FREQUENT ASKED QUESTION
Cos'è il GDPR?
A chi si rivolge?
Art. 40 – Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.
A chi si applica?
- stabiliti con le proprie attività in uno o più Paesi membri UE
- stabiliti fuori UE ma con attività di trattamento dati di individui che si trovano nell’UE
Cosa sono i dati personali?
Esistono:
- dati identificativi
- dati sensibili
- dati anonimi, pseudonimi e la minimizzazione
Cosa sono i dati identificativi?
Cosa sono i dati sensibili?
Cosa sono i dati anonimizzati, dati pseudonimi e la minimizzazione?
I dati pseudonimi sono dati personali nei quali gli elementi identificativi sono stati sostituiti da elementi diversi, come stringhe di caratteri o numeri, oppure sostituendo al nome un nickname.
Una pseudonimizzazione corretta è sicura e il rischio di violazione (data breach) è improbabile.
La minimizzazione è la raccolta dei soli dati pertinenti, limitandosi ai dati realmente necessari ed indispensabili rispetto le finalità.
Quali sono i diritti degli interessati rafforzati dal GDPR?
- Informativa sul trattamento dei dati personali: maggior contenuto informativo espresso in termini semplici e chiari
- Diritti di opposizione: diritto di opposizione in ogni caso per motivi legittimi al trattamento e diritto di opposizione alla profilazione o al trattamento per legittimo interesse
- Data portability: diritto di ricevere indietro i dati
- Diritto all’oblio: diritto di ottenere la cancellazione dei dati
È obbligatorio anche per me il registro dei trattamenti?
Le aziende con meno di 250 dipendenti sono esentate da questo obbligo, a meno che il trattamento effettuato sia di natura particolare, tale da poter portare un rischio per i dati stessi
Quali sono i doveri e gli obblighi del Responsabile del Trattamento?
- Trattare i dati personali eseguendo le istruzioni ricevute dal Titolare.
- Cooperare con il Titolare del Trattamento per la gestione delle richieste di diritto d’accesso e per gli obblighi imposti dal Regolamento
- Cancellare o restituire i dati personali al termine del trattamento su richiesta del Titolare
- Assicurare che tutti coloro che trattano i dati personali su sua indicazione rispettino i vincoli di riservatezza
- Implementare e mantenere tutte le misure tecniche e organizzative adeguate
- Prevedere la presenza del Data Protection Officier (DPO), ove prescritto
Chi è il Data Protection Officier (DPO)?
La sua presenza è obbligatoria, ai sensi dell’art. 37, primo paragrafo, in tre ipotesi:
- se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico
- quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”
- quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati sensibili o “giudiziari” (dati personali relativi a condanne penali e reati).
I suoi compiti sono:
- sensibilizzare il Titolare in merito agli obblighi, misure tecniche ed organizzative
- Sorvegliare l’attuazione delle misure di protezione dei dati
- Formazione del personale incaricato
- Sorvegliare Privacy By-Design e Privacy By-Default
- Controllare che le violazioni dei dati siano documentati, notificate e comunicate
Cos'è il Data Breach?
Cosa fare in caso di Data Breach?
- Notificare entro 72 ore la violazione al Garante Privacy (l’eventuale ritardo dovrà essere motivato)
- Avviare attività di analisi, documentazione e contenimento
- Comunicare la violazione agli interessati