GDPR
Di seguito una sintesi dettagliata dei principali punti in merito al trattamento dei dati. Il testo completo รจ disponibile cliccando qui.
Principi applicabili al trattamento di dati personali
- I dati personali sono:
- trattati in modo lecito, corretto e trasparente nei confronti dellโinteressato (ยซliceitร , correttezza e trasparenzaยป);
- raccolti per finalitร determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalitร ; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non รจ, conformemente allโarticolo 89, paragrafo 1, considerato incompatibile con le finalitร iniziali (ยซlimitazione della finalitร ยป);
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalitร per le quali sono trattati (ยซminimizzazione dei datiยป);
- esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalitร per le quali sono trattati (ยซesattezzaยป);
- conservati in una forma che consenta lโidentificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalitร per le quali sono trattati; i dati personali possono essere conservati per periodi piรน lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente allโarticolo 89, paragrafo 1, fatta salva lโattuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertร dellโinteressato (ยซlimitazione della conservazioneยป);
- trattati in maniera da garantire unโadeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (ยซintegritร e riservatezzaยป).
- Il titolare del trattamento รจ competente per il rispetto del paragrafo 1 e in grado di comprovarlo (ยซresponsabilizzazioneยป).
Condizioni per il consenso
- Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che lโinteressato ha prestato il proprio consenso al trattamento dei propri dati personali.
- Se il consenso dellโinteressato รจ prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso รจ presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento รจ vincolante.
- Lโinteressato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceitร del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, lโinteressato รจ informato di ciรฒ. Il consenso รจ revocato con la stessa facilitร con cui รจ accordato.
- Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione lโeventualitร , tra le altre, che lโesecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario allโesecuzione di tale contratto.
Informazioni da fornire qualora i dati personali siano raccolti presso lโinteressato
- In caso di raccolta presso lโinteressato di dati che lo riguardano, il titolare del trattamento fornisce allโinteressato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
- lโidentitร e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- le finalitร del trattamento cui sono destinati i dati personali nonchรฉ la base giuridica del trattamento;
- qualora il trattamento si basi sullโarticolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, lโintenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a unโorganizzazione internazionale e lโesistenza o lโassenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui allโarticolo 46 o 47, o allโarticolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
- In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce allโinteressato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
- il periodo di conservazione dei dati personali oppure, se non รจ possibile, i criteri utilizzati per determinare tale periodo;
- lโesistenza del diritto dellโinteressato di chiedere al titolare del trattamento lโaccesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilitร dei dati;
- qualora il trattamento sia basato sullโarticolo 6, paragrafo 1, lettera a), oppure sullโarticolo 9, paragrafo 2, lettera a), lโesistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceitร del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a unโautoritร di controllo;
- se la comunicazione di dati personali รจ un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se lโinteressato ha lโobbligo di fornire i dati personali nonchรฉ le possibili conseguenze della mancata comunicazione di tali dati;
- lโesistenza di un processo decisionale automatizzato, compresa la profilazione di cui allโarticolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonchรฉ lโimportanza e le conseguenze previste di tale trattamento per lโinteressato.
- Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalitร diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce allโinteressato informazioni in merito a tale diversa finalitร e ogni ulteriore informazione pertinente di cui al paragrafo 2.
- I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui lโinteressato dispone giร delle informazioni.
Diritto di rettifica
Lโinteressato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalitร del trattamento, lโinteressato ha il diritto di ottenere lโintegrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto alla cancellazione (ยซdiritto allโoblioยป)
- Lโinteressato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha lโobbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
- i dati personali non sono piรน necessari rispetto alle finalitร per le quali sono stati raccolti o altrimenti trattati;
- lโinteressato revoca il consenso su cui si basa il trattamento conformemente allโarticolo 6, paragrafo 1, lettera a), o allโarticolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
- lโinteressato si oppone al trattamento ai sensi dellโarticolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dellโarticolo 21, paragrafo 2;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dellโUnione o dello Stato membro cui รจ soggetto il titolare del trattamento;
- i dati personali sono stati raccolti relativamente allโofferta di servizi della societร dellโinformazione di cui allโarticolo 8, paragrafo 1.
- Il titolare del trattamento, se ha reso pubblici dati personali ed รจ obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dellโinteressato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
- I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
- per lโesercizio del diritto alla libertร di espressione e di informazione;
- per lโadempimento di un obbligo legale che richieda il trattamento previsto dal diritto dellโUnione o dello Stato membro cui รจ soggetto il titolare del trattamento o per lโesecuzione di un compito svolto nel pubblico interesse oppure nellโesercizio di pubblici poteri di cui รจ investito il titolare del trattamento;
- per motivi di interesse pubblico nel settore della sanitร pubblica in conformitร dellโarticolo 9, paragrafo 2, lettere h) e i), e dellโarticolo 9, paragrafo 3;
- a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente allโarticolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;
- per lโaccertamento, lโesercizio o la difesa di un diritto in sede giudiziaria.
Diritto alla portabilitร dei dati
- Lโinteressato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
- il trattamento si basi sul consenso ai sensi dellโarticolo 6, paragrafo 1, lettera a), o dellโarticolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dellโarticolo 6, paragrafo 1, lettera b); e
- il trattamento sia effettuato con mezzi automatizzati.
- Nellโesercitare i propri diritti relativamente alla portabilitร dei dati a norma del paragrafo 1, lโinteressato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento allโaltro, se tecnicamente fattibile.
- Lโesercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato lโarticolo 17. Tale diritto non si applica al trattamento necessario per lโesecuzione di un compito di interesse pubblico o connesso allโesercizio di pubblici poteri di cui รจ investito il titolare del trattamento.
- Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertร altrui.
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
- Tenendo conto dello stato dellโarte e dei costi di attuazione, nonchรฉ della natura, dellโambito di applicazione, del contesto e delle finalitร del trattamento, come anche dei rischi aventi probabilitร e gravitร diverse per i diritti e le libertร delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia allโatto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
- Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalitร del trattamento. Tale obbligo vale per la quantitร dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e lโaccessibilitร . In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza lโintervento della persona fisica.
- Un meccanismo di certificazione approvato ai sensi dellโarticolo 42 puรฒ essere utilizzato come elemento per dimostrare la conformitร ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
Notifica di una violazione dei dati personali allโautoritร di controllo
- In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione allโautoritร di controllo competente a norma dellโarticolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne รจ venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertร delle persone fisiche. Qualora la notifica allโautoritร di controllo non sia effettuata entro 72 ore, รจ corredata dei motivi del ritardo.
- Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
- La notifica di cui al paragrafo 1 deve almeno:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonchรฉ le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere piรน informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone lโadozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
- Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
- Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente allโautoritร di controllo di verificare il rispetto del presente articolo.
Comunicazione di una violazione dei dati personali allโinteressato
- Quando la violazione dei dati personali รจ suscettibile di presentare un rischio elevato per i diritti e le libertร delle persone fisiche, il titolare del trattamento comunica la violazione allโinteressato senza ingiustificato ritardo.
- La comunicazione allโinteressato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui allโarticolo 33, paragrafo 3, lettere b), c) e d).
- Non รจ richiesta la comunicazione allโinteressato di cui al paragrafo 1 se รจ soddisfatta una delle seguenti condizioni:
- il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertร degli interessati di cui al paragrafo 1;
- detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
- Nel caso in cui il titolare del trattamento non abbia ancora comunicato allโinteressato la violazione dei dati personali, lโautoritร di controllo puรฒ richiedere, dopo aver valutato la probabilitร che la violazione dei dati personali presenti un rischio elevato, che vi provveda o puรฒ decidere che una delle condizioni di cui al paragrafo 3 รจ soddisfatta.