Protezione dei dati ai sensi del regolamento generale sulla protezione dei dati (RGPD)

L'RGPD definisce i requisiti dettagliati per le aziende e le organizzazioni in materia di raccolta, archiviazione e gestione dei dati personali. Valgono sia per le organizzazioni europee che trattano i dati personali dei cittadini nell'UE sia per le organizzazioni esterne all'UE che si rivolgono a persone che vivono nell'UE.

Quando si applica il regolamento generale sulla protezione dei dati (RGPD)?

L'RGPD si applica quando:

  • l'azienda tratta i dati personali ed ha sede nell'UE, indipendentemente da dove avviene effettivamente il trattamento dei dati
  • l'azienda ha sede fuori dall'UE ma tratta dati personali relativi all'offerta di beni e servizi a cittadini nell'UE o segue il comportamento di individui nell'UE.

Le aziende che non hanno sede nell'UE e che trattano i dati di cittadini dell'UE devono nominare un rappresentante all'interno dell'UE.

Quando non si applica il regolamento generale sulla protezione dei dati (RGPD)?

L'RGPD non si applica quando:

  • l'interessato è deceduto
  • l'interessato è una persona giuridica
  • il trattamento dei dati viene condotto da una persona che agisce per finalità che esulano dalle sue attività commerciali, imprenditoriali o professionali.

Cosa si intende per dati personali?

Per dati personali si intende qualsiasi informazione che riguardi una persona identificabile o non identificabile, detta anche l' interessato. I dati personali includono informazioni come:

  • nome e cognome
  • indirizzo
  • numero della carta d'identità/del passaporto
  • reddito
  • profilo culturale
  • indirizzo di protocollo Internet (IP)
  • dati in possesso di un medico o di un ospedale (che identificano in modo univoco una persona a fini sanitari).

Categorie speciali di dati

Non è possibile trattare i dati personali riguardanti:

  • la razza o l'origine etnica
  • l'orientamento sessuale
  • le opinioni politiche
  • le convinzioni religiose o filosofiche
  • l'appartenenza sindacale
  • dati genetici, biometrici o sanitari ad eccezione di casi specifici (ad esempio quando è stato dato un consenso esplicito o quando il trattamento è necessario per ragioni di interesse pubblico rilevanti sulla base del diritto nazionale o dell'UE)
  • dati personali relativi a condanne penali e reati, a meno che il trattamento non venga autorizzato dal diritto nazionale o dell'UE.

Chi effettua il trattamento dei dati personali?

Durante il trattamento, i dati personali possono essere trasmessi tra varie aziende o organizzazioni diverse. In questo procedimento vi sono due figure principali che gestiscono il trattamento dei dati personali:

  • il responsabile del trattamento dei dati, che decide la finalità e il modo in cui vengono processati i dati personali
  • l' incaricato del trattamento, che detiene e tratta i dati a nome di un responsabile del trattamento dei dati.

Chi controlla come vengono trattati i dati personali all'interno di un'azienda?

Il responsabile della protezione dei dati (RPD), che può essere nominato dall'azienda, è responsabile di monitorare come vengono trattati i dati personali e di informare e avvisare dei loro obblighi i dipendenti che elaborano i dati. Il responsabile della protezione dei dati collabora anche con l'autorità per la protezione dei dati (APD) e funge da punto di contatto tra l'APD e i cittadini.

Quando è necessario nominare un responsabile della protezione dei dati?

Un'azienda deve nominare un responsabile della protezione dei dati se:

  • regola o controlla sistematicamente gli individui o elabora categorie speciali di dati
  • il trattamento dei dati è l'attività principale
  • effettua il trattamento di dati su vasta scala.

Per esempio, se i dati personali vengono trattati per orientare la pubblicità sui motori di ricerca in base al comportamento online delle persone, l'azienda deve avere un responsabile della protezione dei dati (RPD). Se, invece, l'azienda invia materiale di promozione ai clienti una volta all'anno, allora non c'è bisogno di avere un RPD. Allo stesso modo, se un medico raccoglie dati sulla salute dei pazienti, probabilmente non c'è bisogno di un RPD. Ma se vengono trattati dati personali sulla genetica e sulla salute per un ospedale, allora è necessario.

Il responsabile della protezione dei dati può essere un membro del personale dell'organizzazione o può essere nominato esternamente sulla base di un contatto di servizio. Un RPD può essere un individuo o parte di un'organizzazione.

Il trattamento dei dati per un'altra azienda

Il responsabile del trattamento dei dati può incaricare un incaricato del trattamento che dia sufficienti garanzie, le quali devono essere incluse in un contratto scritto tra le parti coinvolte. Il contratto deve contenere anche una serie di clausole obbligatorie, ad esempio riguardo al fatto che l'incaricato del trattamento può trattare i dati personali solo quando viene incaricato a farlo dal responsabile del trattamento dei dati.

Il trasferimento di dati fuori dall'UE

Quando i dati personali vengono trasferiti fuori dall'UE, la protezione garantita dall'RGPD segue i dati. Questo significa che se i dati vengono esportati all'estero, l'azienda deve assicurare di conformarsi a una delle seguenti misure:

  • le misure di protezione dei paesi terzi devono essere ritenute adeguate dall'UE
  • l'azienda adotta le misure necessarie per fornire garanzie adeguate, come ad esempio includendo clausole specifiche nel contratto concordato con il paese terzo importatore dei dati personali
  • l'azienda effettua il trasferimento sulla base di motivi specifici (deroghe), come il consenso dell'individuo.

Quando è consentito il trattamento dei dati?

Le norme dell'UE per la protezione dei dati prevedono che i dati debbano essere trattati in modo equo e lecito, per una finalità specifica e legittima, e che si debbano trattare solo quelli necessari a raggiungere tale obiettivo. Per il trattamento dei dati personali deve essere rispettata almeno una delle seguenti condizioni:

  • l'individuo in questione ha dato il suo consenso
  • i dati personali sono necessari per rispettare un obbligo contrattuale nei confronti dell'individuo
  • i dati personali sono necessari per adempiere un obbligo giuridico
  • i dati personali sono necessari per proteggere gli interessi vitali dell'individuo
  • il trattamento dei dati personali viene effettuato per un' attività nell'interesse del pubblico
  • si agisce nell' interesse legittimo dell'azienda, purché nel trattamento dei dati di un individuo non vi siano gravi ripercussioni sui suoi diritti e sulle sue libertà fondamentali. Il trattamento dei dati personali non è consentito se i diritti dell'individuo prevalgono sugli interessi dell'azienda.

Accettare il trattamento dei dati - il consenso

L'RGPD applica norme rigorose per il trattamento dei dati sulla base di un consenso. L'obiettivo di tali norme è assicurare che l'individuo capisca ciò a cui sta acconsentendo. Ciò significa che il consenso deve essere dato in maniera libera, specifica, informata e inequivocabile tramite una richiesta presentata con un linguaggio chiaro e semplice. Il consenso viene espresso tramite un atto positivo, come spuntare una casella online o firmare un modulo.

Quando si acconsente al trattamento dei dati personali, questi possono essere trattati solo per le finalità per cui è stato dato il consenso. Bisogna garantire anche la possibilità di revocare il proprio consenso.

Fornire informazioni trasparenti

Gli individui devono ricevere informazioni chiare su chi tratta i loro dati personali e perché. Le informazioni minime da includere sono le seguenti:

  • chi sei
  • perché effettui il trattamento dei dati personali
  • qual è la base giuridica
  • chi riceverà i dati (ove applicabile).

In alcuni casi, le informazioni fornite devono anche includere:

  • i contatti del responsabile della protezione dei dati (RPD), ove applicabile
  • qual è l'interesse legittimo perseguito dall'azienda se il trattamento si riferisce a questa base giuridica
  • le misure adottate per il trasferimento dei dati ad un paese non appartenente all'UE
  • il periodo di archiviazione dei dati
  • i diritti dell'individuo alla protezione dei dati (ad esempio il diritto d'accesso, rettifica, cancellazione, limitazione, obiezione, portabilità, ecc.)
  • come si revoca il consenso (se il consenso è la base giuridica per il trattamento)
  • la presenza di un obbligo statutario o contrattuale per la fornitura dei dati
  • informazioni riguardo la logica, la rilevanza e le conseguenze della decisione in caso di processi decisionali automatizzati.

Le informazioni devono essere presentate con un linguaggio chiaro e semplice.

Norme specifiche per i minori

Per raccogliere dati personali sui minori che si basano sul consenso, per esempio legati all'uso di un account sui social media o un account di download, è necessario prima ricevere il consenso dei genitori, ad esempio inviando una notifica a un genitore o a un tutore. L'età in cui una persona è considerata minore varia a seconda del luogo in cui vive, ma è compresa tra i 13 e i 16 anni.

Il diritto all'accesso e alla portabilità dei dati

Bisogna garantire gratuitamente agli individui il diritto all'accesso ai propri dati personali. Quando si riceve una simile richiesta è necessario:

  • far loro sapere se si stanno trattando i loro dati personali
  • dare informazioni sul trattamento (la finalità del trattamento, le categorie di dati personali in questione, i destinatari dei dati, ecc.)
  • fornire una copia dei dati personali che vengono trattati (in un formato accessibile).

Quando il trattamento si basa sul consenso o su un contratto, l'individuo può anche chiedere la restituzione dei propri dati personali o la loro trasmissione ad un'altra azienda. È quello che si chiama portabilità dei dati. I dati devono essere forniti in un formato di uso comune ed elettronico.

Il diritto di rettifica e obiezione

Se un individuo crede che i propri dati personali siano errati, incompleti o inesatti, ha il diritto di chiederne la rettifica o il completamento senza indebito ritardo.

Nel caso in cui i dati personali condivisi siano stati modificati o cancellati, è necessario avvisare tutti i destinatari dei dati. Se i dati personali condivisi sono errati, può essere necessario informare chiunque abbia notato l'errore (a meno che non si ritenga che ciò comporti uno sforzo sproporzionato).

Un individuo può opporsi in qualsiasi momento al trattamento dei propri dati personali per un uso particolare se l'azienda li tratta sulla base di un interesse giuridico proprio o per un'attività di interesse pubblico. L'azienda non deve più trattare i dati personali a meno che l'interesse legittimo non prevalga sull'interesse del singolo.

Allo stesso tempo, un individuo può chiedere di limitare il trattamento dei propri dati personali mentre viene stabilito se l'interesse giuridico prevale su quello del singolo. Tuttavia, nel caso di pubblicità diretta, non è più possibile trattare i dati personali se ciò viene richiesto dall'individuo in questione.

Diritto alla cancellazione (diritto all'oblio)

In alcune circostanze un individuo può chiedere al responsabile del trattamento dei dati di cancellare i propri dati personali, per esempio se questi non sono più necessari per soddisfare la finalità del trattamento. Tuttavia, l'azienda non è obbligata a farlo se:

  • il trattamento serve per rispettare la libertà di espressione e di informazione
  • è necessario conservare i dati personali per adempiere un obbligo giuridico
  • vi sono altre ragioni di interesse pubblico per la conservazione dei dati, come ai fini della sanità pubblica o di ricerca scientifica o storica
  • è necessario conservare i dati personali per intraprendere un'azione legale.

I processi decisionali automatizzati e la profilazione

Gli individui hanno il diritto di non essere soggetti a una decisione basata esclusivamente sul trattamento automatizzato. Tuttavia vi sono alcune eccezioni alla regola, ad esempio se le persone hanno dato il consenso esplicito alla decisione automatizzata. Ad eccezione di quando la decisione automatizzata è prevista dalla legge, l'azienda deve:

  • informare l'individuo del processo decisionale automatizzato
  • garantire all'individuo il diritto che la decisione automatizzata venga rivista da una persona
  • garantire all'individuo la possibilità di contestare la decisione automatizzata.

Per esempio, se una banca automatizza la decisione che riguarda la concessione o meno di un prestito a una determinata persona, quest'ultima deve essere informata della decisione automatizzata e deve avere la possibilità di contestarla e di richiedere un intervento umano.

Violazioni dei dati: garantire una notifica adeguata

Una violazione dei dati avviene quando i dati personali di cui si è responsabili sono divulgati, in maniera accidentale o illegale, a destinatari non autorizzati, oppure sono resi momentaneamente non disponibili o modificati.

Se avviene una violazione dei dati che rappresenta un rischio per i diritti e le libertà fondamentali, è necessario avvisare l'autorità di protezione dei dati entro 72 ore da quando si viene a conoscenza di tale violazione.

A seconda del fatto che la violazione dei dati rappresenti o meno un alto rischio per le persone coinvolte, l'azienda potrebbe dover anche informare tutti gli individui in questione.

Rispondere alle richieste

Se l'azienda riceve una richiesta da un individuo che vuole esercitare i propri diritti, bisogna rispondere a tale richiesta senza indebito ritardo e in ogni caso entro 1 mese dalla ricezione. Il tempo di risposta può essere esteso a 2 mesi per richieste complesse o multiple, purché il cittadino venga informato dell'estensione. Le richieste vengono gestite gratuitamente.

Se una richiesta viene rifiutata bisogna informare l'individuo in merito alle ragioni del rifiuto e del suo diritto di presentare un reclamo all'autorità di protezione dei dati.

Valutazioni d'impatto

È obbligatorio condurre una valutazione d'impatto sulla protezione dei dati (DPIA) ogni volta che un trattamento previsto potrebbe rappresentare un serio rischio per i diritti e le libertà dei cittadini, ad esempio quando vengono utilizzate nuove tecnologie.

L'alto rischio è presente quando:

  • vengono usati trattamenti automatizzati o meccanismi di profilazione per valutare gli individui
  • uno spazio accessibile al pubblico viene monitorato su larga scala (ad es. sistemi di videosorveglianza)
  • vengono trattate su larga scala categorie speciali di dati (ad esempio dati sanitari) o dati personali relativi a condanne penali e reati.

Nota: l'autorità di protezione dei dati potrebbe considerare ad alto rischio anche altre categorie di trattamento dei dati.

Se le misure indicate nel DPIA non eliminano tutti i rischi elevati individuati, l'autorità di protezione dei dati deve essere consultata prima che tali dati vengano trattati.

Costituire un registro

L'azienda deve dimostrare di agire conformemente al regolamento generale sulla protezione dei dati e soddisfare tutti gli obblighi applicabili, in particolare su richiesta o ispezione dell'autorità di protezione dei dati.

Una possibilità è tenere registri dettagliati, ad esempio riguardo a:

  • il nome e i contatti dell'azienda coinvolta nel trattamento dei dati
  • le ragioni del trattamento dei dati
  • la descrizione delle categorie di individui che forniscono i dati personali
  • le categorie delle organizzazioni che ricevono i dati personali
  • il trasferimento di dati personali in un altro paese o organizzazione
  • il periodo di archiviazione dei dati personali
  • la descrizione delle misure di sicurezza usate nel trattamento dei dati personali.

L'azienda deve anche avere delle procedure e linee guida scritte che vanno aggiornate regolarmente e rese note ai dipendenti.

Attenzione

Se si tratta di una PMI en o di un'azienda più piccola, non è necessario tenere dei registri sulle attività di trattamento dei dati purché:

  • non vengano svolte di frequente
  • non ledano i diritti e le libertà degli individui coinvolti
  • non riguardino dati sensibili o informazioni sui casellari giudiziari.

Protezione dei dati fin dalla progettazione e per impostazione predefinita

La protezione dei dati fin dalla progettazione prevede che l'azienda debba tenere in considerazione la protezione dei dati fin dalle prime fasi di pianificazione di un nuovo metodo di trattamento dei dati. Conformemente a questo principio, il responsabile del trattamento deve adottare tutte le misure tecniche ed organizzative per attuare i principi di protezione dei dati e tutelare i diritti degli individui. Le misure potrebbero includere, per esempio, l'uso della pseudonimizzazione.

La protezione dei dati per impostazione predefinita prevede che l'azienda debba sempre adottare come impostazioni predefinite quelle che tutelano maggiormente la privacy. Per esempio, se vi sono due possibili impostazioni della privacy e una delle due fa sì che terzi non possano accedere ai dati personali, questa è quella che bisognerebbe usare come impostazione predefinita.

Infrazioni delle norme e sanzioni

Il mancato rispetto del regolamento generale sulla protezione dei dati può comportare multe fino a 20 milioni di euro o al 4% del fatturato globale dell'azienda per determinate violazioni. L'autorità di protezione dei dati potrebbe imporre delle azioni correttive supplementari, come ad esempio obbligare a non effettuare più il trattamento dei dati.

FAQ - Protezione dei dati e della privacy online Apre un link esterno

Legislazione dell'UE

Hai bisogno di aiuto?

Contatta i servizi di assistenza specializzati

Per saperne di più sulle norme dell’UE che si applicano alla tua attività / risolvere i problemi incontrati con una pubblica amministrazione

Hai domande su come svolgere un'attività transfrontaliera, ad esempio l'esportazione o l'espansione in un altro paese dell'UE? La Enterprise Europe Network può fornirvi una consulenza gratuita.

Puoi anche utilizzare il servizio di assistenza per trovare l'aiuto giusto per te.

Ultima verifica: 06/07/2022
Condividi questa pagina