Faq

Il GDPR (General Data Protection Regulation) è il regolamento europeo sulla protezione dei dati personali, entrato in vigore il 25 maggio 2018. Ha l'obiettivo di garantire la privacy e la protezione dei dati personali dei cittadini dell'Unione Europea.

Il GDPR si basa su sette principi fondamentali di protezione dei dati: liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; accuratezza; limitazione della conservazione; integrità e riservatezza; e responsabilizzazione.

Qualsiasi organizzazione che tratta i dati personali di persone nell'UE deve conformarsi al GDPR. Questo include aziende di qualsiasi dimensione e settore, sia all'interno che all'esterno dell'UE, se offrono beni o servizi a persone nell'UE o monitorano il comportamento di individui nell'UE.

"Data protection by design e by default" significa che la protezione dei dati deve essere considerata fin dalla fase di progettazione di un sistema o processo e che le impostazioni predefinite devono garantire un adeguato livello di protezione dei dati personali.

Un dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile. Una persona fisica è considerata identificabile se può essere identificata, direttamente o indirettamente, tramite riferimenti a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

• Dati Identificativi: Sono quei dati che permettono di identificare direttamente una persona fisica. Esempi comuni includono il nome, il cognome, l'indirizzo, il numero di telefono, l'indirizzo email, il codice fiscale, ecc. Questi dati sono utilizzati per distinguere una persona da un'altra.
• Dati Particolari: Con l'entrata in vigore del GDPR, il termine "dati sensibili" è stato sostituito da "dati particolari". Questi includono informazioni che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona. Questi dati richiedono un livello di protezione più elevato a causa della loro natura sensibile.

Il trattamento di dati personali include qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati, come la raccolta, registrazione, organizzazione, conservazione, consultazione, uso, comunicazione, cancellazione o distruzione dei dati.

Gli interessati sono le persone fisiche a cui si riferiscono i dati personali trattati, identificate o identificabili.

• Titolare del trattamento: La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento dei dati personali.
• Responsabile del trattamento: La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento.
• Interessato: La persona fisica a cui si riferiscono i dati personali trattati.
• Data Protection Officer (DPO): Il responsabile della protezione dei dati, incaricato di garantire che l'organizzazione rispetti le normative sulla protezione dei dati.

Gli autorizzati al trattamento sono persone fisiche che effettuano materialmente le operazioni di trattamento sui dati personali sotto l'autorità diretta del titolare o del responsabile del trattamento.

I diritti degli interessati sono previsti dagli articoli 15-22 del GDPR e sono diversi:

• Diritto di accesso: Ottenere conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in tal caso, accedere ai dati stessi.
• Diritto di rettifica: Ottenere la rettifica dei dati personali inesatti che li riguardano.
• Diritto alla cancellazione: Ottenere la cancellazione dei dati personali che li riguardano in determinate circostanze.
• Diritto alla limitazione del trattamento: Ottenere la limitazione del trattamento in determinate circostanze.
• Diritto alla portabilità dei dati: Ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che li riguardano.
• Diritto di opposizione: Opporsi al trattamento dei dati personali che li riguardano in determinate circostanze.

Gli interessati possono esercitare i loro diritti di protezione dei dati contattando il titolare del trattamento dei dati. Le organizzazioni devono rispondere alle richieste degli interessati entro tempistiche brevi, fornendo informazioni su come i dati vengono trattati e dando soddisfazione alle misure richieste, come la rettifica o la cancellazione dei dati.

Le sanzioni per la non conformità al GDPR possono essere molto severe, con multe che possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale dell'azienda, a seconda di quale sia maggiore.

Le sanzioni vengono determinate in base a vari fattori, tra cui la gravità e la durata della violazione, il numero di interessati coinvolti, il livello di cooperazione con le autorità di protezione dei dati e le misure adottate per mitigare i danni.

La responsabilità della conformità al GDPR ricade principalmente sul titolare del trattamento, che determina le finalità e i mezzi del trattamento dei dati personali. Anche il responsabile del trattamento, che tratta i dati per conto del titolare, ha responsabilità specifiche per garantire la sicurezza e la riservatezza dei dati, generalmente definite tramite accordi.

Il titolare del trattamento deve garantire che i dati personali siano trattati in modo lecito, corretto e trasparente. Deve adottare misure tecniche e organizzative adeguate per proteggere i dati, garantire i diritti degli interessati e notificare eventuali violazioni dei dati personali (che presentano un rischio elevato) alle autorità competenti entro 72 ore.

Il responsabile del trattamento deve trattare i dati personali solo su istruzione del titolare e adottare misure di sicurezza adeguate. Deve anche assistere il titolare nel garantire i diritti degli interessati e nel notificare le violazioni dei dati.

In caso di violazione dei dati personali, è importante agire rapidamente. Devi notificare la violazione all'autorità di controllo competente entro 72 ore e informare gli interessati se la violazione comporta un rischio elevato per i loro diritti e libertà.

Le conseguenze di una violazione dei dati personali possono includere danni alla reputazione, perdita di fiducia da parte dei clienti, sanzioni finanziarie e ordini di cessazione del trattamento dei dati.

La DPIA (Data Protection Impact Assessment) è una valutazione d'impatto sulla protezione dei dati prevista dall'articolo 35 del GDPR. Serve a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, e identificare i rischi per i diritti e le libertà delle persone fisiche. L'obiettivo è stabilire misure idonee per affrontare questi rischi e garantire che il trattamento dei dati sia conforme alle normative.

Una DPIA è necessaria quando un trattamento di dati personali è probabile che comporti un rischio elevato per i diritti e le libertà delle persone fisiche. Questo include situazioni come la valutazione o classificazione su larga scala, il trattamento di dati sensibili, il monitoraggio sistematico di aree pubbliche, e l'uso di nuove tecnologie che possono comportare nuovi rischi.

La LIA (Legitimate Interest Assessment) è una valutazione dell'interesse legittimo del titolare del trattamento. Serve a documentare il processo di valutazione condotto dal titolare per determinare se il trattamento dei dati personali può essere basato sul legittimo interesse. La LIA include un test di bilanciamento per assicurare che l'interesse del titolare non prevalga sui diritti e le libertà fondamentali degli interessati.

Una LIA è necessaria quando il trattamento dei dati personali si basa sul legittimo interesse del titolare. Questo processo aiuta a dimostrare che il legittimo interesse è una base giuridica appropriata e che sono stati considerati e mitigati i rischi per i diritti e le libertà degli interessati.

Per trasferire dati personali al di fuori dell'UE, è necessario assicurarsi che il paese destinatario offra un livello adeguato di protezione dei dati. Questo può essere fatto attraverso clausole contrattuali standard, norme vincolanti d'impresa o altre misure approvate.

Le misure di sicurezza possono essere tecniche e organizzative e vengono adottate per proteggere i dati personali da accessi non autorizzati, perdite, distruzioni o alterazioni. Queste misure devono garantire un livello di sicurezza adeguato al rischio associato al trattamento dei dati.

Il GDPR suggerisce diverse misure di sicurezza, tra cui:

• Pseudonimizzazione e crittografia dei dati personali.
• Capacità di assicurare la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento.
• Capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico.
• Procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Per sapere se le misure di sicurezza adottate sono adeguate, è necessario effettuare una valutazione dei rischi e testare regolarmente l'efficacia delle misure implementate. È anche utile consultare le linee guida e le best practice fornite dalle autorità di protezione dei dati.

Un audit GDPR è una valutazione completa delle pratiche di protezione dei dati di un'organizzazione. L'obiettivo è garantire la conformità al Regolamento generale sulla protezione dei dati, esaminando i processi di gestione dei dati, come la raccolta, la conservazione, il trasferimento e l'eliminazione dei dati.

Un audit GDPR aiuta a identificare le lacune o i rischi nelle pratiche di trattamento dei dati, a definire piani d'azione per risolverli e a dimostrare la conformità alle autorità competenti. Questo riduce il rischio di multe e danni alla reputazione derivanti dalla mancata conformità.