Percorso di navigazione

Ultima verifica 25/05/2018

Protezione dei dati e della privacy online

L'RGPD definisce i requisiti dettagliati per le aziende e le organizzazioni in materia di raccolta, archiviazione e gestione dei dati personali. Valgono sia per le organizzazioni europee che trattano i dati personali dei cittadini nell'UE sia per le organizzazioni esterne all'UE che si rivolgono a persone che vivono nell'UE.

Quando si applica il regolamento generale sulla protezione dei dati (RGPD)?

L'RGPD si applica quando:

  • l'azienda tratta i dati personali ed ha sede nell'UE, indipendentemente da dove avviene effettivamente il trattamento dei dati
  • l'azienda ha sede fuori dall'UE ma tratta dati personali relativi all'offerta di beni e servizi a cittadini nell'UE o segue il comportamento di individui nell'UE.

Le aziende che non hanno sede nell'UE e che trattano i dati di cittadini dell'UE devono nominare un rappresentante all'interno dell'UE.

Quando non si applica il regolamento generale sulla protezione dei dati (RGPD)?

L'RGPD non si applica quando:

  • l'interessato è deceduto
  • l'interessato è una persona giuridica
  • il trattamento dei dati viene condotto da una persona che agisce per finalità che esulano dalle sue attività commerciali, imprenditoriali o professionali.

Cosa si intende per dati personali?

Per dati personali si intende qualsiasi informazione che riguardi una persona identificabile o non identificabile, detta anche l' interessato. I dati personali includono informazioni come:

  • nome e cognome
  • indirizzo
  • numero della carta d'identità/del passaporto
  • reddito
  • profilo culturale
  • indirizzo di protocollo Internet (IP)
  • dati in possesso di un medico o di un ospedale (che identificano in modo univoco una persona a fini sanitari).

Categorie speciali di dati

Non è possibile trattare i dati personali riguardanti:

  • la razza o l'origine etnica
  • l'orientamento sessuale
  • le opinioni politiche
  • le convinzioni religiose o filosofiche
  • l'appartenenza sindacale
  • dati genetici, biometrici o sanitari ad eccezione di casi specifici (ad esempio quando è stato dato un consenso esplicito o quando il trattamento è necessario per ragioni di interesse pubblico rilevanti sulla base del diritto nazionale o dell'UE)
  • dati personali relativi a condanne penali e reati, a meno che il trattamento non venga autorizzato dal diritto nazionale o dell'UE.

Chi effettua il trattamento dei dati personali?

Durante il trattamento, i dati personali possono essere trasmessi tra varie aziende o organizzazioni diverse. In questo procedimento vi sono due figure principali che gestiscono il trattamento dei dati personali:

  • il responsabile del trattamento dei dati, che decide la finalità e il modo in cui vengono processati i dati personali
  • l' incaricato del trattamento, che detiene e tratta i dati a nome di un responsabile del trattamento dei dati.

Chi controlla come vengono trattati i dati personali all'interno di un'azienda?

Il responsabile della protezione dei dati (RPD), che può essere nominato dall'azienda, è responsabile di monitorare come vengono trattati i dati personali e di informare e avvisare dei loro obblighi i dipendenti che elaborano i dati. Il responsabile della protezione dei dati collabora anche con l'autorità per la protezione dei dati (APD) e funge da punto di contatto tra l'APD e i cittadini.

Quando è necessario nominare un responsabile della protezione dei dati?

Un'azienda deve nominare un responsabile della protezione dei dati se:

  • regola o controlla sistematicamente gli individui o elabora categorie speciali di dati
  • il trattamento dei dati è l'attività principale
  • effettua il trattamento di dati su vasta scala.

Per esempio, se i dati personali vengono trattati per orientare la pubblicità sui motori di ricerca in base al comportamento online delle persone, l'azienda deve avere un responsabile della protezione dei dati (RPD). Se, invece, l'azienda invia materiale di promozione ai clienti una volta all'anno, allora non c'è bisogno di avere un RPD. Allo stesso modo, se un medico raccoglie dati sulla salute dei pazienti, probabilmente non c'è bisogno di un RPD. Ma se vengono trattati dati personali sulla genetica e sulla salute per un ospedale, allora è necessario.

Il responsabile della protezione dei dati può essere un membro del personale dell'organizzazione o può essere nominato esternamente sulla base di un contatto di servizio. Un RPD può essere un individuo o parte di un'organizzazione.

Il trattamento dei dati per un'altra azienda

Il responsabile del trattamento dei dati può incaricare un incaricato del trattamento che dia sufficienti garanzie, le quali devono essere incluse in un contratto scritto tra le parti coinvolte. Il contratto deve contenere anche una serie di clausole obbligatorie, ad esempio riguardo al fatto che l'incaricato del trattamento può trattare i dati personali solo quando viene incaricato a farlo dal responsabile del trattamento dei dati.

Il trasferimento di dati fuori dall'UE

Dal momento in cui entrerà in vigore l'integrazione dell'RGPD nell'accordo SEE, il regolamento generale sulla protezione dei dati si applicherà allo Spazio economico europeo (SEE), che include tutti i paesi dell'UE più Islanda, Liechtenstein e Norvegia. Quando i dati personali vengono trasferiti fuori dal SEE, la protezione garantita dall'RGPD segue i dati. Questo significa che se i dati vengono esportati all'estero, l'azienda deve assicurare di conformarsi a una delle seguenti misure:

  • le misure di protezione dei paesi terzi devono essere ritenute adeguate dall'UE
  • l'azienda adotta le misure necessarie per fornire garanzie adeguate, come ad esempio includendo clausole specifiche nel contratto concordato con il paese terzo importatore dei dati personali
  • l'azienda effettua il trasferimento sulla base di motivi specifici (deroghe), come il consenso dell'individuo.

Quando è consentito il trattamento dei dati?

Le norme dell'UE per la protezione dei dati prevedono che i dati debbano essere trattati in modo equo e lecito, per una finalità specifica e legittima, e che si debbano trattare solo quelli necessari a raggiungere tale obiettivo. Per il trattamento dei dati personali deve essere rispettata almeno una delle seguenti condizioni:

  • l'individuo in questione ha dato il suo consenso
  • i dati personali sono necessari per rispettare un obbligo contrattuale nei confronti dell'individuo
  • i dati personali sono necessari per adempiere un obbligo giuridico
  • i dati personali sono necessari per proteggere gli interessi vitali dell'individuo
  • il trattamento dei dati personali viene effettuato per un' attività nell'interesse del pubblico
  • si agisce nell' interesse legittimo dell'azienda, purché nel trattamento dei dati di un individuo non vi siano gravi ripercussioni sui suoi diritti e sulle sue libertà fondamentali. Il trattamento dei dati personali non è consentito se i diritti dell'individuo prevalgono sugli interessi dell'azienda.

Accettare il trattamento dei dati - il consenso

L'RGPD applica norme rigorose per il trattamento dei dati sulla base di un consenso. L'obiettivo di tali norme è assicurare che l'individuo capisca ciò a cui sta acconsentendo. Ciò significa che il consenso deve essere dato in maniera libera, specifica, informata e inequivocabile tramite una richiesta presentata con un linguaggio chiaro e semplice. Il consenso viene espresso tramite un atto positivo, come spuntare una casella online o firmare un modulo.

Quando si acconsente al trattamento dei dati personali, questi possono essere trattati solo per le finalità per cui è stato dato il consenso. Bisogna garantire anche la possibilità di revocare il proprio consenso.

Fornire informazioni trasparenti

Gli individui devono ricevere informazioni chiare su chi tratta i loro dati personali e perché. Le informazioni minime da includere sono le seguenti:

  • chi sei
  • perché effettui il trattamento dei dati personali
  • qual è la base giuridica
  • chi riceverà i dati (ove applicabile).

In alcuni casi, le informazioni fornite devono anche includere:

  • i contatti del responsabile della protezione dei dati (RPD), ove applicabile
  • qual è l'interesse legittimo perseguito dall'azienda se il trattamento si riferisce a questa base giuridica
  • le misure adottate per il trasferimento dei dati ad un paese non appartenente all'UE
  • il periodo di archiviazione dei dati
  • i diritti dell'individuo alla protezione dei dati (ad esempio il diritto d'accesso, rettifica, cancellazione, limitazione, obiezione, portabilità, ecc.)
  • come si revoca il consenso (se il consenso è la base giuridica per il trattamento)
  • la presenza di un obbligo statutario o contrattuale per la fornitura dei dati
  • informazioni riguardo la logica, la rilevanza e le conseguenze della decisione in caso di processi decisionali automatizzati.

Le informazioni devono essere presentate con un linguaggio chiaro e semplice.

Norme specifiche per i minori

Per raccogliere dati personali sui minori che si basano sul consenso, per esempio legati all'uso di un account sui social media o un account di download, è necessario prima ricevere il consenso dei genitori, ad esempio inviando una notifica a un genitore o a un tutore. L'età in cui una persona è considerata minore varia a seconda del luogo in cui vive, ma è compresa tra i 13 e i 16 anni.

Il diritto all'accesso e alla portabilità dei dati

Bisogna garantire gratuitamente agli individui il diritto all'accesso ai propri dati personali. Quando si riceve una simile richiesta è necessario:

  • far loro sapere se si stanno trattando i loro dati personali
  • dare informazioni sul trattamento (la finalità del trattamento, le categorie di dati personali in questione, i destinatari dei dati, ecc.)
  • fornire una copia dei dati personali che vengono trattati (in un formato accessibile).

Quando il trattamento si basa sul consenso o su un contratto, l'individuo può anche chiedere la restituzione dei propri dati personali o la loro trasmissione ad un'altra azienda. È quello che si chiama portabilità dei dati. I dati devono essere forniti in un formato di uso comune ed elettronico.

Il diritto di rettifica e obiezione

Se un individuo crede che i propri dati personali siano errati, incompleti o inesatti, ha il diritto di chiederne la rettifica o il completamento senza indebito ritardo.

Nel caso in cui i dati personali condivisi siano stati modificati o cancellati, è necessario avvisare tutti i destinatari dei dati. Se i dati personali condivisi sono errati, può essere necessario informare chiunque abbia notato l'errore (a meno che non si ritenga che ciò comporti uno sforzo sproporzionato).

Un individuo può opporsi in qualsiasi momento al trattamento dei propri dati personali per un uso particolare se l'azienda li tratta sulla base di un interesse giuridico proprio o per un'attività di interesse pubblico. L'azienda non deve più trattare i dati personali a meno che l'interesse legittimo non prevalga sull'interesse del singolo.

Allo stesso tempo, un individuo può chiedere di limitare il trattamento dei propri dati personali mentre viene stabilito se l'interesse giuridico prevale su quello del singolo. Tuttavia, nel caso di pubblicità diretta, non è più possibile trattare i dati personali se ciò viene richiesto dall'individuo in questione.

Diritto alla cancellazione (diritto all'oblio)

In alcune circostanze un individuo può chiedere al responsabile del trattamento dei dati di cancellare i propri dati personali, per esempio se questi non sono più necessari per soddisfare la finalità del trattamento. Tuttavia, l'azienda non è obbligata a farlo se:

  • il trattamento serve per rispettare la libertà di espressione e di informazione
  • è necessario conservare i dati personali per adempiere un obbligo giuridico
  • vi sono altre ragioni di interesse pubblico per la conservazione dei dati, come ai fini della sanità pubblica o di ricerca scientifica o storica
  • è necessario conservare i dati personali per intraprendere un'azione legale.

I processi decisionali automatizzati e la profilazione

Gli individui hanno il diritto di non essere soggetti a una decisione basata esclusivamente sul trattamento automatizzato. Tuttavia vi sono alcune eccezioni alla regola, ad esempio se le persone hanno dato il consenso esplicito alla decisione automatizzata. Ad eccezione di quando la decisione automatizzata è prevista dalla legge, l'azienda deve:

• informare l'individuo del processo decisionale automatizzato

• garantire all'individuo il diritto che la decisione automatizzata venga rivista da una persona

• garantire all'individuo la possibilità di contestare la decisione automatizzata.

Per esempio, se una banca automatizza la decisione che riguarda la concessione o meno di un prestito a una determinata persona, quest'ultima deve essere informata della decisione automatizzata e deve avere la possibilità di contestarla e di richiedere un intervento umano.

Violazioni dei dati: garantire una notifica adeguata

Una violazione dei dati avviene quando i dati personali di cui si è responsabili sono divulgati, in maniera accidentale o illegale, a destinatari non autorizzati, oppure sono resi momentaneamente non disponibili o modificati.

Se avviene una violazione dei dati che rappresenta un rischio per i diritti e le libertà fondamentali, è necessario avvisare l'autorità di protezione dei dati entro 72 ore da quando si viene a conoscenza di tale violazione.

A seconda del fatto che la violazione dei dati rappresenti o meno un alto rischio per le persone coinvolte, l'azienda potrebbe dover anche informare tutti gli individui in questione.

Rispondere alle richieste

Se l'azienda riceve una richiesta da un individuo che vuole esercitare i propri diritti, bisogna rispondere a tale richiesta senza indebito ritardo e in ogni caso entro 1 mese dalla ricezione. Il tempo di risposta può essere esteso a 2 mesi per richieste complesse o multiple, purché il cittadino venga informato dell'estensione. Le richieste vengono gestite gratuitamente.

Se una richiesta viene rifiutata bisogna informare l'individuo in merito alle ragioni del rifiuto e del suo diritto di presentare un reclamo all'autorità di protezione dei dati.

Valutazioni d'impatto

È obbligatorio condurre una valutazione d'impatto sulla protezione dei dati (DPIA) ogni volta che un trattamento previsto potrebbe rappresentare un serio rischio per i diritti e le libertà dei cittadini, ad esempio quando vengono utilizzate nuove tecnologie.

L'alto rischio è presente quando:

  • vengono usati trattamenti automatizzati o meccanismi di profilazione per valutare gli individui
  • uno spazio accessibile al pubblico viene monitorato su larga scala (ad es. sistemi di videosorveglianza)
  • vengono trattate su larga scala categorie speciali di dati (ad esempio dati sanitari) o dati personali relativi a condanne penali e reati.

Nota: l'autorità di protezione dei dati potrebbe considerare ad alto rischio anche altre categorie di trattamento dei dati.

Se le misure indicate nel DPIA non eliminano tutti i rischi elevati individuati, l'autorità di protezione dei dati deve essere consultata prima che tali dati vengano trattati.

Costituire un registro

L'azienda deve dimostrare di agire conformemente al regolamento generale sulla protezione dei dati e soddisfare tutti gli obblighi applicabili, in particolare su richiesta o ispezione dell'autorità di protezione dei dati.

Una possibilità è tenere registri dettagliati, ad esempio riguardo a:

  • il nome e i contatti dell'azienda coinvolta nel trattamento dei dati
  • le ragioni del trattamento dei dati
  • la descrizione delle categorie di individui che forniscono i dati personali
  • le categorie delle organizzazioni che ricevono i dati personali
  • il trasferimento di dati personali in un altro paese o organizzazione
  • il periodo di archiviazione dei dati personali
  • la descrizione delle misure di sicurezza usate nel trattamento dei dati personali.

L'azienda deve anche avere delle procedure e linee guida scritte che vanno aggiornate regolarmente e rese note ai dipendenti.

Se si tratta di una PMIEnglish o di un'azienda più piccola, non è necessario tenere dei registri sulle attività di trattamento dei dati purché:

• non vengano svolte di frequente

• non ledano i diritti e le libertà degli individui coinvolti

• non riguardino dati sensibili o informazioni sui casellari giudiziari.

Protezione dei dati fin dalla progettazione e per impostazione predefinita

La protezione dei dati fin dalla progettazione prevede che l'azienda debba tenere in considerazione la protezione dei dati fin dalle prime fasi di pianificazione di un nuovo metodo di trattamento dei dati. Conformemente a questo principio, il responsabile del trattamento deve adottare tutte le misure tecniche ed organizzative per attuare i principi di protezione dei dati e tutelare i diritti degli individui. Le misure potrebbero includere, per esempio, l'uso della pseudonimizzazione.

La protezione dei dati per impostazione predefinita prevede che l'azienda debba sempre adottare come impostazioni predefinite quelle che tutelano maggiormente la privacy. Per esempio, se vi sono due possibili impostazioni della privacy e una delle due fa sì che terzi non possano accedere ai dati personali, questa è quella che bisognerebbe usare come impostazione predefinita.

Infrazioni delle norme e sanzioni

Il mancato rispetto del regolamento generale sulla protezione dei dati può comportare multe fino a 20 milioni di euro o al 4% del fatturato globale dell'azienda per determinate violazioni. L'autorità di protezione dei dati potrebbe imporre delle azioni correttive supplementari, come ad esempio obbligare a non effettuare più il trattamento dei dati.

Cookie

Sui siti web è possibile utilizzare vari tipi di cookie. A seconda delle finalità del cookie potrebbe essere necessario il consenso previo degli utenti.

Cookie per i quali non è necessario il consenso

Ecco alcuni casi in cui il consenso non è necessario:

  • cookie utilizzati al solo scopo di consentire la trasmissione di una comunicazione, ad esempio quelli che permettono l'elaborazione di richieste a un server web su più terminali anziché su uno solo (bilanciamento di carico)
  • cookie strettamente necessari a fornire un servizio online che la persona ha esplicitamente richiestoEnglish, ad esempio i cookie "user input" (utilizzati quando si chiede agli utenti di compilare un modulo online oppure quando i clienti fanno acquisti su un sito utilizzando un carrello) o i cookie di autenticazione (utilizzati quando gli utenti si identificano su un sito per accedere a servizi online, ad esempio al loro conto bancario)

Cookie per i quali è necessario il consenso

Alcuni cookie destinati a raccogliere dati degli utenti richiedono il loro consenso previo. Ciò significa che i cookie non possono essere attivi da subito quando si apre una pagina web. È possibile attivarli e utilizzare le informazioni così raccolte solo una volta che si è ottenuto il consenso dell'utente.

Ecco alcuni casi in cui il consenso è necessario:

  • cookie di tracciamento plug-in di social network (ad esempio quelli utilizzati per la pubblicità comportamentale, analisi o ricerche di mercato)
  • cookie di terze parti utilizzati a fini di pubblicità comportamentale.

Finalità dei cookie

Se su un sito sono utilizzati cookie che richiedono il consenso dell'utente, occorre dare alle persone che vi navigano informazioni chiare ed esaurienti sui cookie utilizzati e sul loro scopo. Gli utenti devono poter dare un consenso specifico a seconda delle finalità dei vari tipi di cookie che stanno accettando, ad esempio dovrebbero poter dare un consenso separato per i cookie di tracciamento.

Revoca del consenso

È necessario assicurarsi che per gli utenti sia semplice revocare il loro consenso tanto quanto è stato semplice accettare i cookie. Se l'utente decide di revocare il proprio consenso, bisogna comunque garantirgli un servizio minimo, ad esempio consentendo comunque l'accesso ad una parte del sito.

FAQ - Protezione dei dati e della privacy online

Contatta un partner di sostegno alle imprese locali

Hai domande su come svolgere un'attività transfrontaliera, ad esempio l'esportazione o l'espansione in un altro paese dell'UE? La rete Enterprise Europe può fornirvi una consulenza gratuita.

Sostegno alle imprese locali

Assistenza e consulenza

Contatta i servizi di assistenza specializzati

Assistenza e consulenza

Contatta un partner di sostegno alle imprese locali

Hai domande su come svolgere un'attività transfrontaliera, ad esempio l'esportazione o l'espansione in un altro paese dell'UE? La rete Enterprise Europe può fornire una consulenza gratuita. Per aiutare il consulente locale a rispondere in modo tempestivo e corretto, fornire quante più informazioni possibile.

EEN-logo

Modulo di contatto

(tutti i campi sono obbligatori)
Grazie, il messaggio è stato inviato correttamente.
A causa di problemi tecnici non è stato possibile inviare il messaggio. Riprovare più tardi.
Inserire un indirizzo e-mail valido

Dati personali

Dati dell'impresa

No

Austria

Wien

Belgio

Brussel

Bruxelles

Namur

Bulgaria

Sofia

Cipro

Nicosia

Croazia

Zagreb

Danimarca

Copenhagen

Estonia

Tallinn

Finlandia

Helsinki

Francia

Blagnac Cedex

Caen

Dijon

Guadeloupe, Martinique

Lille

Lyon

Paca

Paris, Ile-de-France, Centre, Nouvelle-Calédonie, Polynésie

Rennes

Saint-Denis

Germania

Berlin

Bremen

Erfurt

Hannover

Kiel

Leipzig

Magdeburg

Mainz

Mülheim an der Ruhr

München

Rostock

Stuttgart

Wiesbaden

Grecia

Athens

Irlanda

Dublin

Islanda

Reykjavík

Italia

Firenze (Toscana, Umbria, Marche)

Milano (Lombardia, Emilia Romagna)

Napoli (Abruzzo, Calabria, Campania, Basilicata, Molise, Puglia, Sicilia)

Roma (Lazio, Sardegna)

Torino (Piemonte, Liguria, Valle d’Aosta)

Venezia (Veneto, Trentino Alto Adige, Friuli Venezia Giulia)

Lettonia

Riga

Lituania

Vilnius

Lussemburgo

Luxembourg

Malta

Pieta`

Norvegia

Oslo

Paesi Bassi

Den Haag

Polonia

Kielce

Lublin

Warsaw

Wroclaw

Portogallo

Lisboa

Regno Unito

Belfast (Northern Ireland)

Cardiff (Wales)

Edinburgh (Scotland)

London (England)

Repubblica ceca

Praha

Romania

Baciu Cluj

Bucuresti

Constanta

Timișoara

Slovacchia

Bratislava

Slovenia

Ljubljana

Spagna

Barcelona

Madrid

Oviedo

Palma

Santa Cruz de Tenerife

Sevilla

Valencia

Vitoria- Gazteiz

Zaragoza

Svezia

Stockholm

Ungheria

Budapest

3000/3000

Le informazioni inserite nel presente modulo vengono inviate direttamente a un partner della rete Enterprise Europe. I dati personali immessi nel modulo saranno usati solo per aiutare il consulente a rispondere alla tua richiesta; i dati non saranno conservati in seguito.