Vivere e viaggiare
Ultima verifica : 30/05/2018

Protezione dei dati e della privacy online

Decisione del Regno Unito di invocare l'articolo 50 del TUE: Più informazioni

A partire dal 30 marzo 2019 tutto il diritto dell’UE cesserà di applicarsi al Regno Unito a meno che un accordo di recesso ratificato non stabilisca un’altra data, o il Consiglio europeo e il Regno Unito decidano di comune accordo di prorogare il periodo di due anni di negoziati. Per maggiori informazioni sulle conseguenze giuridiche per le imprese:

L'RGPD definisce i requisiti dettagliati per le aziende e le organizzazioni in materia di raccolta, archiviazione e gestione dei dati personali. Valgono sia per le organizzazioni europee che trattano i dati personali dei cittadini nell'UE sia per le organizzazioni esterne all'UE che si rivolgono a persone che vivono nell'UE.

Quando si applica il regolamento generale sulla protezione dei dati (RGPD)?

L'RGPD si applica quando:

Le aziende che non hanno sede nell'UE e che trattano i dati di cittadini dell'UE devono nominare un rappresentante all'interno dell'UE.

Quando non si applica il regolamento generale sulla protezione dei dati (RGPD)?

L'RGPD non si applica quando:

Cosa si intende per dati personali?

Per dati personali si intende qualsiasi informazione che riguardi una persona identificabile o non identificabile, detta anche l' interessato. I dati personali includono informazioni come:

Categorie speciali di dati

Non è possibile trattare i dati personali riguardanti:

Chi effettua il trattamento dei dati personali?

Durante il trattamento, i dati personali possono essere trasmessi tra varie aziende o organizzazioni diverse. In questo procedimento vi sono due figure principali che gestiscono il trattamento dei dati personali:

Chi controlla come vengono trattati i dati personali all'interno di un'azienda?

Il responsabile della protezione dei dati (RPD), che può essere nominato dall'azienda, è responsabile di monitorare come vengono trattati i dati personali e di informare e avvisare dei loro obblighi i dipendenti che elaborano i dati. Il responsabile della protezione dei dati collabora anche con l'autorità per la protezione dei dati (APD) e funge da punto di contatto tra l'APD e i cittadini.

Quando è necessario nominare un responsabile della protezione dei dati?

Un'azienda deve nominare un responsabile della protezione dei dati se:

Per esempio, se i dati personali vengono trattati per orientare la pubblicità sui motori di ricerca in base al comportamento online delle persone, l'azienda deve avere un responsabile della protezione dei dati (RPD). Se, invece, l'azienda invia materiale di promozione ai clienti una volta all'anno, allora non c'è bisogno di avere un RPD. Allo stesso modo, se un medico raccoglie dati sulla salute dei pazienti, probabilmente non c'è bisogno di un RPD. Ma se vengono trattati dati personali sulla genetica e sulla salute per un ospedale, allora è necessario.

Il responsabile della protezione dei dati può essere un membro del personale dell'organizzazione o può essere nominato esternamente sulla base di un contatto di servizio. Un RPD può essere un individuo o parte di un'organizzazione.

Il trattamento dei dati per un'altra azienda

Il responsabile del trattamento dei dati può incaricare un incaricato del trattamento che dia sufficienti garanzie, le quali devono essere incluse in un contratto scritto tra le parti coinvolte. Il contratto deve contenere anche una serie di clausole obbligatorie, ad esempio riguardo al fatto che l'incaricato del trattamento può trattare i dati personali solo quando viene incaricato a farlo dal responsabile del trattamento dei dati.

Il trasferimento di dati fuori dall'UE

Dal momento in cui entrerà in vigore l'integrazione dell'RGPD nell'accordo SEE, il regolamento generale sulla protezione dei dati si applicherà allo Spazio economico europeo (SEE), che include tutti i paesi dell'UE più Islanda, Liechtenstein e Norvegia. Quando i dati personali vengono trasferiti fuori dal SEE, la protezione garantita dall'RGPD segue i dati. Questo significa che se i dati vengono esportati all'estero, l'azienda deve assicurare di conformarsi a una delle seguenti misure:

Quando è consentito il trattamento dei dati?

Le norme dell'UE per la protezione dei dati prevedono che i dati debbano essere trattati in modo equo e lecito, per una finalità specifica e legittima, e che si debbano trattare solo quelli necessari a raggiungere tale obiettivo. Per il trattamento dei dati personali deve essere rispettata almeno una delle seguenti condizioni:

Accettare il trattamento dei dati - il consenso

L'RGPD applica norme rigorose per il trattamento dei dati sulla base di un consenso. L'obiettivo di tali norme è assicurare che l'individuo capisca ciò a cui sta acconsentendo. Ciò significa che il consenso deve essere dato in maniera libera, specifica, informata e inequivocabile tramite una richiesta presentata con un linguaggio chiaro e semplice. Il consenso viene espresso tramite un atto positivo, come spuntare una casella online o firmare un modulo.

Quando si acconsente al trattamento dei dati personali, questi possono essere trattati solo per le finalità per cui è stato dato il consenso. Bisogna garantire anche la possibilità di revocare il proprio consenso.

Fornire informazioni trasparenti

Gli individui devono ricevere informazioni chiare su chi tratta i loro dati personali e perché. Le informazioni minime da includere sono le seguenti:

In alcuni casi, le informazioni fornite devono anche includere:

Le informazioni devono essere presentate con un linguaggio chiaro e semplice.

Norme specifiche per i minori

Per raccogliere dati personali sui minori che si basano sul consenso, per esempio legati all'uso di un account sui social media o un account di download, è necessario prima ricevere il consenso dei genitori, ad esempio inviando una notifica a un genitore o a un tutore. L'età in cui una persona è considerata minore varia a seconda del luogo in cui vive, ma è compresa tra i 13 e i 16 anni.

Il diritto all'accesso e alla portabilità dei dati

Bisogna garantire gratuitamente agli individui il diritto all'accesso ai propri dati personali. Quando si riceve una simile richiesta è necessario:

Quando il trattamento si basa sul consenso o su un contratto, l'individuo può anche chiedere la restituzione dei propri dati personali o la loro trasmissione ad un'altra azienda. È quello che si chiama portabilità dei dati. I dati devono essere forniti in un formato di uso comune ed elettronico.

Il diritto di rettifica e obiezione

Se un individuo crede che i propri dati personali siano errati, incompleti o inesatti, ha il diritto di chiederne la rettifica o il completamento senza indebito ritardo.

Nel caso in cui i dati personali condivisi siano stati modificati o cancellati, è necessario avvisare tutti i destinatari dei dati. Se i dati personali condivisi sono errati, può essere necessario informare chiunque abbia notato l'errore (a meno che non si ritenga che ciò comporti uno sforzo sproporzionato).

Un individuo può opporsi in qualsiasi momento al trattamento dei propri dati personali per un uso particolare se l'azienda li tratta sulla base di un interesse giuridico proprio o per un'attività di interesse pubblico. L'azienda non deve più trattare i dati personali a meno che l'interesse legittimo non prevalga sull'interesse del singolo.

Allo stesso tempo, un individuo può chiedere di limitare il trattamento dei propri dati personali mentre viene stabilito se l'interesse giuridico prevale su quello del singolo. Tuttavia, nel caso di pubblicità diretta, non è più possibile trattare i dati personali se ciò viene richiesto dall'individuo in questione.

Diritto alla cancellazione (diritto all'oblio)

In alcune circostanze un individuo può chiedere al responsabile del trattamento dei dati di cancellare i propri dati personali, per esempio se questi non sono più necessari per soddisfare la finalità del trattamento. Tuttavia, l'azienda non è obbligata a farlo se:

I processi decisionali automatizzati e la profilazione

Gli individui hanno il diritto di non essere soggetti a una decisione basata esclusivamente sul trattamento automatizzato. Tuttavia vi sono alcune eccezioni alla regola, ad esempio se le persone hanno dato il consenso esplicito alla decisione automatizzata. Ad eccezione di quando la decisione automatizzata è prevista dalla legge, l'azienda deve:

• informare l'individuo del processo decisionale automatizzato

• garantire all'individuo il diritto che la decisione automatizzata venga rivista da una persona

• garantire all'individuo la possibilità di contestare la decisione automatizzata.

Per esempio, se una banca automatizza la decisione che riguarda la concessione o meno di un prestito a una determinata persona, quest'ultima deve essere informata della decisione automatizzata e deve avere la possibilità di contestarla e di richiedere un intervento umano.

Violazioni dei dati: garantire una notifica adeguata

Una violazione dei dati avviene quando i dati personali di cui si è responsabili sono divulgati, in maniera accidentale o illegale, a destinatari non autorizzati, oppure sono resi momentaneamente non disponibili o modificati.

Se avviene una violazione dei dati che rappresenta un rischio per i diritti e le libertà fondamentali, è necessario avvisare l'autorità di protezione dei dati entro 72 ore da quando si viene a conoscenza di tale violazione.

A seconda del fatto che la violazione dei dati rappresenti o meno un alto rischio per le persone coinvolte, l'azienda potrebbe dover anche informare tutti gli individui in questione.

Rispondere alle richieste

Se l'azienda riceve una richiesta da un individuo che vuole esercitare i propri diritti, bisogna rispondere a tale richiesta senza indebito ritardo e in ogni caso entro 1 mese dalla ricezione. Il tempo di risposta può essere esteso a 2 mesi per richieste complesse o multiple, purché il cittadino venga informato dell'estensione. Le richieste vengono gestite gratuitamente.

Se una richiesta viene rifiutata bisogna informare l'individuo in merito alle ragioni del rifiuto e del suo diritto di presentare un reclamo all'autorità di protezione dei dati.

Valutazioni d'impatto

È obbligatorio condurre una valutazione d'impatto sulla protezione dei dati (DPIA) ogni volta che un trattamento previsto potrebbe rappresentare un serio rischio per i diritti e le libertà dei cittadini, ad esempio quando vengono utilizzate nuove tecnologie.

L'alto rischio è presente quando:

Nota: l'autorità di protezione dei dati potrebbe considerare ad alto rischio anche altre categorie di trattamento dei dati.

Se le misure indicate nel DPIA non eliminano tutti i rischi elevati individuati, l'autorità di protezione dei dati deve essere consultata prima che tali dati vengano trattati.

Costituire un registro

L'azienda deve dimostrare di agire conformemente al regolamento generale sulla protezione dei dati e soddisfare tutti gli obblighi applicabili, in particolare su richiesta o ispezione dell'autorità di protezione dei dati.

Una possibilità è tenere registri dettagliati, ad esempio riguardo a:

L'azienda deve anche avere delle procedure e linee guida scritte che vanno aggiornate regolarmente e rese note ai dipendenti.

Se si tratta di una PMIen o di un'azienda più piccola, non è necessario tenere dei registri sulle attività di trattamento dei dati purché:

• non vengano svolte di frequente

• non ledano i diritti e le libertà degli individui coinvolti

• non riguardino dati sensibili o informazioni sui casellari giudiziari.

Protezione dei dati fin dalla progettazione e per impostazione predefinita

La protezione dei dati fin dalla progettazione prevede che l'azienda debba tenere in considerazione la protezione dei dati fin dalle prime fasi di pianificazione di un nuovo metodo di trattamento dei dati. Conformemente a questo principio, il responsabile del trattamento deve adottare tutte le misure tecniche ed organizzative per attuare i principi di protezione dei dati e tutelare i diritti degli individui. Le misure potrebbero includere, per esempio, l'uso della pseudonimizzazione.

La protezione dei dati per impostazione predefinita prevede che l'azienda debba sempre adottare come impostazioni predefinite quelle che tutelano maggiormente la privacy. Per esempio, se vi sono due possibili impostazioni della privacy e una delle due fa sì che terzi non possano accedere ai dati personali, questa è quella che bisognerebbe usare come impostazione predefinita.

Infrazioni delle norme e sanzioni

Il mancato rispetto del regolamento generale sulla protezione dei dati può comportare multe fino a 20 milioni di euro o al 4% del fatturato globale dell'azienda per determinate violazioni. L'autorità di protezione dei dati potrebbe imporre delle azioni correttive supplementari, come ad esempio obbligare a non effettuare più il trattamento dei dati.

Cookie

Sui siti web è possibile utilizzare vari tipi di cookie. A seconda delle finalità del cookie potrebbe essere necessario il consenso previo degli utenti.

Cookie per i quali non è necessario il consenso

Ecco alcuni casi in cui il consenso non è necessario:

Cookie per i quali è necessario il consenso

Alcuni cookie destinati a raccogliere dati degli utenti richiedono il loro consenso previo. Ciò significa che i cookie non possono essere attivi da subito quando si apre una pagina web. È possibile attivarli e utilizzare le informazioni così raccolte solo una volta che si è ottenuto il consenso dell'utente.

Ecco alcuni casi in cui il consenso è necessario:

Finalità dei cookie

Se su un sito sono utilizzati cookie che richiedono il consenso dell'utente, occorre dare alle persone che vi navigano informazioni chiare ed esaurienti sui cookie utilizzati e sul loro scopo. Gli utenti devono poter dare un consenso specifico a seconda delle finalità dei vari tipi di cookie che stanno accettando, ad esempio dovrebbero poter dare un consenso separato per i cookie di tracciamento.

Revoca del consenso

È necessario assicurarsi che per gli utenti sia semplice revocare il loro consenso tanto quanto è stato semplice accettare i cookie. Se l'utente decide di revocare il proprio consenso, bisogna comunque garantirgli un servizio minimo, ad esempio consentendo comunque l'accesso ad una parte del sito.

FAQ - Protezione dei dati e della privacy online

Futuri regolamenti UE

Hai bisogno di aiuto?

Contatta i servizi di assistenza specializzati

Sostegno alle imprese locali - Hai domande su come svolgere un'attività transfrontaliera, ad esempio l'esportazione o l'espansione in un altro paese dell'UE? La rete Enterprise Europe può fornirvi una consulenza gratuita.

Condividi questa pagina: