Ogni impresa/organizzazione, indipendentemente dalla propria dimensione o settore, stabilita nello Spazio economico europeo (SEE) o che offre prodotti o servizi a persone nel SEE, indipendentemente dalla necessità o meno di trattare i dati personali, deve conformarsi al GDPR. Anche se il GDPR fa riferimento principalmente al trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in uno schedario. 

Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la conservazione, la divulgazione, l'alterazione e la cancellazione dei dati personali delle persone.

Tuttavia, l'applicazione del GDPR è modulata in funzione della natura, del contesto, delle finalità e dei rischi delle operazioni di trattamento effettuate. Per le PMI, la cui attività principale non è il trattamento dei dati personali, gli obblighi possono essere meno rigorosi rispetto a quelli di una grande impresa.

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Secondo il GDPR, ci sono, in linea di principio, due modi principali per trasferire i dati personali ad un paese non SEE o a un'organizzazione internazionale. I trasferimenti possono avvenire sulla base di una decisione di adeguatezza o, in mancanza di tale decisione, sulla base di garanzie adeguate, compresi i diritti giuridicamente applicabili e i rimedi giudiziari per le persone fisiche.

Per maggiori informazioni:

• Trasferimenti internazionali
   

Il compito del responsabile della protezione dei dati comprende, tra l'altro:

• informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
• monitorare la conformità alla protezione dei dati;
• fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
• fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
• fungere da punto di contatto per le persone.

Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

I titolari del trattamento possono trattare i dati personali solo in una delle seguenti circostanze:

• con il consenso delle persone interessate;
• quando il trattamento è necessario per l'esecuzione di un contratto (un contratto tra la tua impresa e una persona fisica);
• adempiere ad un obbligo di legge ai sensi della legislazione dell'UE o nazionale;
• quando il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico ai sensi della legislazione dell'UE o nazionale;
• proteggere gli interessi vitali di un individuo;
• per gli interessi legittimi della tua impresa/ente, tranne nei casi in cui prevalgano i diritti e le libertà degli individui.

Inoltre, il GDPR stabilisce condizioni aggiuntive per il trattamento dei dati particolari.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Il consenso potrebbe effettivamente costituire una valida base giuridica per la conservazione dei CV dei candidati. Un'altra possibile base giuridica potrebbe essere l'interesse legittimo. In tal caso, si dovrebbe effettuare un test di bilanciamento degli interessi per dimostrare che gli interessi legittimi della tua impresa/organizzazione superano i diritti dei candidati.

In ogni caso, dovrai informare i candidati che intendi conservare i loro dati e per quali scopi.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Sì, ma per farlo, dovrai prima determinare la base giuridica per il trattamento di questo tipo di dati personali. Ad esempio, il trattamento potrebbe essere considerato un interesse legittimo per la tua impresa/ organizzazione. Nel trattamento dei dati personali sulla base di un interesse legittimo, è sempre necessario effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi prevalgono sui diritti delle persone, in particolare se sono coinvolti bambini.

Un'altra possibile base giuridica per tale trattamento potrebbe essere il consenso. In ogni caso, gli individui devono essere sempre informati in anticipo se l'evento viene fotografato o filmato.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Le misure di sicurezza necessarie possono differire in base alla natura dei dati personali elaborati e ai rischi associati per le persone fisiche. In ogni caso, ci sono alcune misure minime che dovresti mettere in atto:

• accesso sicuro ai locali;
• utilizzare software antivirus aggiornati regolarmente;
• scegliere con cura le tue password;
• fare autenticare gli utenti prima di utilizzare le strutture informatiche;
• disporre di una politica di backup e recupero dei dati in caso di incidente.

In aggiunta, alcune accortezze base, come bloccare lo schermo mentre si è via e chiudere l'ufficio alla fine della giornata, non sono mai fuori posto...

Per maggiori informazioni:

• Dati personali sicuri
   

Una violazione di dati personali è una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione o l’accesso non autorizzati ai dati personali.

• Se la violazione dei dati rappresenta un rischio per le persone interessate, è necessario segnalarlo all'Autorità competente per la protezione dei dati entro 72 ore.
• Se la violazione rischia di comportare un rischio elevato per gli individui, sarà inoltre necessario comunicare tale violazione alle persone interessate senza indebito ritardo.

In ogni caso, per tutte le violazioni — anche quelle che non sono notificate a una Autorità — è necessario registrare almeno i dettagli di base della violazione, la sua valutazione, i suoi effetti e le misure adottate in risposta.

Per maggiori informazioni:

• Violazioni dei dati

Le persone fisiche possono chiederti se stai trattando i loro dati e, nel caso, hanno il diritto di accedere a tali dati. Quindi, quando ciò accade e se tratti i loro dati, dovresti, ad esempio, fornire una copia dei loro dati personali, gratuitamente, insieme a tutte le informazioni aggiuntive necessarie. Se una richiesta è effettuata elettronicamente, l'impresa/organizzazione deve fornire le informazioni richieste in un formato elettronico di uso comune, salvo diversa richiesta individuale.

Per maggiori informazioni:

• Rispettare i diritti dei singoli

Una valutazione d'impatto sulla protezione dei dati o DPIA è una valutazione scritta che l’impresa/organizzazione dovrebbe fare per valutare l'impatto di un'operazione di elaborazione dati pianificata.Ti aiuta a identificare le misure appropriate per affrontare i rischi e dimostrare la conformità.
Sebbene sia sempre preferibile anticipare l'impatto delle operazioni di trattamento pianificate effettuando la DPIA, è obbligatorio effettuare una DPIA quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone.
Nello specifico, quando il trattamento previsto comporta:

• il trattamento — su larga scala — di dati personali particolari (sensibili) o di dati relativi a condanne penali;
• una valutazione sistematica e approfondita degli aspetti personali di un individuo basata sul trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici sulla persona in questione o che incidono in modo analogo e significativo su altre persone;
• monitoraggio sistematico di un'area accessibile al pubblico su larga scala.

L'EDPB ha elaborato linee guida che elencano i criteri da prendere in considerazione per valutare se una DPIA è obbligatoria o meno. Le Autorità per la protezione dei dati hanno inoltre pubblicato elenchi di trattamenti che sono soggetti a una DPIA. Inoltre diverse Autorità hanno sviluppato guide, software o strumenti di autovalutazione per aiutarti nella tua analisi.

Per maggiori informazioni:

• Essere conformi