In caso di raccolta diretta di dati personali presso le persone interessate, le imprese/organizzazioni devono fornire informazioni sulle operazioni di trattamento in modo conciso e trasparente, utilizzando un linguaggio comprensibile, facilmente accessibile, chiaro e semplice. Ciò può essere fatto per iscritto (ad esempio sul retro di un'offerta) o per via elettronica (ad esempio su un sito web). Se la persona interessata lo richiede, si può fornire queste informazioni anche a voce, ma si deve poter essere in grado di dimostrarlo in seguito.

Anche quando i dati sono stati raccolti indirettamente, vale a dire se non si raccolgono direttamente i dati personali da un individuo, ma ad esempio tramite una terza parte, è necessario fornire le stesse informazioni dettagliate alle persone fisiche.

No, il trattamento dei dati particolari (dati sensibili) è generalmente vietato, salvo in circostanze molto specifiche:

• L'interessato ha dato il suo esplicito consenso al trattamento dei suoi dati particolari.
• Il trattamento dei dati particolari è necessario affinché il titolare del trattamento adempia ai propri obblighi, in particolare nell'ambito dell'impiego e della previdenza sociale. Ad esempio, il titolare del trattamento potrebbe dover trattare i dati particolari di una persona per poter determinare se ha diritto a determinati benefits di previdenza sociale o di stipendio.
• Il trattamento dei dati particolari è necessario per tutelare gli interessi vitali di un individuo nel caso in cui la persona non sia in grado fisicamente o legalmente di dare il proprio consenso. Ad esempio, se una persona rimane incosciente a seguito di un incidente e richiede cure mediche immediate, i suoi dati sanitari potrebbero aver bisogno di essere trattati per l'erogazione delle cure mediche appropriate.
• Il trattamento dei dati particolari è effettuato nell'ambito delle legittime attività di una fondazione, associazione o altra organizzazione senza scopo di lucro con finalità politica, filosofica, religiosa o sindacale, e solo per il trattamento dei dati personali dei loro membri, ex membri o persone che hanno contatti regolari con essi.
• I dati particolari sono stati manifestamente resi pubblici dall'individuo stesso.
• Il trattamento dei dati particolari è necessario nell'ambito di procedimenti giudiziari.
• Il trattamento dei dati particolari è necessario per questioni sostanziali di interesse pubblico.
• Il trattamento dei dati particolari è necessario nel contesto della medicina preventiva o del lavoro. Ad esempio, la valutazione dei dati particolari di un individuo, come i suoi dati medici, può essere necessaria per determinare la sua capacità lavorativa come dipendente.
• Il trattamento dei dati particolari è necessario per questioni di sanità pubblica sulla base del diritto dell'UE o nazionale. Ad esempio, il trattamento dei dati particolari delle persone può essere necessario per garantire un'alta qualità dell’assistenza sanitaria e un'alta qualità dei prodotti medici, o per combattere gravi minacce per la salute, come i virus.
• Il trattamento dei dati particolari è necessario per questioni di conservazione nel pubblico interesse o per scopi di ricerca scientifica o storica, o a fini statistici. Ad esempio, il trattamento di dati particolari può essere necessario per fornire statistiche accurate sulla situazione di un paese in un determinato settore. 

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

1. Assicurarsi che i dati ricevuti siano stati raccolti legittimamente e che le persone interessate siano state informate del trattamento dei loro dati personali.
2. Nel caso in cui una terza parte tratti dati personali per tuo conto, assicurati di avere un contratto con il responsabile del trattamento che dettagli le attività di trattamento ed i mezzi per trattare i dati personali.

E, naturalmente, rispettare tutti gli obblighi dei titolari del trattamento.

Per maggiori informazioni:

• Titolare del trattamento o responsabile del trattamento
   

Non è possibile conservare i dati personali per sempre.
Di norma, i dati personali possono essere conservati solo per il tempo necessario alle finalità per le quali sono trattati.

In alcuni casi, il periodo di conservazione può essere determinato da leggi specifiche, ad esempio, le norme sul lavoro stabiliscono il periodo di conservazione per gli elenchi delle buste paga.

Le imprese/organizzazioni dovrebbero mettere in atto politiche di conservazione dei dati per assicurarsi che i dati personali non siano conservati più a lungo del necessario. I dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che questi dati non sono più necessari per lo scopo per il quale sono stati trattati. 

Per maggiori informazioni:

• Principi di base per la protezione dei dati

Pubblicare i nomi dei vincitori di un concorso sul tuo sito web potrebbe essere considerato un interesse legittimo, se puoi dimostrarlo effettuando un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi superano i diritti delle persone.

Una buona prassi consisterebbe nell'istituire una procedura interna in cui siano spiegate le norme sulla pubblicazione dei dati personali dei vincitori.

Inoltre, il trattamento dei dati personali per tali scopi dovrebbe far parte dell'informativa sulla privacy del concorso, in modo che i partecipanti siano informati in anticipo sulle modalità di trattamento dei loro dati.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

Sì, i clienti devono essere informati, quando effettuano una telefonata, degli scopi della registrazione, dei destinatari delle registrazioni, del loro diritto di opposizione e del loro diritto di accesso alle registrazioni.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito
   

Il trattamento dei dati personali è consentito se esiste una base giuridica. Oltre al consenso libero, specifico, informato e inequivocabile, possono essere utilizzate altre basi giuridiche per il trattamento.

In altre parole, il consenso è necessario quando non si applica nessuna delle altre basi giuridiche.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Il GDPR impone obblighi a tutte gli enti che trattano dati personali, indipendentemente dal fatto che siano titolari del trattamento o responsabili del trattamento dei dati.
In particolare, si deve:

• Chiedersi se lo scopo per il quale i dati personali possono essere raccolti è giustificato e raccogliere solo i dati personali necessari per le finalità specifiche previste;
• tenere i dati personali delle persone fisiche accurati e aggiornati e cancellarli quando non sono più necessari;
• rispettare i diritti delle persone informandole su come e perché i loro dati sono trattati e consentendo loro di esercitare i loro diritti;
• verificare se si dispone di una base giuridica adeguata per il trattamento dei dati personali. Nel caso in cui si intenda fare affidamento sul consenso delle persone fisiche, chiedere il loro consenso prima del trattamento dei loro dati personali;
• assicurarsi che i dati personali delle persone siano trattati in modo sicuro;
• mantenere un registro delle operazioni di trattamento.

I responsabili del trattamento dovranno attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento e non dovranno trattare i dati se non secondo le istruzioni del titolare del trattamento.

Per maggiori informazioni:

• Essere conformi
• Titolare del trattamento o responsabile del trattamento
• Principi di base per la protezione dei dati
   

Se la tua impresa/organizzazione sta raccogliendo i dati personali direttamente dalle persone fisiche, deve fornire le informazioni necessarie al momento della raccolta.

In caso di raccolta indiretta di dati personali, l'impresa/organizzazione deve fornire le informazioni al più tardi entro un mese dalla data in cui i dati personali sono stati inizialmente ottenuti. Questo periodo massimo di un mese può essere ridotto:

• se i dati personali vengono utilizzati ai fini della comunicazione con l'interessato. In tal caso si deve informare l'interessato al più tardi al momento della prima comunicazione;
• se i dati vengono trasmessi a un altro destinatario, l'impresa/organizzazione ne informa gli interessati al più tardi al momento del trasferimento dei dati personali. 

Per maggiori informazioni:

• Rispettare i diritti dei singoli