Violazione dei dati personali («data breach») L’obbligo della notifica della violazione dei dati personali all’autorità di controllo è applicabile a tutti i titolari? Non ci sono
Valutazione di impatto sulla protezione dei dati («impact assessment») Un medico o un farmacista devono condurre una valutazione di impatto sulla protezione dei dati? In questi casi,
Responsabile del trattamento Si deve nominare il responsabile interno? Già prima del GDPR il responsabile poteva essere nominato su base facoltativa. Il responsabile interno era opzionale. Il
Trattamento sotto l’autorità del titolare o del responsabile (persone autorizzate al trattamento) In caso di responsabile, la designazione è un obbligo del titolare o del responsabile? Il GDPR
Registro delle attività di trattamento Chi deve tenere il Registro delle attività di trattamento: il titolare, il responsabile o il DPO? Il GDPR è molto chiaro su
Responsabile della Protezione dei Dati («Data Protection Officer») Chi è obbligato a nominare un DPO? L’obbligo è sia per i titolari sia per i responsabili. La designazione
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita («Data Protection by design and by default») Quando deve essere applicato questo principio? Il principio deve
Liceità del trattamento Come deve essere espresso il consenso? Il consenso deve essere espresso con un’azione positiva inequivocabile (c.d.: «opt-in») con la quale la persona manifesta liberamente
Principi applicabili al trattamento Come deve essere rispettato il principio di liceità, correttezza e trasparenza? Il principio implica una piena informazione all’interessato in merito al trattamento dei
Responsabilizzazione («Accountability») & Governance Come si dimostra la responsabilizzazione? La responsabilizzazione può essere dimostrata attraverso procedure interne, adeguatamente documentate, che determinino come si è deciso di aderire agli
