Seleziona una pagina

FREQUENT ASKED QUESTION

Cos'è il GDPR?

GDPR è la sigla di General Data Protection Regulation, il regolamento europeo su privacy e dati che è diventato operativo il 25 maggio 2018.

A chi si rivolge?

Si rivolge a tutte le aziende e attività professionali esercenti nel territorio dell’UE.

Art. 40 – Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

A chi si applica?

Le disposizioni del GDPR si applicano a Titolari e Responsabili:

  • stabiliti con le proprie attività in uno o più Paesi membri UE
  • stabiliti fuori UE ma con attività di trattamento dati di individui che si trovano nell’UE
Cosa sono i dati personali?

Sono tutte le informazioni che identificano o rendono identificabiledirettamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Esistono:

  • dati identificativi
  • dati sensibili
  • dati anonimi, pseudonimi e la minimizzazione

 

Cosa sono i dati identificativi?

Sono dati che consentono l’identificazione diretta dell’interessato, come nome, cognome, indirizzo di casa, email, data di nascita, informazioni genetiche, account name…

Cosa sono i dati sensibili?

Sono dati la cui tutela ha lo scopo di garantire la libertà di pensiero e di opinione, evitando possibili discriminazioni come origine etnica, opinioni politiche, credenze religiose, condizioni di salute…

Cosa sono i dati anonimizzati, dati pseudonimi e la minimizzazione?

I dati anonimizzati sono i dati privati degli elementi identificativi, non sono quindi dati personali e di conseguenza non sono soggetti alle norme a tutela dei dati personali.

I dati pseudonimi sono dati personali nei quali gli elementi identificativi sono stati sostituiti da elementi diversi, come stringhe di caratteri o numeri, oppure sostituendo al nome un nickname.
Una pseudonimizzazione corretta è sicura e il rischio di violazione (data breach) è improbabile.

La minimizzazione è la raccolta dei soli dati pertinenti, limitandosi ai dati realmente necessari ed indispensabili rispetto le finalità.

 

Quali sono i diritti degli interessati rafforzati dal GDPR?
  • Informativa sul trattamento dei dati personali: maggior contenuto informativo espresso in termini semplici e chiari
  • Diritti di opposizione: diritto di opposizione in ogni caso per motivi legittimi al trattamento e diritto di opposizione alla profilazione o al trattamento per legittimo interesse
  • Data portability: diritto di ricevere indietro i dati
  • Diritto all’oblio: diritto di ottenere la cancellazione dei dati
È obbligatorio anche per me il registro dei trattamenti?

Il registro dei trattamenti è obbligatorio per le aziende con più di 250 dipendenti.

Le aziende con meno di 250 dipendenti sono esentate da questo obbligo, a meno che il trattamento effettuato sia di natura particolare, tale da poter portare un rischio per i dati stessi

Quali sono i doveri e gli obblighi del Responsabile del Trattamento?
  • Trattare i dati personali eseguendo le istruzioni ricevute dal Titolare.
  • Cooperare con il Titolare del Trattamento per la gestione delle richieste di diritto d’accesso e per gli obblighi imposti dal Regolamento
  • Cancellare o restituire i dati personali al termine del trattamento su richiesta del Titolare
  • Assicurare che tutti coloro che trattano i dati personali su sua indicazione rispettino i vincoli di riservatezza
  • Implementare e mantenere tutte le misure tecniche e organizzative adeguate
  • Prevedere la presenza del Data Protection Officier (DPO), ove prescritto
Chi è il Data Protection Officier (DPO)?

Il Data Protection Officier (DPO) è il Responsabile della Protezione dei Dati.

La sua presenza è obbligatoria, ai sensi dell’art. 37, primo paragrafo, in tre ipotesi:

  1. se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico
  2. quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”
  3. quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati sensibili o “giudiziari” (dati personali relativi a condanne penali e reati).

I suoi compiti sono:

  • sensibilizzare il Titolare in merito agli obblighi, misure tecniche ed organizzative
  • Sorvegliare l’attuazione delle misure di protezione dei dati
  • Formazione del personale incaricato
  • Sorvegliare Privacy By-Design e Privacy By-Default
  • Controllare che le violazioni dei dati siano documentati, notificate e comunicate
Cos'è il Data Breach?

Il Data Breach è una qualsiasi violazione dei dati personali, ovvero la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati.

Cosa fare in caso di Data Breach?

In caso di Data Breach il Titolare dovrà:

  1. Notificare entro 72 ore la violazione al Garante Privacy (l’eventuale ritardo dovrà essere motivato)
  2. Avviare attività di analisi, documentazione e contenimento
  3. Comunicare la violazione agli interessati

Hai altre domande?





Per maggiori informazioni leggi l'informativa dei dati personali.

Hai bisogno di aiuto?