Show Menu
ARGOMENTI×

Domande frequenti sul GDPR

Questo documento contiene le risposte alle domande frequenti sul Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) e sulla sua implementazione in Adobe Experience Cloud.
Le definizioni per i vari termini relativi al GDPR utilizzati in questo documento sono reperibili nell'articolo terminologico del GDPR.

A chi interessa il GDPR?

Il GDPR si applica a tutte le organizzazioni che archiviano ed elaborano i dati personali dei cittadini all'interno dell'Unione Europea, indipendentemente dalla posizione geografica dell'azienda.

Quali sono le sanzioni per la mancata conformità?

Le organizzazioni che violano il GDPR possono essere multate fino al 4% delle entrate globali annuali o, se maggiore, fino a 20 milioni di euro. Si tratta della multa massima che può essere inflitta per le infrazioni più gravi, come la mancanza di un consenso sufficiente da parte del cliente per elaborare i dati o la violazione del nocciolo dei concetti legati alla privacy-by-design.
Esiste un approccio graduale alle ammende. Ad esempio, una società può essere multata del 2% per non aver tenuto in ordine i propri documenti ( articolo 28 ), non aver notificato all'autorità di vigilanza e all'interessato una violazione o non aver effettuato una valutazione d'impatto. È importante notare che queste regole si applicano sia ai responsabili del trattamento dei dati sia ai responsabili del trattamento dei dati, il che significa che "nuvole" non saranno esenti dall'applicazione del GDPR.

Cosa si intende per dati personali?

Per dati personali si intendono tutte le informazioni relative a una persona fisica o a un soggetto che possono essere utilizzate per identificare direttamente o indirettamente la persona. Può trattarsi di un nome, una foto, un indirizzo e-mail, dati bancari, post su siti di social networking, informazioni mediche o un indirizzo IP del computer.

Qual è la differenza tra un controller dati e un processore dati?

Un titolare del trattamento dei dati è l'entità che determina le finalità, le condizioni e i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento dei dati è un'entità che tratta i dati personali per conto del titolare del trattamento.

Qual è la differenza tra il consenso esplicito e non ambiguo degli interessati?

Il GDPR rafforza le condizioni per il consenso valido degli interessati. Le imprese non possono più offrire termini e condizioni difficili da comprendere, in quanto la richiesta di consenso deve essere presentata in una forma comprensibile e facilmente accessibile. Lo scopo del trattamento dei dati deve essere chiaramente indicato nella richiesta di ottenere il consenso dell'interessato.
Il consenso esplicito deve essere chiaro e distinguibile da altre questioni, fornite in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice. Inoltre, il consenso deve essere revocato con la stessa facilità con cui viene dato. ​ Il consenso esplicito è richiesto solo per il trattamento di dati personali sensibili, dove non sarà sufficiente nient'altro che "opt in". Per i dati non sensibili, tuttavia, è accettabile un consenso ​chiaro.

Possono i soggetti con meno di 16 anni dare il loro consenso?

Il consenso dei genitori è necessario per trattare i dati personali dei bambini di età inferiore ai 16 anni per i servizi online. Gli Stati membri possono legiferare per un'età del consenso inferiore, ma non inferiore ai 13 anni.

Qual è la differenza tra un regolamento e una direttiva?

Un regolamento è un atto legislativo vincolante e deve essere applicato integralmente in tutta l'UE. Una direttiva è un atto legislativo che stabilisce un obiettivo che tutti i paesi dell'Unione devono raggiungere, ma spetta ai singoli paesi decidere come.
È importante notare che il GDPR è un regolamento, a differenza della precedente legislazione (la direttiva sulla protezione dei dati), che è una direttiva.

La mia azienda deve nominare un responsabile della protezione dei dati?

Un'organizzazione deve nominare un responsabile della protezione dei dati nei seguenti casi:
  • L'organizzazione è un'autorità pubblica
  • L'organizzazione esegue un monitoraggio sistematico su larga scala
  • L'organizzazione si occupa di elaborazione su larga scala di dati personali sensibili.

In che modo il GDPR influisce sulla politica relativa alle violazioni dei dati?

Le proposte di regolamento relative alle violazioni dei dati riguardano principalmente le politiche di notifica delle imprese che sono state violate. Le violazioni dei dati che possono costituire un rischio per le persone fisiche devono essere notificate all'autorità preposta alla protezione dei dati entro 72 ore e alle persone interessate senza indebito ritardo.