DOMANDE
FREQUENTI

divider-7
Che cos’è il GDPR?

Per GDPR (“General Data Protection Regulation”) si intende il Regolamento Europeo n. 679/2016 riguardante la protezione dei dati personali, normativa entrata in vigore nei Paesi UE dal 25 maggio 2018.

Sono tenuto ad applicare il Regolamento UE n. 679/2016?

Se sei un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sei tenuto ad adeguarti al GDPR. Il Regolamento si applica anche ad organizzazioni con sede al di fuori dell’Unione Europea, quando, ad esempio, vendono beni o servizi, anche via internet, all’interno dell’Unione Europea (Art. 3 “Ambito di applicazione territoriale”).

A quali informazioni si applica il GDPR?

Il Regolamento UE 679/2016 si applica ai “dati personali”.

Che cos’è un dato personale?

Il regolamento, all’articolo 4, definisce come dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

In pratica per dato personale si intende qualsiasi informazione riconducibile ad un individuo.

Quali principi devono essere soddisfatti nel trattamento dei dati personali?

I dati personali devono essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza.

Il Regolamento individua diverse figure, tra le quali il Titolare del Trattamento e il Responsabile del Trattamento. Che differenza c’è tra queste due figure?

Il titolare del trattamento è l’entità che determina gli scopi, le condizioni ed i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento è l’entità che elabora i dati personali per conto del titolare del trattamento stesso.

Cosa si intende per informativa?

L’informativa è un avviso contenente le informazioni che il Titolare del trattamento dei dati è tenuto a fornire a tutti gli interessati. Deve essere chiara e concisa in modo tale da risultare comprensibile agli interessati e deve contenere indicazioni in merito alle procedure di raccoglimento ed utilizzo dei dati.

Cos’è il diritto all’oblio?

I soggetti interessati hanno diritto alla cancellazione dei propri dati personali (art. 17 GDPR). Questo diritto si applica quando l’interessato non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

In caso di mancato adeguamento alla normativa, sono previste sanzioni?

Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, multe fino a 20 milioni di euro o, nel caso di imprese, fino al 4% del fatturato globale dell’esercizio precedente, se superiore.

Si può impugnare la decisione del Garante?

Le decisioni del Garante sono impugnabili davanti al Tribunale del luogo ove risiede il titolare, entro 30 giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito.

Si deve sempre interpellare il titolare prima di proporre ricorso al Garante?

Il mancato esercizio del diritto dinnanzi al titolare del trattamento comporta l’inammissibilità del ricorso. La proposizione immediata del ricorso è possibile solo nel casi in cui il decorso del tempo necessario per interpellare il titolare esporrebbe taluno a pregiudizio imminente o irreparabile.

Che ruolo è riservato alla formazione?

Il regolamento prevede attività di formazione per i soggetti interessati, ovvero coloro che entrano in gioco nel trattamento dei dati personali, per questo è indispensabile affidarsi a professionisti, come EPRA, in grado di offrire un servizio completo.

Cos’è il Data Breach?

Con il termine Data Breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.

L’art. 33 del GDPR impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.