Hai domande su GDPRlab?
Noi abbiamo le risposte.
Qui le domande (FAQ) più frequenti su GDPRlab
NORMATIVE
Che cosa prevede il GDPR?
Il Regolamento Generale sulla Protezione dei Dati (GDPR) è una normativa dell’Unione Europea (UE) che mira a proteggere i dati personali dei cittadini dell’UE. Le principali previsioni del GDPR sono:
Quali sono i principi cardine del GDPR?
i dati personali devono essere trattati in modo lecito (ovvero il trattamento deve essere legittimato da idonea base giuridica), corretto e trasparente.
i dati personali devono essere raccolti e trattati solo per scopi specifici e legittimi. L’utente dovrà esprimere un consenso diverso per ogni diversa finalità del trattamento dei propri dati.
devono essere raccolti solo i dati personali necessari per il raggiungimento delle finalità del trattamento. Ogni dato raccolto e trattato non necessario per il conseguimento della finalità predisposta costituisce “trattamento eccedente”.
i dati personali devono essere corretti, accurati e aggiornati.
i dati personali devono essere conservati solo per il tempo necessario per il raggiungimento delle finalità del trattamento.
devono essere implementate misure di sicurezza adeguate per proteggere i dati personali da accessi non autorizzati o perdite.
Che cos’è il principio di “privacy by design?”
Il principio di “privacy by design” implica che un sistema o un servizio debbano essere pensati, fin dalla fase di progettazione e poi nella realizzazione, per la massima tutela dei dati personali che questi dovranno processare.
Che cos’è il principio di “privacy by default?”
Con definizione “Il principio di “privacy by default” (privacy per impostazione predefinita) implica che le impostazioni predefinite di un servizio o di un’applicazione debbano essere configurate in modo tale da garantire un livello di protezione dei dati personali adeguato sin dall’inizio, senza che l’utente debba apportare ulteriori modifiche o azioni”.
Quali diritti il GDPR riconosce agli interessati?
Il GDPR riconosce diversi diritti alle persone coinvolte, tra cui il diritto di accesso ai propri dati personali, il diritto di rettifica, cancellazione, limitazione del trattamento e portabilità dei dati, nonché il diritto di opporsi al trattamento dei propri dati personali.
Che cosa è l’accountability nel GDPR?
L’accountability è un principio chiave del Regolamento Generale sulla Protezione dei Dati (GDPR) che richiede alle organizzazioni di essere responsabili del trattamento dei dati personali e di dimostrare tale responsabilità. In altre parole, l’accountability richiede alle organizzazioni di assumersi la responsabilità di proteggere i dati personali dei cittadini dell’Unione Europea (UE) e di dimostrare in modo proattivo la conformità alle disposizioni del GDPR.
L’accountability implica diversi aspetti, tra cui:
le organizzazioni devono documentare in modo adeguato le politiche, le procedure e le pratiche relative al trattamento dei dati personali, come ad esempio la nomina di un responsabile della protezione dei dati (DPO), l’adozione di misure di sicurezza tecniche ed organizzative, e la gestione dei consensi dei titolari dei dati.
le organizzazioni devono essere trasparenti nei confronti dei titolari dei dati riguardo al trattamento dei loro dati personali, fornendo informazioni chiare e comprensibili sulla finalità del trattamento, sulle basi legali, sui diritti dei titolari dei dati e su come possono esercitarli.
le organizzazioni devono condurre valutazioni dell’impatto sulla protezione dei dati (DPIA) per identificare e mitigare i rischi associati al trattamento dei dati personali, in particolare quando si tratta di trattamenti ad alto rischio, come ad esempio il trattamento di dati sensibili o di grandi quantità di dati.
le organizzazioni devono mantenere un registro delle attività di trattamento dei dati personali, che contiene informazioni dettagliate sulle attività di trattamento svolte, come ad esempio le finalità, le categorie di dati trattati, le basi legali, i destinatari dei dati e i tempi di conservazione.
le organizzazioni devono implementare adeguate misure di sicurezza tecniche ed organizzative per proteggere i dati personali, prevenire la violazione dei dati e garantire la riservatezza, l’integrità e la disponibilità dei dati.
Quali obblighi prevede il GDPR per i responsabili del trattamento dei dati?
I responsabili del trattamento sono soggetti a importanti obblighi di conformità al GDPR al fine di garantire la protezione dei dati personali e il rispetto dei diritti dei titolari dei dati.
i responsabili del trattamento devono trattare i dati personali in modo lecito, corretto e trasparente, rispettando le basi legali per il trattamento dei dati previste dal GDPR.
i responsabili del trattamento devono trattare i dati personali solo per le finalità specifiche per cui sono stati raccolti e documentate, e non devono trattare i dati in modo incompatibile con tali finalità.
i responsabili del trattamento devono raccogliere e trattare solo i dati personali strettamente necessari per le finalità del trattamento, evitando la raccolta e il trattamento eccessivo di dati.
i responsabili del trattamento devono garantire l’accuratezza e l’aggiornamento dei dati personali trattati, adottando misure adeguate per correggere o cancellare dati inaccurati o obsoleti.
i responsabili del trattamento devono conservare i dati personali solo per il tempo necessario per le finalità del trattamento, come stabilito in base alle politiche di conservazione documentate.
i responsabili del trattamento devono implementare misure di sicurezza tecniche ed organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione non autorizzata.
i responsabili del trattamento devono notificare alle autorità di controllo e, in alcuni casi, ai titolari dei dati, eventuali violazioni dei dati personali entro i termini previsti dal GDPR.
se i responsabili del trattamento utilizzano sub-responsabili per svolgere attività di trattamento per loro conto, devono selezionare solo sub-responsabili che offrano garanzie sufficienti sulla conformità al GDPR e stipulare contratti scritti che stabiliscano le responsabilità specifiche dei sub-responsabili.
Quali figure introduce il GDPR?
Il GDPR introduce diverse figure chiave all’interno del contesto della protezione dei dati personali. Alcune di queste figure includono:
A quanto ammontano le sanzioni previste dal GDPR?
Il GDPR prevede sanzioni amministrative significative in caso di violazione delle disposizioni del GDPR. L’importo delle sanzioni può variare a seconda della gravità della violazione e delle circostanze specifiche del caso. In particolare, il GDPR prevede due livelli di sanzioni:
La decisione sull’importo delle sanzioni viene presa dalle autorità di controllo locali, che hanno il potere di applicare sanzioni in caso di violazioni del GDPR.
DEFINIZIONI
Che cosa sono i dati personali?
I dati personali sono tutte le informazioni riguardanti una persona fisica identificata o identificabile, come nome, indirizzo, indirizzo email, numero di telefono, ecc.
Che cosa intende il GDPR per dati sensibili?
Il GDPR definisce i “dati sensibili” come categorie speciali di dati personali che richiedono una protezione particolare a causa della loro natura sensibile o del rischio potenziale di discriminazione. In particolare, il GDPR identifica le seguenti categorie di dati sensibili:
Ai sensi del GDPR, il trattamento di dati sensibili è soggetto a restrizioni più rigorose rispetto ad altre categorie di dati personali.
Che cosa si intende per titolare del trattamento (data controller)?
Il titolare del trattamento è l’entità o la persona giuridica, l’organizzazione o il soggetto che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. In altre parole, il titolare del trattamento è colui che decide perché e come i dati personali vengono trattati. Il titolare del trattamento ha la responsabilità di garantire che il trattamento dei dati personali sia effettuato in conformità alle leggi sulla protezione dei dati, compresi i principi e gli obblighi previsti dal GDPR, e di rispettare i diritti dei titolari dei dati.
Che cosa si intende per incaricato al trattamento dati (data handler?)
Il data handler è l’entità o la persona giuridica, l’organizzazione o il soggetto che tratta i dati personali per conto del data controller. Il data handler agisce sotto l’autorità del data controller e tratta i dati personali solo in conformità alle istruzioni del data controller e alle leggi sulla protezione dei dati applicabili. Il data handler può essere un’apposita figura all’interno dell’organizzazione del data controller o una terza parte esterna incaricata di svolgere attività di trattamento dei dati per conto del data controller.
Chi è il responsabile della protezione dei dati?
Il DPO è una figura prevista dal GDPR che può essere nominata da un titolare del trattamento o da un data processor, se richiesto dalla legge. Ha il compito di monitorare la conformità al GDPR all’interno dell’organizzazione, fornire consulenza sulla protezione dei dati e interagire con le autorità di controllo in materia di protezione dei dati. Il DPO deve essere un professionista indipendente, esperto in leggi sulla protezione dei dati e nella pratica della protezione dei dati, e deve avere una conoscenza approfondita delle operazioni di trattamento dei dati all’interno dell’organizzazione. Il DPO NON può essere un dipendente dell’organizzazione perchè non deve manifestarsi conflitto di interessi tra DPO e l’organizzazione per la quale opera. La sua nomina è obbligatoria in alcuni casi specifici, ad esempio quando l’organizzazione svolge attività di trattamento su larga scala di dati sensibili o quando richiesto dalla legge nazionale.
Chi è il titolare dei dati (Data Subject / Interessato):
Il titolare dei dati / interessato è l’individuo a cui si riferiscono i dati personali e che gode di determinati diritti in base al GDPR, come il diritto di accesso, il diritto di rettifica, il diritto di cancellazione, il diritto di opposizione, ecc.
Che cosa è il DPIA (Data Protection Impact Assessment)?
Il DPIA (Data Protection Impact Assessment) è uno strumento previsto dal GDPR che consente alle organizzazioni di valutare in modo sistematico e anticipato i rischi per la privacy e la protezione dei dati personali associati a un particolare trattamento dei dati.
Il DPIA è obbligatorio quando il trattamento dei dati potrebbe comportare un rischio elevato per i diritti e le libertà degli interessati, ad esempio in caso di trattamenti su larga scala di dati sensibili o di sorveglianza sistematica su vasta scala. Il DPIA deve essere condotto prima dell’avvio del trattamento dei dati e deve includere una valutazione dei rischi, una descrizione delle misure di mitigazione e una consultazione con l’autorità di controllo competente, se necessario.
Che cos’è un data breach?
Un data breach è una violazione della sicurezza dei dati in cui un’organizzazione subisce un accesso non autorizzato ai propri dati. Questo tipo di attacco può essere effettuato sia da un individuo malintenzionato sia da un’entità esterna, che cerca di ottenere informazioni sensibili per scopi illegali o fraudolenti. Il data breach può avere un impatto significativo sulla privacy e sulla sicurezza delle informazioni delle persone interessate, nonché sulle attività dell’organizzazione coinvolta.
Cos’è l’accountability privacy e quali sono i vantaggi?
L’accountability privacy è l’ approccio alla privacy che richiede alle organizzazioni di essere responsabili e trasparenti nell’uso delle informazioni personali dei loro utenti, le organizzazioni devono adottare politiche e procedure di privacy chiare e coerenti, rispettare le leggi sulla privacy applicabili e garantire la sicurezza dei dati personali.
L’accountability privacy aiuta a creare un rapporto di fiducia tra un’organizzazione e i suoi utenti, poiché dimostra che l’organizzazione ha adottato tutte le misure adeguate per proteggere le informazioni personali dei propri utenti.
Cos’è un titolare del trattamento privacy?
Un titolare del trattamento privacy è un’organizzazione o un individuo che decide le finalità e le modalità del trattamento dei dati personali.
Il titolare del trattamento privacy ha diverse responsabilità, tra cui:
Cos’è il Risk Assessment?
Il Risk Assessment (valutazione del rischio) è il processo di identificazione, valutazione e gestione dei rischi associati ad una determinata attività, operazione o sistema. Nella pratica, si tratta di individuare quelle che sono le potenziali fonti di rischio e valutare la loro probabilità di accadere e il loro impatto, al fine di sviluppare le strategie efficaci di mitigazione dei rischi.
Il processo di Risk Assessment si compone di quattro passaggi:
PIATTAFORMA PRIVACY GDPR
Come seguire il refresh del Privacy Impact Assessment?
Affinché la piattaforma acquisisca le modifiche apportate al PIA e le riporti anche in “Stampa informative e consenso” e in “Valutazione GDPR”, ti consigliamo di eseguire questa procedura:
Vai su Privacy Assessment > Risk assessment > (Clicca sul 1° trattamento dell’elenco) > Descrizione Privacy Impact Assessment.
Da qui, quindi, ri-esplicita il Template 1 e salva, come mostrato nell’immagine sotto
In questo modo vengono acquisite tutte le modifiche che sono state effettuate nelle varie sezioni (es. sicurezza, sedi, uffici, data handler, data processor esterni, banche dati, ecc…). Le modifiche saranno riportate anche nella stampa delle informative e nella Valutazione GDPR.
NB: La procedura di cui sopra va ripetuta per tutti i trattamenti dell’elenco in Risk assessment
Come censire il software per la fatturazione elettronica
Ecco la procedura consigliata per censire la fatturazione elettronica nella piattaforma GDPRlab:
In descrizione, specifica che utilizzi quel dato software per la fatturazione elettronica;
Come censire mail su server Exchange? (es. Outlook, Thunderbird, Office 365 ecc…)
Ecco la procedura consigliata per censire mail POP e mail su server Exchange nella piattaforma GDPRlab:
Come censire mail POP (es. Outlook, Thunderbird, Office 365 ecc…)
Ecco la procedura consigliata per censire mail POP nella piattaforma GDPRlab:
Come censire la Posta Elettronica esterna (webmail) (es. Gmail, Alice, Virgilio, Protonmail ecc…)
Ecco la procedura consigliata per censire le webmail nella piattaforma GDPRlab:
Come censire una banca dati esterna (gestionali, cloud ecc..)
Ecco la procedura consigliata per associare una banca dati esterna ad uno (o più) trattamenti del registro dei trattamenti: