Contents
• Quali dati possiamo elaborare e a quali condizioni?
• Il tipo e la quantità di dati personali che un'azienda/organizzazione può trattare dipende dal motivo del trattamento (motivo legale utilizzato) e dall'uso previsto. L'azienda/organizzazione deve rispettare diverse regole chiave, tra cui:
• I dati personali devono essere trattati in modo lecito e trasparente, garantendo l'equità nei confronti delle persone i cui dati personali vengono trattati ('legalità, equità e trasparenza');
- ci devono essere scopi specifici per il trattamento dei dati e l'azienda/organizzazione deve indicare tali scopi alle persone quando raccolgono i loro dati personali. Un'azienda/organizzazione non può semplicemente raccogliere dati personali per scopi indefiniti ('limitazione dello scopo');
- l'azienda/organizzazione deve raccogliere ed elaborare solo i dati personali necessari per adempiere a tale scopo ('minimizzazione dei dati');
• L'azienda/organizzazione deve garantire che i dati personali siano accurati e aggiornati in relazione agli scopi per i quali vengono trattati e correggerli in caso contrario ('accuratezza');
- l'azienda /organizzazione non può utilizzare ulteriormente i dati personali per altri scopi non compatibili con lo scopo originale;
• l'azienda/organizzazione deve garantire che i dati personali siano conservati non più del necessario per gli scopi per i quali sono stati raccolti ('limitazione di archiviazione');
• L'azienda/organizzazione deve dare adeguate garanzie tecniche e organizzative che garantiscano la sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro perdite accidentali, distruzioni o danni, utilizzando tecnologie appropriate ('integrità e riservatezza').
• I dati possono essere trattati per qualsiasi scopo?
• No. Lo scopo per il trattamento dei dati personali deve essere noto e le persone i cui dati si stanno trattando devono essere informate. Non è possibile indicare semplicemente che i dati personali saranno raccolti ed elaborati. Ciò è noto come il principio della "limitazione dello scopo"
• Possiamo utilizzare i dati per altri scopi?
• Sì, ma solo in alcuni casi. Se la tua azienda/organizzazione ha raccolto dati sulla base di interessi legittimi, un contratto può essere utilizzato per un altro scopo, ma solo dopo aver verificato che quello nuovo sia compatibile con quello di origine.
• Devono essere presi in considerazione i seguenti punti:
• il legame tra lo scopo originale e quello nuovo/prossimo;
• il contesto in cui sono stati raccolti i dati (qual è il rapporto tra la vostra azienda/ organizzazione e l'individuo?);
• il tipo e la natura dei dati (è sensibile?);
• le possibili conseguenze dell'ulteriore trattamento previsto (che impatto avrà sull'individuo?);
• l'esistenza di adeguate misure di salvaguardia (come la crittografia o la pseudonimizzazione).
• Se la tua azienda/organizzazione desidera utilizzare dati per statistiche o per la ricerca scientifica, non è necessario eseguire il test di compatibilità.
• Se la vostra azienda/organizzazione ha raccolto i dati sulla base del consenso o a seguito di un requisito legale, non è possibile effettuare ulteriori elaborazioni oltre a quanto è contemplato dal consenso originale o dalle disposizioni di legge. Un ulteriore trattamento richiederebbe l'ottenimento di un nuovo consenso o di una nuova base giuridica.
• Quanti dati possono essere raccolti?
• I dati personali devono essere trattati solo quando non è possibile effettuare il trattamento in un altro modo. Qualora lo fosse, è preferibile utilizzare dati anonimi. Quando i dati personali sono necessari, dovrebbero essere adeguati, pertinenti e limitati a ciò che è necessario allo scopo ('riduzione dei dati'). È responsabilità dell'azienda/organizzazione come controllore valutare la quantità di dati necessari e garantire che non ne vengano raccolti di irrilevanti.
• Per quanto tempo è possibile conservare i dati ed è necessario aggiornarli?
• I dati devono essere conservati per il più breve tempo possibile. Tale periodo dovrebbe tener conto dei motivi per cui la tua azienda/organizzazione deve trattarli, nonché gli eventuali obblighi legali di conservarli per un determinato periodo di tempo (ad esempio leggi nazionali sul lavoro, fiscali o antifrode che richiedono di conservare i dati personali sui dipendenti per un periodo definito, la durata della garanzia del prodotto, ecc.).
• L'azienda/organizzazione deve stabilire limiti di tempo per cancellare o rivedere i dati archiviati.
• Eccezionalmente, i dati personali possono essere conservati per un periodo più lungo a fini di archiviazione nell'interesse pubblico o per motivi di ricerca scientifica o storica, a condizione che vengano messe in atto misure tecniche e organizzative adeguate (come l'anonimato, la crittografia, ecc.).
• La tua azienda/organizzazione deve anche garantire che i dati conservati siano accurati e aggiornati.
• Quali informazioni devono essere fornite alle persone i cui dati vengono raccolti?
• Al momento della raccolta dei loro dati, le persone devono essere informate chiaramente su:
• Qual è la tua azienda (i tuoi dati di contatto e quelli del tuo DPO, nel caso);
• perché la tua azienda utilizzerà i propri dati personali (scopi);
• le categorie di dati personali interessate;
• la giustificazione giuridica per il trattamento dei loro dati;
• per quanto tempo saranno conservati i dati;
• chi altro potrebbe riceverli;
• se i loro dati personali saranno trasferiti a un destinatario al di fuori dell'UE;
• che abbiano diritto a una copia dei dati (diritto di accesso ai dati personali) e ad altri diritti fondamentali nel campo della protezione dei dati (vedi elenco completo dei diritti);
• il loro diritto di presentare un reclamo a un'autorità per la protezione dei dati (DPA);
• il loro diritto di ritirare il consenso in qualsiasi momento;
• ove applicabile, l'esistenza di un processo decisionale automatizzato e la logica in questione, ivi comprese relative conseguenze.
• Le informazioni possono essere fornite per iscritto o oralmente su richiesta dell'individuo quando l'identità di tale persona è dimostrata con altri mezzi o con mezzi elettronici. La tua azienda deve farlo in modo conciso, trasparente, intellegibile e facilmente accessibile in un linguaggio chiaro, semplice e senza costi.
• Quando i dati vengono ottenuti da un'altra azienda, la tua deve fornire le informazioni sopra elencate alla persona interessata entro un mese dalla loro acquisizione o, nel caso in cui la tua azienda comunichi con l'individuo, quando i dati vengono utilizzati per comunicare con lui/lei; o, se è prevista una comunicazione a un'altra società, quando i dati personali sono stati divulgati per la prima volta.
• La vostra azienda è inoltre tenuta a informare l'individuo delle categorie di dati e la fonte da cui sono stati ottenuti, anche se si tratta di fonti accessibili al pubblico. In circostanze specifiche elencate negli articoli 13(4) e 14(5) del GDPR la tua azienda può essere esentata dall'obbligo di informare la persona. Si verifichi se tale esenzione si applica alla tua azienda.
• Quali dati possiamo elaborare e a quali condizioni?
• Il tipo e la quantità di dati personali che un'azienda può trattare dipende dal motivo del trattamento (motivo legale utilizzato) e dall'uso previsto. L'azienda deve rispettare diverse regole chiave, tra cui:
• I dati personali devono essere trattati in modo lecito e trasparente, garantendo l'equità nei confronti delle persone i cui dati personali vengono trattati ('legalità, equità e trasparenza');
• ci devono essere scopi specifici per il trattamento dei dati che l'azienda deve comunicare alle persone quando raccolgono i loro dati personali. Un'azienda non può solo raccogliergli per • scopi non chiari ('limitazione dello scopo');
• l'azienda deve raccogliere ed elaborare solo i dati personali necessari per adempiere a tale scopo ('minimizzazione dei dati');
• L'azienda deve garantire che i dati personali siano accurati e aggiornati, in relazione agli scopi per i quali vengono trattati e correggerli in caso contrario ('accuratezza');
• l'azienda non può utilizzare ulteriormente i dati personali per altri scopi non compatibili con lo scopo originale;
• l'azienda deve garantire che i dati personali siano conservati non più del necessario per gli scopi per i quali sono stati raccolti ('limitazione di archiviazione');
• L'azienda deve installare adeguate garanzie tecniche e organizzative che garantiscano la sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro perdite accidentali, distruzioni o danni, utilizzando tecnologie appropriate ('integrità e riservatezza').
• Quali regole valgono se la mia organizzazione trasferisce dati fuori dall’UE?
• Nell’attuale mondo globalizzato, ci sono molti trasferimenti di dati che vanno oltre i confini dell’UE, conservati spesso in server di diverse nazioni. La protezione offerta dal GDPR vale comunque, a prescindere dal luogo in cui i dati verranno trattati. Ciò vale anche quando i dati vengono trasferiti a Paesi non membri dell’UE (chiamati ‘Paesi terzi’).
• Il GDPR fornisce diversi strumenti per custodire trasferimenti di dati dall’UE a Paesi terzi:
• La Commissione Europea stabilisce se un Paese terzo è in grado di fornire un livello di protezione adeguato (Decisione di Adeguatezza), quindi trasferire dati in tali Paesi è come trasferirli in un Paese dell’UE.
• In assenza di una Decisione di Adeguatezza, un trasferimento può avvenire attraverso la presenza di misure di sicurezza appropriate e a condizione che gli individui siano tutelati dalla legge. Queste misure sono così descritte:
• Le aziende possono trasferire dati personali basandosi su norme interne di natura vincolante, nel caso in cui molte di loro siano impegnate in attività economiche congiunte.
• Accordi contrattuali con i destinatari dei dati per le quali sono in vigore le regole standard approvate dalla Commissione Europea.
• Osservanza di un codice di condotta da parte del destinatario dei dati che si impegna a salvaguardare i dati trasferiti.
• In fine, nel caso in cui dei dati personali siano destinati a un Paese terzo che non sia soggetto alla Decisione di Adeguatezza e se non sono salvaguardate, un trasferimento può essere fatto basandosi su un numero di disposizioni derogatorie per situazioni specifiche, per es.: una persona che ha esplicitamente consentito al trasferimento dopo che lo stesso abbia fornito tutte le informazioni necessarie associate ai rischi del trasferimento.
Save As PDF
Title:
Applicazione del GDPR
Keywords
Protezione dei dati, Diritti, Obblighi, Registrazione, Brand
Author:
AE
Languages:
Italian
Far conoscere i concetti fondamentali e gli aspetti più rilevanti delle regole sulla protezione dei dati personali, proprietà intellettuale e registro del Brand così da avere un quadro chiaro sui diritti e gli obblighi
Description:
Il nuovo GDPR (Regolamento Generale sulla Protezione dei dati) è in vigore dal 25 maggio del 2018 in tutti i Paesi dell’Unione Europea. Questo regolamento riguarda tutte le aziende appena hanno dati personali di clienti, lavoratori e terzi e fa aumentare l’impegno nella salvaguardia dei diritti fondamentali, in particolare quelle relative alla privacy in Internet.
Acquisire competenze che permettano la conoscenza dei sistemi di protezione dei dati nei suoi aspetti più importanti, come trattare tali dati, i diritti e gli obblighi del detentore dei dati e le penali in caso di non ottemperanza.
• Quali dati possiamo elaborare e a quali condizioni? • Il tipo e la quantità di dati personali che un'azienda/organizzazione può trattare dipende dal motivo del trattamento (motivo legale utilizzato) e dall'uso previsto. L'azienda/organizzazione deve rispettare diverse regole chiave, tra cui: • I dati personali devono essere trattati in modo lecito e trasparente, garantendo l'equità nei confronti delle persone i cui dati personali vengono trattati ('legalità, equità e trasparenza'); - ci devono essere scopi specifici per il trattamento dei dati e l'azienda/organizzazione deve indicare tali scopi alle persone quando raccolgono i loro dati personali. Un'azienda/organizzazione non può semplicemente raccogliere dati personali per scopi indefiniti ('limitazione dello scopo'); - l'azienda/organizzazione deve raccogliere ed elaborare solo i dati personali necessari per adempiere a tale scopo ('minimizzazione dei dati'); • L'azienda/organizzazione deve garantire che i dati personali siano accurati e aggiornati in relazione agli scopi per i quali vengono trattati e correggerli in caso contrario ('accuratezza'); - l'azienda /organizzazione non può utilizzare ulteriormente i dati personali per altri scopi non compatibili con lo scopo originale; • l'azienda/organizzazione deve garantire che i dati personali siano conservati non più del necessario per gli scopi per i quali sono stati raccolti ('limitazione di archiviazione'); • L'azienda/organizzazione deve dare adeguate garanzie tecniche e organizzative che garantiscano la sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro perdite accidentali, distruzioni o danni, utilizzando tecnologie appropriate ('integrità e riservatezza'). • I dati possono essere trattati per qualsiasi scopo? • No. Lo scopo per il trattamento dei dati personali deve essere noto e le persone i cui dati si stanno trattando devono essere informate. Non è possibile indicare semplicemente che i dati personali saranno raccolti ed elaborati. Ciò è noto come il principio della "limitazione dello scopo" • Possiamo utilizzare i dati per altri scopi? • Sì, ma solo in alcuni casi. Se la tua azienda/organizzazione ha raccolto dati sulla base di interessi legittimi, un contratto può essere utilizzato per un altro scopo, ma solo dopo aver verificato che quello nuovo sia compatibile con quello di origine. • Devono essere presi in considerazione i seguenti punti: • il legame tra lo scopo originale e quello nuovo/prossimo; • il contesto in cui sono stati raccolti i dati (qual è il rapporto tra la vostra azienda/ organizzazione e l'individuo?); • il tipo e la natura dei dati (è sensibile?); • le possibili conseguenze dell'ulteriore trattamento previsto (che impatto avrà sull'individuo?); • l'esistenza di adeguate misure di salvaguardia (come la crittografia o la pseudonimizzazione). • Se la tua azienda/organizzazione desidera utilizzare dati per statistiche o per la ricerca scientifica, non è necessario eseguire il test di compatibilità. • Se la vostra azienda/organizzazione ha raccolto i dati sulla base del consenso o a seguito di un requisito legale, non è possibile effettuare ulteriori elaborazioni oltre a quanto è contemplato dal consenso originale o dalle disposizioni di legge. Un ulteriore trattamento richiederebbe l'ottenimento di un nuovo consenso o di una nuova base giuridica. • Quanti dati possono essere raccolti? • I dati personali devono essere trattati solo quando non è possibile effettuare il trattamento in un altro modo. Qualora lo fosse, è preferibile utilizzare dati anonimi. Quando i dati personali sono necessari, dovrebbero essere adeguati, pertinenti e limitati a ciò che è necessario allo scopo ('riduzione dei dati'). È responsabilità dell'azienda/organizzazione come controllore valutare la quantità di dati necessari e garantire che non ne vengano raccolti di irrilevanti. • Per quanto tempo è possibile conservare i dati ed è necessario aggiornarli? • I dati devono essere conservati per il più breve tempo possibile. Tale periodo dovrebbe tener conto dei motivi per cui la tua azienda/organizzazione deve trattarli, nonché gli eventuali obblighi legali di conservarli per un determinato periodo di tempo (ad esempio leggi nazionali sul lavoro, fiscali o antifrode che richiedono di conservare i dati personali sui dipendenti per un periodo definito, la durata della garanzia del prodotto, ecc.). • L'azienda/organizzazione deve stabilire limiti di tempo per cancellare o rivedere i dati archiviati. • Eccezionalmente, i dati personali possono essere conservati per un periodo più lungo a fini di archiviazione nell'interesse pubblico o per motivi di ricerca scientifica o storica, a condizione che vengano messe in atto misure tecniche e organizzative adeguate (come l'anonimato, la crittografia, ecc.). • La tua azienda/organizzazione deve anche garantire che i dati conservati siano accurati e aggiornati. • Quali informazioni devono essere fornite alle persone i cui dati vengono raccolti? • Al momento della raccolta dei loro dati, le persone devono essere informate chiaramente su: • Qual è la tua azienda (i tuoi dati di contatto e quelli del tuo DPO, nel caso); • perché la tua azienda utilizzerà i propri dati personali (scopi); • le categorie di dati personali interessate; • la giustificazione giuridica per il trattamento dei loro dati; • per quanto tempo saranno conservati i dati; • chi altro potrebbe riceverli; • se i loro dati personali saranno trasferiti a un destinatario al di fuori dell'UE; • che abbiano diritto a una copia dei dati (diritto di accesso ai dati personali) e ad altri diritti fondamentali nel campo della protezione dei dati (vedi elenco completo dei diritti); • il loro diritto di presentare un reclamo a un'autorità per la protezione dei dati (DPA); • il loro diritto di ritirare il consenso in qualsiasi momento; • ove applicabile, l'esistenza di un processo decisionale automatizzato e la logica in questione, ivi comprese relative conseguenze. • Le informazioni possono essere fornite per iscritto o oralmente su richiesta dell'individuo quando l'identità di tale persona è dimostrata con altri mezzi o con mezzi elettronici. La tua azienda deve farlo in modo conciso, trasparente, intellegibile e facilmente accessibile in un linguaggio chiaro, semplice e senza costi. • Quando i dati vengono ottenuti da un'altra azienda, la tua deve fornire le informazioni sopra elencate alla persona interessata entro un mese dalla loro acquisizione o, nel caso in cui la tua azienda comunichi con l'individuo, quando i dati vengono utilizzati per comunicare con lui/lei; o, se è prevista una comunicazione a un'altra società, quando i dati personali sono stati divulgati per la prima volta. • La vostra azienda è inoltre tenuta a informare l'individuo delle categorie di dati e la fonte da cui sono stati ottenuti, anche se si tratta di fonti accessibili al pubblico. In circostanze specifiche elencate negli articoli 13(4) e 14(5) del GDPR la tua azienda può essere esentata dall'obbligo di informare la persona. Si verifichi se tale esenzione si applica alla tua azienda. • Quali dati possiamo elaborare e a quali condizioni? • Il tipo e la quantità di dati personali che un'azienda può trattare dipende dal motivo del trattamento (motivo legale utilizzato) e dall'uso previsto. L'azienda deve rispettare diverse regole chiave, tra cui: • I dati personali devono essere trattati in modo lecito e trasparente, garantendo l'equità nei confronti delle persone i cui dati personali vengono trattati ('legalità, equità e trasparenza'); • ci devono essere scopi specifici per il trattamento dei dati che l'azienda deve comunicare alle persone quando raccolgono i loro dati personali. Un'azienda non può solo raccogliergli per • scopi non chiari ('limitazione dello scopo'); • l'azienda deve raccogliere ed elaborare solo i dati personali necessari per adempiere a tale scopo ('minimizzazione dei dati'); • L'azienda deve garantire che i dati personali siano accurati e aggiornati, in relazione agli scopi per i quali vengono trattati e correggerli in caso contrario ('accuratezza'); • l'azienda non può utilizzare ulteriormente i dati personali per altri scopi non compatibili con lo scopo originale; • l'azienda deve garantire che i dati personali siano conservati non più del necessario per gli scopi per i quali sono stati raccolti ('limitazione di archiviazione'); • L'azienda deve installare adeguate garanzie tecniche e organizzative che garantiscano la sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro perdite accidentali, distruzioni o danni, utilizzando tecnologie appropriate ('integrità e riservatezza'). • Quali regole valgono se la mia organizzazione trasferisce dati fuori dall’UE? • Nell’attuale mondo globalizzato, ci sono molti trasferimenti di dati che vanno oltre i confini dell’UE, conservati spesso in server di diverse nazioni. La protezione offerta dal GDPR vale comunque, a prescindere dal luogo in cui i dati verranno trattati. Ciò vale anche quando i dati vengono trasferiti a Paesi non membri dell’UE (chiamati ‘Paesi terzi’). • Il GDPR fornisce diversi strumenti per custodire trasferimenti di dati dall’UE a Paesi terzi: • La Commissione Europea stabilisce se un Paese terzo è in grado di fornire un livello di protezione adeguato (Decisione di Adeguatezza), quindi trasferire dati in tali Paesi è come trasferirli in un Paese dell’UE. • In assenza di una Decisione di Adeguatezza, un trasferimento può avvenire attraverso la presenza di misure di sicurezza appropriate e a condizione che gli individui siano tutelati dalla legge. Queste misure sono così descritte: • Le aziende possono trasferire dati personali basandosi su norme interne di natura vincolante, nel caso in cui molte di loro siano impegnate in attività economiche congiunte. • Accordi contrattuali con i destinatari dei dati per le quali sono in vigore le regole standard approvate dalla Commissione Europea. • Osservanza di un codice di condotta da parte del destinatario dei dati che si impegna a salvaguardare i dati trasferiti. • In fine, nel caso in cui dei dati personali siano destinati a un Paese terzo che non sia soggetto alla Decisione di Adeguatezza e se non sono salvaguardate, un trasferimento può essere fatto basandosi su un numero di disposizioni derogatorie per situazioni specifiche, per es.: una persona che ha esplicitamente consentito al trasferimento dopo che lo stesso abbia fornito tutte le informazioni necessarie associate ai rischi del trasferimento.