Hai domande su GDPRlab?
Noi abbiamo le risposte.

Qui le domande (FAQ) più frequenti su GDPRlab

Che cosa prevede il GDPR?

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è una normativa dell’Unione Europea (UE) che mira a proteggere i dati personali dei cittadini dell’UE. Le principali previsioni del GDPR sono:

Protezione dei dati personali: Il GDPR stabilisce principi fondamentali per il trattamento dei dati personali, inclusa la loro raccolta, conservazione, utilizzo e condivisione.
Consenso informato: Il GDPR richiede che il consenso per il trattamento dei dati personali sia ottenuto in modo chiaro, specifico e volontario dal titolare dei dati.
Diritto all’accesso: Il GDPR rafforza il diritto dei cittadini dell’UE di accedere ai propri dati personali e di richiederne la correzione o cancellazione.
Obblighi per i titolari dei dati: Il GDPR impone obblighi più rigorosi alle organizzazioni che trattano dati personali, compresi la notifica di violazioni dei dati e la nomina di un responsabile della protezione dei dati.
Trasferimento di dati: Il GDPR stabilisce restrizioni sul trasferimento di dati personali al di fuori dell’UE, a meno che non siano presenti misure di sicurezza adeguate.
Sanzioni e multe: Il GDPR prevede sanzioni significative per le organizzazioni che violano le sue disposizioni, inclusi elevati importi di multe amministrative.
Quali sono i principi cardine del GDPR?
Legittimità, correttezza e trasparenza:
i dati personali devono essere trattati in modo lecito (ovvero il trattamento deve essere legittimato da idonea base giuridica), corretto e trasparente.
Limitazione della finalità:
i dati personali devono essere raccolti e trattati solo per scopi specifici e legittimi. L’utente dovrà esprimere un consenso diverso per ogni diversa finalità del trattamento dei propri dati.
Minimizzazione dei dati:
devono essere raccolti solo i dati personali necessari per il raggiungimento delle finalità del trattamento. Ogni dato raccolto e trattato non necessario per il conseguimento della finalità predisposta costituisce “trattamento eccedente”.
Esattezza:
i dati personali devono essere corretti, accurati e aggiornati.
Limitazione della conservazione:
i dati personali devono essere conservati solo per il tempo necessario per il raggiungimento delle finalità del trattamento.
Integrità e riservatezza:
devono essere implementate misure di sicurezza adeguate per proteggere i dati personali da accessi non autorizzati o perdite.
Che cos’è il principio di “privacy by design?”

Il principio di “privacy by design” implica che un sistema o un servizio debbano essere pensati, fin dalla fase di progettazione e poi nella realizzazione, per la massima tutela dei dati personali che questi dovranno processare.

Che cos’è il principio di “privacy by default?”

Con definizione “Il principio di “privacy by default” (privacy per impostazione predefinita) implica che le impostazioni predefinite di un servizio o di un’applicazione debbano essere configurate in modo tale da garantire un livello di protezione dei dati personali adeguato sin dall’inizio, senza che l’utente debba apportare ulteriori modifiche o azioni”.

Quali diritti il GDPR riconosce agli interessati?

Il GDPR riconosce diversi diritti alle persone coinvolte, tra cui il diritto di accesso ai propri dati personali, il diritto di rettifica, cancellazione, limitazione del trattamento e portabilità dei dati, nonché il diritto di opporsi al trattamento dei propri dati personali.

Che cosa è l’accountability nel GDPR?

L’accountability è un principio chiave del Regolamento Generale sulla Protezione dei Dati (GDPR) che richiede alle organizzazioni di essere responsabili del trattamento dei dati personali e di dimostrare tale responsabilità. In altre parole, l’accountability richiede alle organizzazioni di assumersi la responsabilità di proteggere i dati personali dei cittadini dell’Unione Europea (UE) e di dimostrare in modo proattivo la conformità alle disposizioni del GDPR.

L’accountability implica diversi aspetti, tra cui:

Documentazione:
le organizzazioni devono documentare in modo adeguato le politiche, le procedure e le pratiche relative al trattamento dei dati personali, come ad esempio la nomina di un responsabile della protezione dei dati (DPO), l’adozione di misure di sicurezza tecniche ed organizzative, e la gestione dei consensi dei titolari dei dati.
Trasparenza:
le organizzazioni devono essere trasparenti nei confronti dei titolari dei dati riguardo al trattamento dei loro dati personali, fornendo informazioni chiare e comprensibili sulla finalità del trattamento, sulle basi legali, sui diritti dei titolari dei dati e su come possono esercitarli.
Valutazioni dell’impatto sulla protezione dei dati (DPIA):
le organizzazioni devono condurre valutazioni dell’impatto sulla protezione dei dati (DPIA) per identificare e mitigare i rischi associati al trattamento dei dati personali, in particolare quando si tratta di trattamenti ad alto rischio, come ad esempio il trattamento di dati sensibili o di grandi quantità di dati.
Registro delle attività di trattamento:
le organizzazioni devono mantenere un registro delle attività di trattamento dei dati personali, che contiene informazioni dettagliate sulle attività di trattamento svolte, come ad esempio le finalità, le categorie di dati trattati, le basi legali, i destinatari dei dati e i tempi di conservazione.
Sicurezza dei dati:
le organizzazioni devono implementare adeguate misure di sicurezza tecniche ed organizzative per proteggere i dati personali, prevenire la violazione dei dati e garantire la riservatezza, l’integrità e la disponibilità dei dati.
Quali obblighi prevede il GDPR per i responsabili del trattamento dei dati?

I responsabili del trattamento sono soggetti a importanti obblighi di conformità al GDPR al fine di garantire la protezione dei dati personali e il rispetto dei diritti dei titolari dei dati.

Legalità, correttezza e trasparenza:
i responsabili del trattamento devono trattare i dati personali in modo lecito, corretto e trasparente, rispettando le basi legali per il trattamento dei dati previste dal GDPR.
Limitazione delle finalità:
i responsabili del trattamento devono trattare i dati personali solo per le finalità specifiche per cui sono stati raccolti e documentate, e non devono trattare i dati in modo incompatibile con tali finalità.
Minimizzazione dei dati:
i responsabili del trattamento devono raccogliere e trattare solo i dati personali strettamente necessari per le finalità del trattamento, evitando la raccolta e il trattamento eccessivo di dati.
Esattezza dei dati:
i responsabili del trattamento devono garantire l’accuratezza e l’aggiornamento dei dati personali trattati, adottando misure adeguate per correggere o cancellare dati inaccurati o obsoleti.
Limitazione della conservazione:
i responsabili del trattamento devono conservare i dati personali solo per il tempo necessario per le finalità del trattamento, come stabilito in base alle politiche di conservazione documentate.
Sicurezza dei dati:
i responsabili del trattamento devono implementare misure di sicurezza tecniche ed organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione non autorizzata.
Responsabilità della notifica delle violazioni dei dati:
i responsabili del trattamento devono notificare alle autorità di controllo e, in alcuni casi, ai titolari dei dati, eventuali violazioni dei dati personali entro i termini previsti dal GDPR.
Responsabilità nella scelta dei responsabili del trattamento:
se i responsabili del trattamento utilizzano sub-responsabili per svolgere attività di trattamento per loro conto, devono selezionare solo sub-responsabili che offrano garanzie sufficienti sulla conformità al GDPR e stipulare contratti scritti che stabiliscano le responsabilità specifiche dei sub-responsabili.
Quali figure introduce il GDPR?

Il GDPR introduce diverse figure chiave all’interno del contesto della protezione dei dati personali. Alcune di queste figure includono:

Titolare del trattamento (Data Controller),
Responsabile del trattamento (Data Processor),
Incaricato del trattamento (Data Handler),
Responsabile della protezione dei dati (Data Protection Officer o DPO),
Titolare dei dati (Data Subject / Interessato),
Autorità di controllo (Data Protection Authority o DPA).
A quanto ammontano le sanzioni previste dal GDPR?

Il GDPR prevede sanzioni amministrative significative in caso di violazione delle disposizioni del GDPR. L’importo delle sanzioni può variare a seconda della gravità della violazione e delle circostanze specifiche del caso. In particolare, il GDPR prevede due livelli di sanzioni:

Sanzioni amministrative fino a 10 milioni di euro o, nel caso di un’impresa, fino al 2% del fatturato globale annuo dell’esercizio finanziario precedente, a seconda del valore più alto.
Sanzioni amministrative fino a 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato globale annuo dell’esercizio finanziario precedente, a seconda del valore più alto.

La decisione sull’importo delle sanzioni viene presa dalle autorità di controllo locali, che hanno il potere di applicare sanzioni in caso di violazioni del GDPR.

Che cosa sono i dati personali?

I dati personali sono tutte le informazioni riguardanti una persona fisica identificata o identificabile, come nome, indirizzo, indirizzo email, numero di telefono, ecc.

Che cosa intende il GDPR per dati sensibili?

Il GDPR definisce i “dati sensibili” come categorie speciali di dati personali che richiedono una protezione particolare a causa della loro natura sensibile o del rischio potenziale di discriminazione. In particolare, il GDPR identifica le seguenti categorie di dati sensibili:

Dati che rivelano l’origine razziale o etnica;
Dati che rivelano le opinioni politiche;
Dati che rivelano le convinzioni religiose o filosofiche;
Dati che rivelano l’appartenenza sindacale;
Dati relativi alla salute fisica o mentale;
Dati relativi alla vita sessuale o all’orientamento sessuale;
Dati biometrici univoci utilizzati per l’identificazione di una persona;
Dati genetici, cioè dati ereditari o relativi alle caratteristiche genetiche di una persona.

Ai sensi del GDPR, il trattamento di dati sensibili è soggetto a restrizioni più rigorose rispetto ad altre categorie di dati personali.

Che cosa si intende per titolare del trattamento (data controller)?

Il titolare del trattamento è l’entità o la persona giuridica, l’organizzazione o il soggetto che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. In altre parole, il titolare del trattamento è colui che decide perché e come i dati personali vengono trattati. Il titolare del trattamento ha la responsabilità di garantire che il trattamento dei dati personali sia effettuato in conformità alle leggi sulla protezione dei dati, compresi i principi e gli obblighi previsti dal GDPR, e di rispettare i diritti dei titolari dei dati.

Che cosa si intende per incaricato al trattamento dati (data handler?)

Il data handler è l’entità o la persona giuridica, l’organizzazione o il soggetto che tratta i dati personali per conto del data controller. Il data handler agisce sotto l’autorità del data controller e tratta i dati personali solo in conformità alle istruzioni del data controller e alle leggi sulla protezione dei dati applicabili. Il data handler può essere un’apposita figura all’interno dell’organizzazione del data controller o una terza parte esterna incaricata di svolgere attività di trattamento dei dati per conto del data controller.

Chi è il responsabile della protezione dei dati?

Il DPO è una figura prevista dal GDPR che può essere nominata da un titolare del trattamento o da un data processor, se richiesto dalla legge. Ha il compito di monitorare la conformità al GDPR all’interno dell’organizzazione, fornire consulenza sulla protezione dei dati e interagire con le autorità di controllo in materia di protezione dei dati. Il DPO deve essere un professionista indipendente, esperto in leggi sulla protezione dei dati e nella pratica della protezione dei dati, e deve avere una conoscenza approfondita delle operazioni di trattamento dei dati all’interno dell’organizzazione. Il DPO NON può essere un dipendente dell’organizzazione perchè non deve manifestarsi conflitto di interessi tra DPO e l’organizzazione per la quale opera. La sua nomina è obbligatoria in alcuni casi specifici, ad esempio quando l’organizzazione svolge attività di trattamento su larga scala di dati sensibili o quando richiesto dalla legge nazionale.

Chi è il titolare dei dati (Data Subject / Interessato):

Il titolare dei dati / interessato è l’individuo a cui si riferiscono i dati personali e che gode di determinati diritti in base al GDPR, come il diritto di accesso, il diritto di rettifica, il diritto di cancellazione, il diritto di opposizione, ecc.

Che cosa è il DPIA (Data Protection Impact Assessment)?

Il DPIA (Data Protection Impact Assessment) è uno strumento previsto dal GDPR che consente alle organizzazioni di valutare in modo sistematico e anticipato i rischi per la privacy e la protezione dei dati personali associati a un particolare trattamento dei dati.
Il DPIA è obbligatorio quando il trattamento dei dati potrebbe comportare un rischio elevato per i diritti e le libertà degli interessati, ad esempio in caso di trattamenti su larga scala di dati sensibili o di sorveglianza sistematica su vasta scala. Il DPIA deve essere condotto prima dell’avvio del trattamento dei dati e deve includere una valutazione dei rischi, una descrizione delle misure di mitigazione e una consultazione con l’autorità di controllo competente, se necessario.

Che cos’è un data breach?

Un data breach è una violazione della sicurezza dei dati in cui un’organizzazione subisce un accesso non autorizzato ai propri dati. Questo tipo di attacco può essere effettuato sia da un individuo malintenzionato sia da un’entità esterna, che cerca di ottenere informazioni sensibili per scopi illegali o fraudolenti. Il data breach può avere un impatto significativo sulla privacy e sulla sicurezza delle informazioni delle persone interessate, nonché sulle attività dell’organizzazione coinvolta.

Cos’è l’accountability privacy e quali sono i vantaggi?

L’accountability privacy è l’ approccio alla privacy che richiede alle organizzazioni di essere responsabili e trasparenti nell’uso delle informazioni personali dei loro utenti, le organizzazioni devono adottare politiche e procedure di privacy chiare e coerenti, rispettare le leggi sulla privacy applicabili e garantire la sicurezza dei dati personali.
L’accountability privacy aiuta a creare un rapporto di fiducia tra un’organizzazione e i suoi utenti, poiché dimostra che l’organizzazione ha adottato tutte le misure adeguate per proteggere le informazioni personali dei propri utenti.

Cos’è un titolare del trattamento privacy?

Un titolare del trattamento privacy è un’organizzazione o un individuo che decide le finalità e le modalità del trattamento dei dati personali.
Il titolare del trattamento privacy ha diverse responsabilità, tra cui:

Raccogliere e trattare i dati personali solo per scopi specifici e legittimi
Garantire che i dati personali siano accurati e aggiornati
Proteggere i dati personali da accessi non autorizzati o da violazioni della sicurezza
Rispettare le leggi sulla privacy applicabili
Rispondere alle richieste di accesso, rettifica, cancellazione e opposizione dei dati personali
Cos’è il Risk Assessment?

Il Risk Assessment (valutazione del rischio) è il processo di identificazione, valutazione e gestione dei rischi associati ad una determinata attività, operazione o sistema. Nella pratica, si tratta di individuare quelle che sono le potenziali fonti di rischio e valutare la loro probabilità di accadere e il loro impatto, al fine di sviluppare le strategie efficaci di mitigazione dei rischi.

Il processo di Risk Assessment si compone di quattro passaggi:

Identificazione del rischio: si individuano tutte le possibili fonti di rischio;
Valutazione del rischio: vengono valutate le probabilità di accadimento del rischio e il suo impatto, per stabilire il livello di rischio;
Mitigazione del rischio: si sviluppano e si implementano  strategie per ridurre il livello di rischio;
Monitoraggio e revisione: monitorare costantemente l’attività, operazione o sistema per assicurarsi che le strategie di mitigazione del rischio siano efficaci e, se necessario, apportare modifiche al processo.
Come seguire il refresh del Privacy Impact Assessment?

Affinché la piattaforma acquisisca le modifiche apportate al PIA e le riporti anche in “Stampa informative e consenso” e in “Valutazione GDPR”, ti consigliamo di eseguire questa procedura:

Vai su Privacy Assessment > Risk assessment > (Clicca sul 1° trattamento dell’elenco) > Descrizione Privacy Impact Assessment.

Da qui, quindi, ri-esplicita il Template 1 e salva, come mostrato nell’immagine sotto

In questo modo vengono acquisite tutte le modifiche che sono state effettuate nelle varie sezioni (es. sicurezza, sedi, uffici, data handler, data processor esterni, banche dati, ecc…). Le modifiche saranno riportate anche nella stampa delle informative e nella Valutazione GDPR.

NB: La procedura di cui sopra va ripetuta per tutti i trattamenti dell’elenco in Risk assessment  

Come censire il software per la fatturazione elettronica

Ecco la procedura consigliata per censire la fatturazione elettronica nella piattaforma GDPRlab:

G.D.P.R. > Sistemi di elaborazione > Nuovo –> censisci il software che utilizzerai per la fatturazione elettronica. Catalogalo come Cloud alla voce Tipo;
G.D.P.R. > Data processor esterni > Nuovo –> censisci l’azienda che ti fornisce il software di fatturazione elettronica e che si occupa di fare da intermediario con l’Agenzia delle Entrate per la conservazione sostitutiva delle fatture;
G.D.P.R. > Banche dati > Nuovo –>  censisci il software che utilizzerai per la fatturazione elettronica, associando come sistema di elaborazione il cloud creato al punto 1. 
In descrizione, specifica che utilizzi quel dato software per la fatturazione elettronica;
 Registro dei trattamenti > Trattamenti > Gestione Contabilità > Banche dati –> al trattamento “Gestione Contabilità”, tra le altre banche dati già associate, associa anche la banca dati creata di cui al punto 3. di cui sopra;
Registro dei trattamenti > Trattamenti > Gestione Contabilità > Permessi > Aggiungi DPE –> al trattamento “Gestione Contabilità”, tra gli altri DH e DPE (già associati), dovrai associare anche i permessi relativi al fornitore del software di fatturazione elettronica, censito al punto 2. di cui sopra;
D.P.O. > Stampa informative e consenso > Gestione Contabilità –> stampa quindi l’informativa aggiornata (Gestione Contabilità)
Come censire mail su server Exchange? (es. Outlook, Thunderbird, Office 365 ecc…)

Ecco la procedura consigliata per censire mail POP e mail su server Exchange nella piattaforma GDPRlab:

Sicurezza > Sistemi di Backup > Nuovo –> qui censisci il backup del server;
G.D.P.R. > Sistemi di elaborazione > Nuovo > Tipo: Server –> qui censisci il server;
G.D.P.R > Banche dati > Nuovo —> censisci la banca dati “Posta elettronica” e associa, come sistema di elaborazione, il server (creato col  punto 2) e il backup (del punto 1).
Come censire mail POP (es. Outlook, Thunderbird, Office 365 ecc…)

Ecco la procedura consigliata per censire mail POP nella piattaforma GDPRlab:

Sicurezza > Sistemi di Backup > Nuovo –> qui censisci il backup del client;
G.D.P.R. > Sistemi di elaborazione > Nuovo > Tipo: Client –> qui censisci il client;
G.D.P.R > Banche dati > Nuovo —> censisci la banca dati “Posta elettronica” e associa, come sistema di elaborazione, il client (creato col  punto 2) e il backup (del punto 1).
Come censire la Posta Elettronica esterna (webmail) (es. Gmail, Alice, Virgilio, Protonmail ecc…)

Ecco la procedura consigliata per censire le webmail nella piattaforma GDPRlab:

Sicurezza > Sistemi di Backup > Nuovo –> censisci il backup del database in hosting (mettendo ai campi frequenza, modalità, tempi gestiti dal fornitore hosting);
G.D.P.R. > Sistemi di elaborazione > Nuovo > Tipo: Cloud > Aggiungi Cloud —> censisci il database in hosting (indicando denominazione, sito web, privacy policy);
G.D.P.R > Banche dati > Nuovo —> censisci la banca dati “Posta elettronica” e associa, come sistema di elaborazione, il cloud (del punto 2.) e il backup (del punto 1).
Come censire una banca dati esterna (gestionali, cloud ecc..)

Ecco la procedura consigliata per associare una banca dati esterna ad uno (o più) trattamenti del registro dei trattamenti:

G.D.P.R. > Sistemi di elaborazione > Nuovo –> censisci la banca dati esterna, catalogandola come Cloud alla voce “TIPO”;
 G.D.P.R. > Banche dati > Nuovo –>  censisci la banca dati esterna e  associa, come sistema di elaborazione, il cloud creato al punto 1. di cui sopra. In descrizione esplicita brevemente l’uso che fai di questo cloud;
 Registro dei trattamenti > Trattamenti > Gestione clienti > Banche dati –> al trattamento “Gestione clienti”, tra le altre banche dati (già associate), associa anche la banca dati creata di cui al punto 2. di cui sopra;
 Registro dei trattamenti > Trattamenti > Gestione clienti > Permessi > Aggiungi DPE –> al trattamento “Gestione clienti”, tra gli altri DH e DPE (già associati), associa anche i permessi relativi ai responsabili esterni della banca dati esterna.