di un contratto (un contratto tra la tua impresa e una persona fisica);
  • adempiere ad un obbligo di legge ai sensi della legislazione dell'UE o nazionale;
  • quando il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico ai sensi della legislazione dell'UE o nazionale;
  • proteggere gli interessi vitali di un individuo;
  • per gli interessi legittimi della tua impresa/ente, tranne nei casi in cui prevalgano i diritti e le libertà degli individui.

Inoltre, il GDPR stabilisce condizioni aggiuntive per il trattamento dei dati particolari.

Per maggiori informazioni:

Anche i responsabili del trattamento devono rispettare il GDPR?

Sì, i responsabili del trattamento (ossia le persone fisiche o enti che trattano i dati per conto di un titolare del trattamento) hanno obblighi ai sensi del GDPR. Vi sono, tuttavia, alcune differenze tra le responsabilità dei responsabili del trattamento e i titolari del trattamento.

I responsabili del trattamento devono attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento, che dettaglia le operazioni di trattamento e i mezzi per trattare i dati personali. Ad esempio, il responsabile del trattamento dovrà eseguire le operazioni di trattamento con le misure tecniche e organizzative appropriate, come indicato dal titolare. In tal modo, il responsabile del trattamento assiste il titolare del trattamento nel rispetto del GDPR.

Per maggiori informazioni:

Cosa dovrebbe essere incluso in un contratto di titolare-responsabile del trattamento?

Il contratto tra il titolare del trattamento e il responsabile del trattamento deve stabilire che il responsabile del trattamento:

  • tratti i dati personali solo su istruzioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
  • garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
  • garantisca la sicurezza del trattamento;
  • non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento;
  • assista il titolare del trattamento nell’adempimento dei suoi obblighi nei confronti delle richieste delle persone di poter esercitare i loro diritti;
  • assista il titolare del trattamento nella protezione del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione della DPIA;
  • a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare dopo la fine della prestazione dei servizi;
  • metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
  • consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.

Inoltre, il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo parere, le istruzioni violano il GDPR o altre disposizioni dell'UE o nazionali in materia di protezione dei dati.

Per maggiori informazioni:

Posso trasferire dati personali al di fuori dello Spazio economico europeo (SEE)?

Secondo il GDPR, ci sono, in linea di principio, due modi principali per trasferire i dati personali ad un paese non SEE o a un'organizzazione internazionale. I trasferimenti possono avvenire sulla base di una decisione di adeguatezza o, in mancanza di tale decisione, sulla base di garanzie adeguate, compresi i diritti giuridicamente applicabili e i rimedi giudiziari per le persone fisiche.

Per maggiori informazioni:

Il responsabile della protezione dei dati (RPD) è responsabile della conformità al GDPR?

Il RPD non può essere ritenuto responsabile per il mancato rispetto del GDPR. Il rispetto del GDPR è responsabilità dell'impresa/organizzazione che ha nominato il RPD.

Per maggiori informazioni:

Posso installare una videocamera di sorveglianza a circuito chiuso nei miei locali commerciali per proteggere la mia proprietà?

Il primo passo per installare una videocamera è quello di identificare lo scopo o gli scopi per farlo. Gli scopi per l'installazione di telecamere a circuito chiuso possono essere diversi, come, ad esempio, garantire la sicurezza dei locali, facilitare la prevenzione e la scoperta di furti e altri reati, e, per la natura del lavoro, proteggere la vita e la salute dei dipendenti. Come per qualsiasi trattamento di dati personali, la ripresa video delle persone fisiche deve avere una base giuridica ai sensi del GDPR. Il consenso può fornire una base giuridica per tale trattamento dei dati. Tuttavia, nella maggior parte dei casi, è improbabile che ciò si applichi all'uso delle telecamere, in quanto sarà difficile ottenere il libero consenso di tutti coloro che potrebbero essere ripresi. La base giuridica più comune per questo tipo di trattamento dei dati personali è l'interesse legittimo. Quando il trattamento si basa su un interesse legittimo, dovrai effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti dell'individuo.

È necessario informare le persone che si stanno riprendendo. Questo può essere fatto posizionando indicazioni di facile comprensione in posti visibili. Inoltre, a tutti gli ingressi dovrebbe essere collocato un cartello indicante lo scopo del sistema di telecamere a circuito chiuso e l'identità e i dati di contatto del titolare del trattamento.

Alle persone le cui immagini sono registrate da un sistema di telecamere a circuito chiuso dovrebbero essere fornite le seguenti informazioni:

  • l'identità e i dati di contatto del titolare del trattamento;
  • le finalità del trattamento;
  • la base giuridica del trattamento (se è legittimo interesse, le informazioni specifiche su quali interessi legittimi si fa riferimento per quello specifico trattamento e quale entità persegue ciascun interesse legittimo).
  • i recapiti del responsabile della protezione dei dati, RDD/DPO (se esiste);
  • i destinatari o le categorie di destinatari dei dati;
  • le disposizioni di sicurezza per i filmati delle telecamere;
  • il periodo di conservazione dei filmati delle telecamere;
  • l'esistenza dei diritti delle persone fisiche ai sensi del GDPR e il diritto di presentare un reclamo all'Autorità nazionale per la protezione dei dati.
     

Per maggiori informazioni:

Quali informazioni devo comunicare/condividere con le persone interessate?

Il GDPR dà alle persone il controllo sul trattamento dei loro dati personali. A tal fine, la trasparenza è fondamentale. Ciò significa che devi informare le persone di cui tratti i dati sulle tue operazioni di trattamento e sulle finalità. In altre parole, devi spiegare chi elabora i loro dati, ma anche come e perché. Solo se l'uso dei dati personali è "trasparente" per le persone interessate, quest’ultime possono valutare i possibili rischi e prendere decisioni in merito ai loro dati personali.

Ai sensi del GDPR, sei tenuto a condividere le seguenti informazioni con le persone fisiche:

  • l'identità e i dati di contatto del titolare del trattamento;
  • le finalità del trattamento;
  • la base giuridica del trattamento (se legittimo interesse, le informazioni specifiche a cui gli interessi legittimi fanno riferimento riguardo ad un particolare trattamento e sul quale l’ente/impresa persegue ciascun interesse legittimo);
  • i dati di contatto del responsabile del trattamento;
  • i recapiti dell'RPD (se esiste un RPD);
  • i destinatari o le categorie di destinatari dei dati;
  • informazioni sull'eventuale trasferimento dei dati al di fuori dello Spazio economico europeo (SEE) (dove applicabile: l'esistenza o meno di una decisione di adeguatezza o di un riferimento sulle garanzie adeguate e il modo in cui tali informazioni possono essere messe a disposizione degli interessati;
  • le categorie di dati personali trattati, quando i dati non sono ottenuti dall'interessato.

Inoltre, il GDPR richiede all'imresa/organizzazione di fornire le seguenti informazioni per garantire un trattamento equo e trasparente:

  • il periodo di conservazione o, ove ciò non sia possibile, i criteri utilizzati per determinare tale periodo;
  • il diritto di richiedere l'accesso, la cancellazione, la rettifica, la limitazione, l'obiezione e la portabilità dei dati personali;
  • il diritto di presentare un reclamo a un'Autorità per la protezione dei dati;
  • se la base giuridica del trattamento è il consenso: il diritto di revocare il consenso in qualsiasi momento;
  • nel caso di processi decisionali automatizzati, le informazioni pertinenti sulla logica seguita e sulle conseguenze previste del trattamento per l'interessato;
  • la fonte dei dati personali (se non si sono ricevuti direttamente dall'interessato;
  • se l'individuo è tenuto a fornire i dati personali (per legge o per contratto o per stipulare un contratto) e quali sono le conseguenze del rifiuto di fornire i dati.

Per maggiori informazioni:

Cosa sono i cookie?

I cookie sono piccoli file memorizzati su un dispositivo, come un computer, un dispositivo mobile o qualsiasi altro dispositivo in grado di memorizzare informazioni. I cookie svolgono una serie di funzioni importanti, tra cui ricordare gli utenti e le loro precedenti interazioni con un sito web. Possono essere utilizzati per tenere traccia degli articoli in un carrello della spesa online o per tenere traccia delle informazioni quando i dettagli sono inseriti in un modulo online.

I cookie di autenticazione sono importanti anche per identificare gli utenti quando effettuano l'accesso ai servizi bancari e ad altri servizi online. Le informazioni memorizzate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificatore univoco o un indirizzo e-mail.

Quali sono le sanzioni se la mia impres/organizzazione non rispetta il GDPR o se il mio trattamento viola il GDPR?

La conformità con il GDPR è monitorata dalle Autorità nazionali per la protezione dei dati. Le Autorità per la protezione dei dati possono condurre indagini e imporre sanzioni ove necessario. Le Autorità per la protezione dei dati dispongono di una serie di strumenti, tra cui sanzioni pecuniarie fino a 20 milioni di euro o il 4 % del fatturato annuo mondiale, se superiori, richiami e divieti di trattamento temporanei o permanenti.
Puoi trovare i recapiti di tutte le Autorità per la protezione dei dati SEE sul sito web dell'EDPB: Membri

Per maggiori informazioni: