Frequently Asked Questions
Che cosa costituisce un conflitto di interessi per un Responsabile della protezione dei dati (RPD)?
Gli RPD possono svolgere altri compiti all'interno dell'impresa/organizzazione, ma ciò non può comportare un conflitto di interessi. Ciò implica che il RPD non può avere una posizione in cui determina le finalità e i mezzi delle attività di trattamento. Le funzioni conflittuali comprendono principalmente le posizioni apicali (Amministratore Delegato, Direttore Generale, Direttore finanziario, Direttore Risorse Umane, Direttore IT, Consigliere delegato) ma possono anche coinvolgere altre funzioni se portano alla determinazione delle finalità e dei mezzi del trattamento.
L'RPD deve essere in grado di svolgere i propri doveri e compiti in modo indipendente. Ciò significa che la tua organizzazione:
- non può impartire istruzioni all'RPD per quanto riguarda l'esercizio delle sue funzioni;
- non può penalizzare o licenziare il Responsabile della protezione dei dati a causa dello svolgimento dei propri compiti.
Per maggiori informazioni:
Cosa dovrebbe essere incluso in un contratto di titolare-responsabile del trattamento?
Il contratto tra il titolare del trattamento e il responsabile del trattamento deve stabilire che il responsabile del trattamento:
- tratti i dati personali solo su istruzioni del titolare del trattamento, anche per quanto riguarda i trasferimenti di dati personali verso un paese al di fuori del SEE;
- garantisca che le persone autorizzate al trattamento dei dati si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
- garantisca la sicurezza del trattamento;
- non coinvolga un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del titolare del trattamento;
- assista il titolare del trattamento nell’adempimento dei suoi obblighi nei confronti delle richieste delle persone di poter esercitare i loro diritti;
- assista il titolare del trattamento nella protezione del trattamento, nella notifica delle violazioni dei dati e nell'esecuzione della DPIA;
- a scelta del titolare del trattamento, cancelli o restituisca tutti i dati personali al titolare dopo la fine della prestazione dei servizi;
- metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal GDPR;
- consenta e contribuisca agli audit, comprese le ispezioni condotte dal titolare del trattamento o da un altro revisore incaricato dal titolare del trattamento.
Inoltre, il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo parere, le istruzioni violano il GDPR o altre disposizioni dell'UE o nazionali in materia di protezione dei dati.
Per maggiori informazioni:
Cosa posso fare nel caso in cui il responsabile del trattamento non desideri firmare un contratto con il titolare del trattamento?
Un contratto valido tra il titolare del trattamento e il responsabile del trattamento è obbligatorio ai sensi del GDPR. Un'infrazione può essere oggetto di una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2 % del fatturato annuo totale di una società, se superiore.
Per aiutarvi a stabilire un accordo tra titolare e responsabile del trattamento dei dati, le Autorità di protezione dei dati danesi e slovene, nonché la Commissione europea, hanno elaborato modelli di accordi.
Per maggiori informazioni:
Cosa sono i cookie?
I cookie sono piccoli file memorizzati su un dispositivo, come un computer, un dispositivo mobile o qualsiasi altro dispositivo in grado di memorizzare informazioni. I cookie svolgono una serie di funzioni importanti, tra cui ricordare gli utenti e le loro precedenti interazioni con un sito web. Possono essere utilizzati per tenere traccia degli articoli in un carrello della spesa online o per tenere traccia delle informazioni quando i dettagli sono inseriti in un modulo online.
I cookie di autenticazione sono importanti anche per identificare gli utenti quando effettuano l'accesso ai servizi bancari e ad altri servizi online. Le informazioni memorizzate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificatore univoco o un indirizzo e-mail.
Devo essere certificato per diventare un Responsabile della protezione dei dati (RPD)?
No, non è necessario essere certificati per diventare un RPD.
Tuttavia, gli RPD devono essere in grado di dimostrare di possedere le qualifiche necessarie richieste dal GDPR, come la conoscenza approfondita della legge e delle pratiche in materia di protezione dei dati.
Per maggiori informazioni:
Devo nominare un responsabile della protezione dei dati (RDP)?
La nomina di un responsabile della protezione dei dati è obbligatoria nei seguenti tre casi:
- l'ente è un'autorità pubblica;
- le attività principali dell'ente consistono nel monitoraggio regolare e sistematico delle persone su larga scala, ad esempio la geolocalizzazione tramite un'applicazione mobile, o nella sorveglianza dei centri commerciali e degli spazi pubblici attraverso le telecamere;
- le attività principali dell'ente consistono nel trattamento su vasta scala di dati particolari o di dati personali relativi a condanne penali e reati.
È sempre possibile nominare un RPD su base volontaria, anche se ciò non è richiesto dalla legge. Si prega di notare che in tal caso, è necessario rispettare tutte le disposizioni del GDPR relative ai compiti e alla posizione del responsabile della protezione dei dati.
Per maggiori informazioni:
Il GDPR si applica anche ai documenti cartacei?
Sì, il GDPR si applica se i dati personali sono contenuti o sono destinati a essere contenuti in un sistema di archiviazione. Ciò significa che il GDPR si applica anche ai registri cartacei e non solo al trattamento automatizzato dei dati personali.
Per maggiori informazioni:
Il responsabile della protezione dei dati (RPD) è responsabile della conformità al GDPR?
Il RPD non può essere ritenuto responsabile per il mancato rispetto del GDPR. Il rispetto del GDPR è responsabilità dell'impresa/organizzazione che ha nominato il RPD.
Per maggiori informazioni:
La mia impresa/organizzazione deve rispettare il GDPR?
Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario.
Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.
Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.
Per maggiori informazioni:
Posso trasferire dati personali al di fuori dello Spazio economico europeo (SEE)?
Secondo il GDPR, ci sono, in linea di principio, due modi principali per trasferire i dati personali ad un paese non SEE o a un'organizzazione internazionale. I trasferimenti possono avvenire sulla base di una decisione di adeguatezza o, in mancanza di tale decisione, sulla base di garanzie adeguate, compresi i diritti giuridicamente applicabili e i rimedi giudiziari per le persone fisiche.
Per maggiori informazioni: