Q: Qual è la definizione operativa di 'dato personale' secondo il GDPR?

Il GDPR definisce 'dato personale' in modo estensivo come qualsiasi informazione relativa a una persona fisica identificata o identificabile. Oltre ai dati ovvi come nome e indirizzo email, rientrano in questa categoria gli identificativi online (indirizzi IP, cookie), dati di localizzazione, caratteristiche genetiche, biometriche e di salute, nonché fattori specifici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Per le aziende, è fondamentale mappare tutti i flussi di dati che possono ricondurre, direttamente o indirettamente, a un individuo, compresi quelli pseudonimizzati se reversibili. Una valutazione d'impatto sulla protezione dei dati è spesso necessaria per trattamenti complessi.

Q: Quali sono le basi giuridiche legittime per il trattamento dei dati?

Il GDPR elenca sei basi giuridiche per un trattamento lecito. Il consenso dell'interessato deve essere libero, specifico, informato e inequivocabile. L'esecuzione di un contratto di cui l'interessato è parte (es. fornitura di un servizio). L'adempimento di un obbligo legale al quale è soggetto il Titolare. La salvaguardia degli interessi vitali dell'interessato. L'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri. Il legittimo interesse del Titolare o di terzi, che non prevalga sui diritti dell'interessato (es. prevenzione delle frodi). È fondamentale identificare e documentare la base giuridica corretta per ogni finalità di trattamento; non sono intercambiabili. Per un'analisi dettagliata, vedi la nostra pagina sulle basi giuridiche del GDPR .

Q: Il GDPR si applica anche a società con sede fuori dall'UE?

Sì, il GDPR ha un ambito di applicazione extraterritoriale. Si applica a qualsiasi organizzazione, anche senza stabilimento nell'UE, se offre beni o servizi a interessati nell'UE (a titolo oneroso o gratuito) o ne monitora il comportamento, purché tale comportamento avvenga nell'UE. Ad esempio, un e-commerce statunitense che vende a clienti italiani, o un'app di social media che traccia utenti europei per profilazione, devono conformarsi al Regolamento. Tali organizzazioni devono spesso designare un rappresentante nell'Unione, salvo eccezioni. Questo principio assicura che le aziende globali non possano eludere le norme europee quando trattano dati di cittadini UE.

Q: Cosa si intende per 'Privacy by Design e by Default'?

La Privacy by Design è un principio che impone di integrare le garanzie di protezione dei dati nella progettazione e nello sviluppo di processi, sistemi, prodotti e servizi, sin dalle fasi iniziali. Significa considerare aspetti come la minimizzazione dei dati, la trasparenza e la sicurezza. La Privacy by Default richiede che, per impostazione predefinita, siano trattati solo i dati personali necessari per ogni specifica finalità, per il periodo strettamente necessario e con il livello più alto di privacy (es. massime impostazioni di riservatezza). L'utente non deve intervenire attivamente per proteggere i propri dati. Per le aziende, questo si traduce in revisioni tecniche e organizzative, come crittografia di default, pseudonimizzazione e limitazione dell'accesso ai dati su base 'need-to-know'.

Question 1

Qual è la definizione operativa di 'dato personale' secondo il GDPR?

Accepted Answer

Il GDPR definisce 'dato personale' in modo estensivo come qualsiasi informazione relativa a una persona fisica identificata o identificabile. Oltre ai dati ovvi come nome e indirizzo email, rientrano in questa categoria gli identificativi online (indirizzi IP, cookie), dati di localizzazione, caratteristiche genetiche, biometriche e di salute, nonché fattori specifici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Per le aziende, è fondamentale mappare tutti i flussi di dati che possono ricondurre, direttamente o indirettamente, a un individuo, compresi quelli pseudonimizzati se reversibili. Una valutazione d'impatto sulla protezione dei dati è spesso necessaria per trattamenti complessi.

Question 2

Quali sono gli obblighi concreti del Titolare del trattamento?

Accepted Answer

Il Titolare del trattamento, ossia l'ente che determina finalità e mezzi del trattamento, ha obblighi precisi. Deve innanzitutto documentare le attività di trattamento (Registro dei trattamenti). Deve garantire la privacy by design e by default, integrando protezioni fin dalla progettazione di processi e prodotti. Deve nominare un Responsabile della protezione dei dati (DPO) in casi specifici, stipulare accordi scritti con i Responsabili del trattamento (fornitori), e notificare violazioni dei dati personali all'Autorità di controllo entro 72 ore. Deve inoltre rispettare i diritti degli interessati (accesso, cancellazione, portabilità) e, per trattamenti ad alto rischio, condurre una Valutazione d'Impatto (DPIA).

Question 3

Quando è obbligatorio nominare un Responsabile della protezione dei dati (DPO)?

Accepted Answer

La nomina di un DPO è obbligatoria in tre casi specifici: 1) quando il trattamento è effettuato da un'autorità pubblica o organismo pubblico (con eccezioni); 2) quando le attività principali del Titolare o del Responsabile consistono in trattamenti che, per natura, ambito o finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala (es. profilazione per pubblicità comportamentale); 3) quando le attività principali consistono nel trattamento su larga scala di categorie particolari di dati (es. dati sanitari) o dati relativi a condanne penali e reati. Il DPO agisce in indipendenza ed è un punto di contatto per autorità e interessati. Per approfondire i criteri di nomina, consulta la nostra guida sui requisiti del DPO.

Question 4

Cosa costituisce una 'violazione dei dati personali' e come va gestita?

Accepted Answer

Una violazione dei dati personali è un evento di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso accidentale o illegale ai dati trasmessi, conservati o altrimenti trattati. Esempi includono phishing che compromette credenziali, invio errato di email con allegati contenenti dati sensibili, o attacchi ransomware. In caso di violazione, il Titolare deve documentarla internamente. Se comporta un rischio per i diritti e le libertà delle persone fisiche, deve notificarla all'Autorità Garante italiana entro 72 ore dalla scoperta. Se il rischio è elevato, deve comunicarla anche agli interessati coinvolti, senza ingiustificato ritardo. Una procedura interna di risposta agli incidenti è essenziale.

Question 5

In cosa consiste il diritto alla portabilità dei dati?

Accepted Answer

Il diritto alla portabilità dei dati consente all'interessato di ricevere i dati personali che lo riguardano, forniti a un Titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Può anche richiedere che tali dati siano trasmessi direttamente a un altro Titolare, se tecnicamente fattibile. Questo diritto si applica solo ai dati trattati sulla base del consenso o di un contratto, e mediante mezzi automatizzati. Non si estende ai dati derivati o inferiti dal Titolare. Per le aziende, implementare questo diritto richiede capacità tecniche per esportare dati in formati interoperabili (es. JSON, CSV). È un diritto distinto dall'accesso, che fornisce un quadro più ampio.

Question 6

Quali sono le basi giuridiche legittime per il trattamento dei dati?

Accepted Answer

Il GDPR elenca sei basi giuridiche per un trattamento lecito. Il consenso dell'interessato deve essere libero, specifico, informato e inequivocabile. L'esecuzione di un contratto di cui l'interessato è parte (es. fornitura di un servizio). L'adempimento di un obbligo legale al quale è soggetto il Titolare. La salvaguardia degli interessi vitali dell'interessato. L'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri. Il legittimo interesse del Titolare o di terzi, che non prevalga sui diritti dell'interessato (es. prevenzione delle frodi). È fondamentale identificare e documentare la base giuridica corretta per ogni finalità di trattamento; non sono intercambiabili. Per un'analisi dettagliata, vedi la nostra pagina sulle basi giuridiche del GDPR.

Question 7

Cosa deve contenere un accordo con il Responsabile del trattamento?

Accepted Answer

L'accordo scritto (Art. 28 GDPR) tra Titolare e Responsabile del trattamento (fornitore che tratta dati per conto del Titolare) deve specificare oggetto, durata, natura e finalità del trattamento, tipo di dati personali e categorie di interessati. Deve obbligare il Responsabile a trattare i dati solo su istruzione documentata del Titolare, garantire la riservatezza, implementare misure di sicurezza adeguate, assistere il Titolare nel rispondere alle richieste degli interessati e nelle notifiche di violazione, e permettere audit. Alla cessazione del servizio, il Responsabile deve restituire o distruggere i dati. L'uso di clausole contrattuali standard (SCC) è spesso parte integrante di questi accordi, specialmente per trasferimenti extra-UE.

Question 8

Quali sono le sanzioni previste per la non conformità al GDPR?

Accepted Answer

Le sanzioni amministrative sono proporzionali alla gravità dell'infrazione. Per violazioni di natura amministrativa (es. mancata nomina del DPO, inadeguata tenuta del registro), la multa può arrivare a 10 milioni di euro o, per imprese, fino al 2% del fatturato mondiale annuo totale dell'esercizio precedente, se superiore. Per violazioni dei principi fondamentali (es. basi giuridiche, consenso, diritti degli interessati) o trasferimenti illeciti di dati, la multa può arrivare a 20 milioni di euro o fino al 4% del fatturato mondiale, se superiore. Oltre alle multe, l'Autorità Garante può imporre la limitazione o il divieto del trattamento. Sono previste anche sanzioni penali in casi specifici dalla legislazione nazionale. Una strategia di gestione del rischio GDPR è cruciale per la mitigazione.

Question 9

Il GDPR si applica anche a società con sede fuori dall'UE?

Accepted Answer

Sì, il GDPR ha un ambito di applicazione extraterritoriale. Si applica a qualsiasi organizzazione, anche senza stabilimento nell'UE, se offre beni o servizi a interessati nell'UE (a titolo oneroso o gratuito) o ne monitora il comportamento, purché tale comportamento avvenga nell'UE. Ad esempio, un e-commerce statunitense che vende a clienti italiani, o un'app di social media che traccia utenti europei per profilazione, devono conformarsi al Regolamento. Tali organizzazioni devono spesso designare un rappresentante nell'Unione, salvo eccezioni. Questo principio assicura che le aziende globali non possano eludere le norme europee quando trattano dati di cittadini UE.

Question 10

Cosa si intende per 'Privacy by Design e by Default'?

Accepted Answer

La Privacy by Design è un principio che impone di integrare le garanzie di protezione dei dati nella progettazione e nello sviluppo di processi, sistemi, prodotti e servizi, sin dalle fasi iniziali. Significa considerare aspetti come la minimizzazione dei dati, la trasparenza e la sicurezza. La Privacy by Default richiede che, per impostazione predefinita, siano trattati solo i dati personali necessari per ogni specifica finalità, per il periodo strettamente necessario e con il livello più alto di privacy (es. massime impostazioni di riservatezza). L'utente non deve intervenire attivamente per proteggere i propri dati. Per le aziende, questo si traduce in revisioni tecniche e organizzative, come crittografia di default, pseudonimizzazione e limitazione dell'accesso ai dati su base 'need-to-know'.

GDPR Compliance: Gestione Concreta dei Dati per Aziende B2B

Registro dei Trattamenti Automatizzato

Gestione Consensi e Preference Center

Procedure per l'Esercizio dei Diritti (DSAR)

Valutazione d'Impatto e Privacy by Design

Gestione delle Violazioni (Data Breach)

Sicurezza dei Dati e Pseudonimizzazione

Formazione del Personale e Policy

Monitoraggio e Audit della Conformità

I problemi operativi del GDPR che risolviamo

Gestione manuale e frammentata dei Diritti dell'Interessato

Mancanza di visibilità end-to-end sul ciclo di vita dei dati

Procedure inefficaci per la gestione dei Data Breach

Difficoltà nel mantenere la conformità nel tempo (Compliance by Design)

Soluzioni operative per la conformità GDPR

Mappatura e Registro dei Trattamenti Automatizzato

Gestione Centralizzata del Consenso e Preference Center

Automazione delle Richieste degli Interessati (DSAR)

Valutazione d'Impatto e Gestione dei Data Breach

Domande Frequenti sul GDPR