Il compito del responsabile della protezione dei dati comprende, tra l'altro:

• informare e consigliare l'impresa e i suoi dipendenti in merito alla conformità alla protezione dei dati;
• monitorare la conformità alla protezione dei dati;
• fornire consulenza sulle richieste relative alla valutazione d'impatto sulla protezione dei dati (DPIA);
• fungere da punto di contatto per l'Autorità per la protezione dei dati e cooperare con tale Autorità per la protezione dei dati;
• fungere da punto di contatto per le persone.

Oltre a ciò, la presenza del Responsabile della protezione dei dati è generalmente raccomandata quando vengono prese decisioni con implicazioni in materia di protezione dei dati. Il Responsabile della protezione dei dati dovrebbe inoltre essere prontamente consultato ogni volta che si verifichi una violazione dei dati o un altro incidente.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

I titolari del trattamento possono trattare i dati personali solo in una delle seguenti circostanze:

• con il consenso delle persone interessate;
• quando il trattamento è necessario per l'esecuzione di un contratto (un contratto tra la tua impresa e una persona fisica);
• adempiere ad un obbligo di legge ai sensi della legislazione dell'UE o nazionale;
• quando il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico ai sensi della legislazione dell'UE o nazionale;
• proteggere gli interessi vitali di un individuo;
• per gli interessi legittimi della tua impresa/ente, tranne nei casi in cui prevalgano i diritti e le libertà degli individui.

Inoltre, il GDPR stabilisce condizioni aggiuntive per il trattamento dei dati particolari.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

• Qualsiasi trattamento di dati personali deve essere lecito, corretto e trasparente.
• Raccogliere dati personali solo per finalità determinate, esplicite e legittime. Il trattamento dei dati di una persona deve essere strettamente limitato alle finalità inizialmente stabilite e quindi non per scopi successivi o per altre finalità incompatibili con le finalità iniziali.
• Trattare solo i dati personali necessari e proporzionati allo scopo previsto.
• Tutti i dati personali trattati devono essere esatti e aggiornati. I dati personali inesatti devono essere rettificati o cancellati.
• La conservazione dei dati personali delle persone fisiche deve essere limitata nel tempo, alla luce dello scopo per il quale tali dati sono stati raccolti e trattati. Pertanto, i dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che tali dati non si rendano più necessari.
• Il trattamento dei dati delle persone fisiche deve essere effettuato in modo sicuro. In tal senso, è necessario istituire solidi controlli di cyber sicurezza per garantire che i dati delle persone siano adeguatamente protetti.

Infine, il titolare è tenuto a rendere conto. Ciò significa che è responsabile e deve essere in grado di dimostrare il rispetto dei principi di cui sopra.

Per maggiori informazioni:

• Protezione base dei dati

Il GDPR impone obblighi a tutte gli enti che trattano dati personali, indipendentemente dal fatto che siano titolari del trattamento o responsabili del trattamento dei dati.
In particolare, si deve:

• Chiedersi se lo scopo per il quale i dati personali possono essere raccolti è giustificato e raccogliere solo i dati personali necessari per le finalità specifiche previste;
• tenere i dati personali delle persone fisiche accurati e aggiornati e cancellarli quando non sono più necessari;
• rispettare i diritti delle persone informandole su come e perché i loro dati sono trattati e consentendo loro di esercitare i loro diritti;
• verificare se si dispone di una base giuridica adeguata per il trattamento dei dati personali. Nel caso in cui si intenda fare affidamento sul consenso delle persone fisiche, chiedere il loro consenso prima del trattamento dei loro dati personali;
• assicurarsi che i dati personali delle persone siano trattati in modo sicuro;
• mantenere un registro delle operazioni di trattamento.

I responsabili del trattamento dovranno attenersi alle responsabilità stabilite nel contratto con il titolare del trattamento e non dovranno trattare i dati se non secondo le istruzioni del titolare del trattamento.

Per maggiori informazioni:

• Essere conformi
• Titolare del trattamento o responsabile del trattamento
• Principi di base per la protezione dei dati
   

I cookie sono piccoli file memorizzati su un dispositivo, come un computer, un dispositivo mobile o qualsiasi altro dispositivo in grado di memorizzare informazioni. I cookie svolgono una serie di funzioni importanti, tra cui ricordare gli utenti e le loro precedenti interazioni con un sito web. Possono essere utilizzati per tenere traccia degli articoli in un carrello della spesa online o per tenere traccia delle informazioni quando i dettagli sono inseriti in un modulo online.

I cookie di autenticazione sono importanti anche per identificare gli utenti quando effettuano l'accesso ai servizi bancari e ad altri servizi online. Le informazioni memorizzate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificatore univoco o un indirizzo e-mail.

La nomina di un responsabile della protezione dei dati è obbligatoria nei seguenti tre casi:

• l'ente è un'autorità pubblica;
• le attività principali dell'ente consistono nel monitoraggio regolare e sistematico delle persone su larga scala, ad esempio la geolocalizzazione tramite un'applicazione mobile, o nella sorveglianza dei centri commerciali e degli spazi pubblici attraverso le telecamere;
• le attività principali dell'ente consistono nel trattamento su vasta scala di dati particolari o di dati personali relativi a condanne penali e reati.

È sempre possibile nominare un RPD su base volontaria, anche se ciò non è richiesto dalla legge. Si prega di notare che in tal caso, è necessario rispettare tutte le disposizioni del GDPR relative ai compiti e alla posizione del responsabile della protezione dei dati.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati

Il RPD non può essere ritenuto responsabile per il mancato rispetto del GDPR. Il rispetto del GDPR è responsabilità dell'impresa/organizzazione che ha nominato il RPD.

Per maggiori informazioni:

• Il Responsabile della protezione dei dati
   

No, il trattamento dei dati particolari (dati sensibili) è generalmente vietato, salvo in circostanze molto specifiche:

• L'interessato ha dato il suo esplicito consenso al trattamento dei suoi dati particolari.
• Il trattamento dei dati particolari è necessario affinché il titolare del trattamento adempia ai propri obblighi, in particolare nell'ambito dell'impiego e della previdenza sociale. Ad esempio, il titolare del trattamento potrebbe dover trattare i dati particolari di una persona per poter determinare se ha diritto a determinati benefits di previdenza sociale o di stipendio.
• Il trattamento dei dati particolari è necessario per tutelare gli interessi vitali di un individuo nel caso in cui la persona non sia in grado fisicamente o legalmente di dare il proprio consenso. Ad esempio, se una persona rimane incosciente a seguito di un incidente e richiede cure mediche immediate, i suoi dati sanitari potrebbero aver bisogno di essere trattati per l'erogazione delle cure mediche appropriate.
• Il trattamento dei dati particolari è effettuato nell'ambito delle legittime attività di una fondazione, associazione o altra organizzazione senza scopo di lucro con finalità politica, filosofica, religiosa o sindacale, e solo per il trattamento dei dati personali dei loro membri, ex membri o persone che hanno contatti regolari con essi.
• I dati particolari sono stati manifestamente resi pubblici dall'individuo stesso.
• Il trattamento dei dati particolari è necessario nell'ambito di procedimenti giudiziari.
• Il trattamento dei dati particolari è necessario per questioni sostanziali di interesse pubblico.
• Il trattamento dei dati particolari è necessario nel contesto della medicina preventiva o del lavoro. Ad esempio, la valutazione dei dati particolari di un individuo, come i suoi dati medici, può essere necessaria per determinare la sua capacità lavorativa come dipendente.
• Il trattamento dei dati particolari è necessario per questioni di sanità pubblica sulla base del diritto dell'UE o nazionale. Ad esempio, il trattamento dei dati particolari delle persone può essere necessario per garantire un'alta qualità dell’assistenza sanitaria e un'alta qualità dei prodotti medici, o per combattere gravi minacce per la salute, come i virus.
• Il trattamento dei dati particolari è necessario per questioni di conservazione nel pubblico interesse o per scopi di ricerca scientifica o storica, o a fini statistici. Ad esempio, il trattamento di dati particolari può essere necessario per fornire statistiche accurate sulla situazione di un paese in un determinato settore. 

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Il consenso potrebbe effettivamente costituire una valida base giuridica per la conservazione dei CV dei candidati. Un'altra possibile base giuridica potrebbe essere l'interesse legittimo. In tal caso, si dovrebbe effettuare un test di bilanciamento degli interessi per dimostrare che gli interessi legittimi della tua impresa/organizzazione superano i diritti dei candidati.

In ogni caso, dovrai informare i candidati che intendi conservare i loro dati e per quali scopi.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito

Sì, ma per farlo, dovrai prima determinare la base giuridica per il trattamento di questo tipo di dati personali. Ad esempio, il trattamento potrebbe essere considerato un interesse legittimo per la tua impresa/ organizzazione. Nel trattamento dei dati personali sulla base di un interesse legittimo, è sempre necessario effettuare un test di bilanciamento degli interessi per determinare se i tuoi interessi legittimi prevalgono sui diritti delle persone, in particolare se sono coinvolti bambini.

Un'altra possibile base giuridica per tale trattamento potrebbe essere il consenso. In ogni caso, gli individui devono essere sempre informati in anticipo se l'evento viene fotografato o filmato.

Per maggiori informazioni:

• Trattare i dati personali in modo lecito