1. Quali sono le categorie di dati personali protetti dal RGPD?

Il RGPD tutela tre macro categorie di dati personali:

• Dati personali in genere: informazioni relative a una persona fisica identificata o identificabile.
• Dati personali particolari (o sensibili): informazioni su origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale, dati genetici, biometrici o relativi alla salute.
• Dati personali relativi a condanne penali o reati: il trattamento di questi dati è soggetto a restrizioni particolari.

2. Chi sono gli attori del RGPD?

Il RGPD identifica diverse figure chiave:

• Interessato: la persona fisica a cui si riferiscono i dati personali.
• Titolare del trattamento: la persona fisica, giuridica o ente che determina le finalità e le modalità del trattamento dei dati.
• Responsabile del trattamento: la persona fisica, giuridica o ente che tratta i dati per conto del Titolare.
• Persona autorizzata al trattamento: la persona fisica autorizzata dal Titolare o dal Responsabile a compiere operazioni di gestione dei dati.
• Destinatario del trattamento: la persona fisica, giuridica o ente che riceve comunicazione di dati personali dal Titolare.

3. Quali sono le basi giuridiche per il trattamento dei dati?

Il RGPD prevede diverse basi giuridiche per il trattamento dei dati personali, tra cui:

• Consenso esplicito dell’interessato: per una o più finalità specifiche.
• Obblighi legali: ad esempio in materia di diritto del lavoro e sicurezza sociale.
• Esecuzione di un contratto: quando il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte.
• Interesse pubblico rilevante: sulla base del diritto dell’Unione o degli Stati membri.
• Legittimo interesse del Titolare o di terzi: a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

4. Quali sono i diritti degli interessati?

Il RGPD garantisce agli interessati diversi diritti, tra cui:

• Diritto di accesso: ottenere la conferma del trattamento dei propri dati e una copia degli stessi.
• Diritto di rettifica: ottenere la correzione di dati personali inesatti.
• Diritto alla cancellazione (“diritto all’oblio”): ottenere la cancellazione dei propri dati in determinate circostanze.
• Diritto di limitazione del trattamento: ottenere la limitazione del trattamento dei propri dati in determinate circostanze.
• Diritto di opposizione: opporsi al trattamento dei propri dati per motivi connessi alla propria situazione particolare.
• Diritto alla portabilità dei dati: ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

5. Cosa sono le informative e a cosa servono?

Le informative sono documenti che il Titolare del trattamento deve fornire agli interessati per informarli sulle caratteristiche del trattamento dei loro dati. Devono essere scritte in modo chiaro e conciso e devono contenere informazioni su:

• L’identità e i dati di contatto del Titolare del trattamento e del Responsabile della protezione dei dati.
• Le finalità del trattamento e la base giuridica.
• Le categorie di dati personali trattati.
• I destinatari dei dati.
• Il periodo di conservazione dei dati o i criteri utilizzati per determinarlo.
• I diritti degli interessati.

6. Cosa devo fare in caso di violazione dei dati personali?

In caso di violazione dei dati personali (ad esempio accesso non autorizzato, distruzione accidentale o perdita di dati), il Titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

7. Quali sono le principali misure di sicurezza da adottare?

Il Titolare del trattamento deve adottare misure di sicurezza adeguate al rischio per garantire la riservatezza, l’integrità e la disponibilità dei dati personali. Queste misure possono includere:

• Misure tecniche: come l’utilizzo di password, la crittografia dei dati e l’adozione di sistemi di protezione da malware.
• Misure organizzative: come la formazione del personale, la definizione di policy interne e la designazione di responsabili della protezione dei dati.

8. Qual è il ruolo del Registro dei trattamenti?

Il Registro dei trattamenti è un documento obbligatorio per la maggior parte delle aziende e contiene la descrizione di tutte le attività di trattamento svolte dal Titolare. È uno strumento utile per analizzare i trattamenti, individuare eventuali rischi e dimostrare la conformità al RGPD.