FAQ - Domande e Risposte sulla Privacy

Cos’è il trattamento dei dati personali?

Il GDPR definisce come trattamento di dati personali qualsiasi operazione o insieme di operazioni effettuate su dati personali, con o senza l’ausilio di strumenti automatizzati.

Parliamo di operazioni come:

• Raccolta – Acquisizione di dati personali.
• Registrazione – Memorizzazione delle informazioni.
• Organizzazione – Creazione di archivi cartacei o digitali.
• Conservazione – Mantenimento dei dati per un certo periodo.
• Modifica o aggiornamento – Correzione delle informazioni.
• Consultazione e utilizzo – Accesso ai dati per finalità specifiche.
• Comunicazione e diffusione – Condivisione con soggetti autorizzati.
• Cancellazione o anonimizzazione – Eliminazione dei dati quando non più necessari.

Esempi pratici:

• Un idraulico che raccoglie dati per emettere fatture.
• Un’azienda che archivia indirizzi email per una newsletter.
• Una palestra che crea tessere di ingresso per i clienti.

Cosa sono i dati personali

I dati personali sono tutte le informazioni che rendono identificabile e riconoscibile direttamente o indirettamente una persona fisica(l’interessato).

Sono dati personali ad esempio il nome, il cognome, la data di nascita, codice fiscale, indirizzo email, numero di telefono, identità digitale, numero di patente.

Sono comunque dati personali anche profili social, indirizzo ip, l’id utente, l’IBAN, il numero di carta di credito o anche la geolocalizzazione gps.

I dati personali possono essere anche particolari o sensibili.
A questa categoria di dati fanno parte tutti i dati che possono rivelare l’origine raziale, etnica, opinioni politiche religiose o filosofiche.

Dati riguardanti la salute, l’orientamento sessuale, dati biometrici come impronte digitali o riconoscimento facciale.

Data la loro natura, il trattamento di questi dati è soggetto ad attenzioni più rigide e richiede misure di sicurezza elevate per proteggere la privacy dell’interessato.

Chi è l’Interessato?

Il GDPR definisce come interessato una persona fisica che può essere identificata o identificabile attraverso i dati raccolti e trattati da un’organizzazione, un’azienda o un ente pubblico.

Ecco alcuni esempi:

• Un titolare di una carta fedeltà.
• Un cliente che fornisce dati per un ordine online.
• Il paziente di uno studio medico.
• Un dipendente di un’azienda.

Quali sono i diritti dell’interessato?

Il regolamento generale sulla protezione dei dati garantisce all’interessato numerosi diritti per controllare e proteggere i propri dati personali:

• Diritto di accesso - L’interessato può richiedere di sapere quali dati vengono trattati e per quale scopo.
• Diritto di rettifica - Può correggere informazioni errate o incomplete.
• Diritto alla cancellazione ("Diritto all'oblio") - Può chiedere la cancellazione dei dati in determinate condizioni.
• Diritto alla limitazione del trattamento - Può chiedere di sospendere temporaneamente l’uso dei suoi dati.
• Diritto alla portabilità dei dati - Può ricevere i propri dati in un formato strutturato per trasferirli a un altro fornitore.
• Diritto di opposizione - Può opporsi al trattamento dei dati per determinate finalità, come il marketing diretto.

Come può esercitare i propri diritti?

L’interessato può esercitare il proprio diritto contattando il Titolare del trattamento, che ha 1 mese per rispondere (o 2 mesi in caso di richieste complesse). In caso di mancata risposta, può segnalare la violazione al Garante della Privacy o avviare un’azione legale.

Chi è il titolare del trattamento?

Il GDPR stabilisce che il Titolare del trattamento dei dati è "Il soggetto che determina le finalità e i mezzi del trattamento dei dati personali."
Può essere persona fisica, giuridica, pubblica amministrazione o ente.

I suoi principali compiti, obblighi e responsabilità sono:

• Determinare le finalità e i mezzi del trattamento, stabilendo come e perché vengono raccolti e trattati i dati.
• Fornire le informative privacy rivolte agli interessati in cui stabilisce quali dati raccoglie, le finalità, per quanto tempo tratterà i dati, chi avrà accesso e quali sono i diritti dell’interessato.
• Si assicura che il trattamento sia lecito, corretto e trasparente e sia adeguato alle finalità
• Garantisce che le misure tecniche e organizzative vengano adottate correttamente per proteggere i dati degli interessati.
• Può nominare un responsabile del trattamento che opera secondo le sue istruzioni
• Notifica al garante della privacy eventuali violazioni.

Chi è il Responsabile del Trattamento?

La definizione sua definizione secondo il GDPR è “Il responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che tratta dati personali per conto del titolare del trattamento”

In sintesi il titolare decide le finalità e i mezzi del trattamento dei dati mentre il responsabile esegue il trattamento rispettando le direttive del titolare.

Perché il titolare e il responsabile del trattamento possono nominare un sub responsabile o un responsabile in outsourcing?

Il Titolare o il Responsabile del Trattamento può nominare Sub-Responsabili o affidare attività a Responsabili in outsourcing per la gestione di servizi esterni all’azienda che implicano il trattamento di dati personali.

Esempi pratici:

• Un commercialista che elabora le buste paga per conto di un’azienda.
• Un tecnico IT che gestisce la sicurezza e la manutenzione dei sistemi informatici.
• Un’agenzia di web marketing che analizza dati e conduce campagne pubblicitarie per il Titolare.

In tutti i casi, i soggetti incaricati devono trattare i dati seguendo le direttive del Titolare e rispettando le normative sulla privacy.

Chi è il Responsabile della Protezione dei dati?

Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), il DPO (Data Protection Officer), o DPR, è un professionista esperto in normativa e pratiche sulla privacy. Il suo ruolo è indipendente e viene svolto in totale autonomia, garantendo la conformità dell’organizzazione alle disposizioni in materia di protezione dei dati.

La definizione del GDPR è la seguente:

"Il Responsabile della Protezione dei Dati è designato dal titolare o dal responsabile del trattamento per sorvegliare l'osservanza del regolamento in materia di protezione dei dati."

Quando è obbligatorio nominare un DPO?

Secondo il GDPR, la nomina di un DPO è obbligatoria nei seguenti casi:

• Enti pubblici e autorità pubbliche
• Aziende che trattano dati personali su larga scala
• Organizzazioni che trattano dati sensibili o giudiziari su larga scala

Quali sono i compiti del DPO?

Il DPO ha il compito di garantire la conformità dell’organizzazione alle normative sulla protezione dei dati.

Le sue principali responsabilità includono:

• Fornire consulenza al Titolare e al Responsabile del trattamento sui loro obblighi in materia di privacy.
• Formare il personale per assicurare un corretto trattamento dei dati personali.
• Monitorare l’applicazione delle norme e verificare il rispetto delle procedure GDPR.
• Agire come punto di contatto tra l’organizzazione e l’Autorità Garante per la Privacy.

Essendo una figura super partes, il DPO opera in maniera indipendente sia nei confronti dell’azienda sia dell’Autorità di controllo.

Proprio per questa ragione, non deve prendere decisioni sulle finalità e modalità del trattamento, garantendo imparzialità e obiettività nel suo operato.

Il GDPR stabilisce 7 principi fondamentali che sono alla base di qualsiasi trattamento di dati.

1 Liceità, correttezza e trasparenza

Il trattamento deve avere una base giuridica valida, non deve essere ingannevole per l’interessato, che deve essere informato in modo chiaro e comprendibile su come vengono trattati i propri dati. 

2 Limitazione della finalità

I dati devono essere raccolti solo per scopi specifici, espliciti e legittimi, non possono essere riutilizzati per finalità diverse da quelle iniziali

3 Minimizzazione dei dati

I dati devono essere raccolti solo i dati strettamente necessari per lo scopo dichiarato

4 Esattezza dei dati

I dati personali devono essere corretti e aggiornati, e il Titolare del trattamento ha il dovere di correggere o cancellare dati inesatti.

5 Limitazione della conservazione

I dati devono essere conservati solo per il tempo necessario a raggiungere la finalità per cui sono stati raccolti

6 Integrità e riservatezza

I dati devono essere protetti da violazioni, perdita o distruzione adottando misure di sicurezza tecniche e organizzative adeguate.

7 Responsabilizzazione

Il Titolare del trattamento deve dimostrare di rispettare il GDPR e adottare misure adeguate a proteggere i dati personali.

Il mancato rispetto delle normative previste nel GDPR prevede due diversi tipi di sanzioni pecuniarie:

Sanzioni fino a 10.000.000 euro o al 2% del fatturato mondiale dell’esercizio precedente per mancata lacunosa predisposizione del registro, mancata designazione del DPO ove necessario, mancata adozione di misure tecnico-organizzative ecc.

Sanzioni fino a 20.000.000 euro o al 4% del fatturato mondiale dell’esercizio precedente per violazioni dei principi fondamentali, regole sul consenso, regole su export dati extra UE.

Il GDPR prevede anche sanzioni non pecuniarie come:

Il blocco dei dati e la pubblicazione dei provvedimenti con conseguenti danni reputazionali a carico del titolare.

Oggi, garantire trasparenza e un trattamento corretto dei dati personali non è solo un obbligo legale, ma un vero valore aggiunto per ogni azienda.

Comunicare ai clienti che i loro dati vengono gestiti nel rispetto della normativa vigente crea un forte vantaggio competitivo, trasmettendo fiducia e sicurezza.

In un’epoca in cui la consapevolezza sulla privacy è in costante crescita, dimostrare attenzione alla protezione dei dati può fare la differenza.

Un approccio etico e conforme al GDPR può tradursi in una maggiore fidelizzazione, nell’aumento della soddisfazione dei clienti e, di conseguenza, nel rafforzamento della reputazione aziendale.

Invictus Aziende si impegna ogni giorno ad essere al fianco delle aziende per rendere semplici, scorrevoli e sicure tutte quelle procedure burocratiche previste dal nuovo GDPR 679/2016, realizzando tutte le misure adeguate da adottare per essere in regola.

Invictus Aziende infatti è l'unica piattaforma online che consente, in pochi e semplici step, di gestire in modo sicuro, completo e semplificato le procedure previste dalla legge in ambito Privacy.