• GDPR: Indice e Glossario

    Il prossimo 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo per la protezione dei dati (GDPR). Per iniziare a muoversi e prendere visione di quanto è necessario fare, Webera ha preparato questo pratica guida contenente l'indice degli articoli del regolamento e il glossario dei principali termini.

    WEBERA collabora ed aiuta le Aziende a mettere a punto un piano e quanto necessario per adeguarsi a questa nuova normativa in 4 mosse:

    1. Censimento e mappatura dei sistemi di raccolta, gestione ed archiviazione dei dati personali;
    2. Protezione ed adeguamento, valutando i rischi ed impatti, le contromisure e procedure necessarie;
    3. Controllo e reazione, preparandosi alle criticità;
    4. Verifica ed aggiornamento, definendo il piano di miglioramento continuo.
      Per maggiori informazioni, inviate una mail a info@webera.it

      Buona lettura!


      Indice Articoli GDPR


      • Considerazioni
      • CAPO I Disposizioni generali
          • Articolo 1 Oggetto e finalità
          • Articolo 2 Ambito di applicazione materiale
          • Articolo 3 Ambito di applicazione territoriale
          • Articolo 4 Definizioni
      • CAPO II Principi
          • Articolo 5 Principi applicabili al trattamento di dati personali
          • Articolo 6 Liceità del trattamento
          • Articolo 7 Condizioni per  il consenso
          • Articolo 8 Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione
          • Articolo 9 Trattamento di categorie particolari di dati personali
          • Articolo 10 Trattamento dei dati personali relativi a condanne penali e reati
          • Articolo 11 Trattamento che non richiede l'identificazione
      • CAPO III Diritti dell'interessato
        • Sezione 1 Trasparenza e modalità
          • Articolo 12 Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato
        • Sezione 2 Informazione e accesso ai dati personali
          • Articolo 13 Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato
          • Articolo 14 Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato
          • Articolo 15 Diritto di accesso dell'interessato
        • Sezione 3 Rettifica e cancellazione
          • Articolo 16 Diritto di rettifica
          • Articolo 17 Diritto alla cancellazione («diritto all'oblio»)
          • Articolo 18 Diritto di limitazione di trattamento
          • Articolo 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
          • Articolo 20 Diritto alla portabilità dei dati
        • Sezione 4 Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
          • Articolo 21 Diritto di opposizione
          • Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
        • Sezione 5 Limitazioni
          • Articolo 23 Limitazioni
      • CAPO IV Titolare del trattamento e responsabile del trattamento
        • Sezione 1 Obblighi generali
          • Articolo 24 Responsabilità del titolare del trattamento
          • Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
          • Articolo 26 Contitolari del trattamento
          • Articolo 27 Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione
          • Articolo 28 Responsabile del trattamento
          • Articolo 29 Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento
          • Articolo 30 Registri delle attività di trattamento
          • Articolo 31 Cooperazione con l'autorità di controllo
        • Sezione 2 Sicurezza dei  dati personali
          • Articolo 32 Sicurezza del trattamento
          • Articolo 33 Notifica di una violazione dei dati personali all'autorità di controllo
          • Articolo 34 Comunicazione di una violazione dei dati personali all'interessato
        • Sezione 3 Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
          • Articolo 35 Valutazione d'impatto sulla protezione dei dati
          • Articolo 36 Consultazione preventiva
        • Sezione 4 Responsabile della protezione dei dati
          • Articolo 37 Designazione del responsabile della protezione dei dati
          • Articolo 38 Posizione del responsabile della protezione dei dati
          • Articolo 39 Compiti del responsabile della protezione dei dati
        • Sezione 5 Codici di condotta e certificazione
          • Articolo 40 Codici di condotta
          • Articolo 41 Monitoraggio dei codici di condotta approvati
          • Articolo 42 Certificazione
          • Articolo 43 Organismi di certificazione
      • CAPO V Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
          • Articolo 44 Principio generale per il trasferimento
          • Articolo 45 Trasferimento sulla base di una decisione di adeguatezza
          • Articolo 46 Trasferimento soggetto a garanzie adeguate
          • Articolo 47 Norme vincolanti d'impresa
          • Articolo 48 Trasferimento o comunicazione non autorizzati dal diritto dell'Unione
          • Articolo 49 Deroghe in specifiche situazioni
          • Articolo 50 Cooperazione internazionale per la protezione dei dati personali
      • CAPO VI Autorità di controllo indipendenti
        • Sezione 1 Indipendenza
          • Articolo 51 Autorità di controllo
          • Articolo 52 Indipendenza
          • Articolo 53 Condizioni generali per i membri dell'autorità di controllo
          • Articolo 54 Norme sull'istituzione dell'autorità di controllo
        • Sezione 2 Competenza, compiti e poteri
          • Articolo 55 Competenza
          • Articolo 56 Competenza dell'autorità di controllo capofila
          • Articolo 57 Compiti
          • Articolo 58 Poteri
          • Articolo 59 Relazioni di attività
      • CAPO VII Cooperazione e coerenza
        • Sezione 1 Cooperazione
          • Articolo 60 Cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate
          • Articolo 61 Assistenza reciproca
          • Articolo 62 Operazioni congiunte delle autorità di controllo
        • Sezione 2 Coerenza
          • Articolo 63 Meccanismo di coerenza
          • Articolo 64 Parere del comitato europeo per la protezione dei dati
          • Articolo 65 Composizione delle controversie da parte del comitato
          • Articolo 66 Procedura d'urgenza
          • Articolo 67 Scambio di informazioni
        • Sezione 3 Comitato europeo per la protezione dei dati
          • Articolo 68 Comitato europeo per la protezione dei dati
          • Articolo 69 Indipendenza
          • Articolo 70 Compiti del comitato
          • Articolo 71 Relazioni
          • Articolo 72 Procedura
          • Articolo 73 Presidente
          • Articolo 74 Compiti del presidente
          • Articolo 75 Segreteria
          • Articolo 76 Riservatezza
      • CAPO VIII Mezzi di ricorso, responsabilità e sanzioni
          • Articolo 77 Diritto di proporre reclamo all'autorità di controllo
          • Articolo 78 Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo
          • Articolo 79 Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento
          • Articolo 80 Rappresentanza degli interessati
          • Articolo 81 Sospensione delle azioni
          • Articolo 82 Diritto al risarcimento e responsabilità
          • Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie
          • Articolo 84 Sanzioni
      • CAPO IX Disposizioni relative a specifiche situazioni di trattamento
          • Articolo 85 Trattamento e libertà d'espressione e di informazione
          • Articolo 86 Trattamento e accesso del pubblico ai documenti ufficiali
          • Articolo 87 Trattamento del numero di identificazione nazionale
          • Articolo 88 Trattamento dei dati nell'ambito dei rapporti di lavoro
          • Articolo 89 Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
          • Articolo 90 Obblighi di segretezza
          • Articolo 91 Norme di protezione dei dati vigenti presso chiese e associazioni religiose
      • CAPO X Atti delegati e atti di  esecuzione
          • Articolo 92 Esercizio della delega
          • Articolo 93 Procedura di comitato
      • CAPO XI Disposizioni finali
          • Articolo 94 Abrogazione della direttiva 95/46/CE
          • Articolo 95 Rapporto con la direttiva 2002/58/CE
          • Articolo 96 Rapporto con accordi precedentemente conclusi
          • Articolo 97 Relazioni della Commissione
          • Articolo 98 Riesame di altri atti legislativi dell'Unione in materia di protezione dei dati
          • Articolo 99 Entrata in vigore e applicazione

      Glossario termini GDPR


      Dato Descrizione
      Accesso dell’interessato È il diritto dell’interessato di ottenere dal controllore, su richiesta, alcune informazioni relative al trattamento dei propri dati personali.
      Accountability/Responsabilizzazione La responsabilizzazione è la capacità di dimostrare la conformità al GDPR. Il Regolamento stabilisce esplicitamente che questa sia a carico dell’organizzazione. Per dimostrare la conformità è necessario implementare adeguate misure tecniche e organizzative. Gli strumenti di miglior pratica come le valutazioni dell’impatto sulla vita privata e la privacy by design sono ora legalmente richiesti in determinate circostanze.
      Ambito di applicazione territoriale L’ambito di applicazione territoriale del GDPR comprende lo Spazio Economico Europeo (SEE – tutti e 28 gli stati membri dell’UE), l’Islanda, il Lichtenstein e la Norvegia e non include la Svizzera.
      Archivio qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico
      Autorità di Protezione dei Dati /Autorità di Controllo / L’Autorità Capofila Le Autorità di Protezione dei Dati sono le autorità nazionali di protezione dei dati incaricate della tutela della privacy e dei dati personali. Ogni Stato Membro ha nominato un’Autorità di Protezione dei Dati per attuare e applicare la legislazione locale in materia di protezione dei dati e fornire indicazioni. Le Autorità di Protezione dei Dati hanno notevoli poteri esecutivi, tra cui la possibilità di imporre notevoli ammende.
      Cancellazione dei dati (Data Erasure) Noto anche come il diritto all’oblio, autorizza l’interessato a far sì che il responsabile del trattamento cancelli i suoi dati personali, cessare l’ulteriore diffusione dei dati e potenzialmente impedire a terzi di elaborare i dati.
      CEPD Il Comitato Europeo per la Protezione dei Dati sostituirà il Gruppo di lavoro Articolo 29, e le sue funzioni comprenderanno assicurare la coerenza nell’applicazione del GDPR, fornire consulenza alla Commissione Europea, l’emissione di linee guida, codici di pratica e raccomandazioni, l’accreditamento degli organismi di certificazione e l’emissione di pareri in merito alle proposte di decisioni delle autorità di vigilanza.
      Compliance conformità alle regole e disposizioni del GDPR e alle normative cogenti.
      Consenso Il consenso è qualsiasi “manifestazione di volontà libera, specifica, informata e inequivocabile” dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento  per uno o più scopi specifici. L’azione positiva, significa che il consenso non può essere dedotto dal silenzio, dalle caselle pre-selezionate o dall’inattività. Deve inoltre essere separato dai termini e dalle condizioni e avere un modo semplice per ritirare il consenso. Le autorità pubbliche e i datori di lavoro dovranno prestare particolare attenzione per garantire che il consenso sia dato liberamente. I consensi esistenti non devono essere aggiornati automaticamente in preparazione al GDPR, ma devono rispettare lo standard del GDPR di essere specifici, chiari, correttamente documentati e facili da ritirare. In caso contrario, sarà necessario modificare i meccanismi di consenso e chiedere un nuovo consenso conforme al GDPR o trovare un’alternativa al consenso.
      Contitolare del Trattamento quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato.
      Controllore dei dati Qualsiasi organizzazione, persona fisica o organismo che determina le finalità e i mezzi del trattamento dei dati personali, controlla i dati e ne è responsabile, singolarmente o insieme ad altri. Esempi di quando il controllore di dati è un individuo comprendono i medici generici, i farmacisti e i politici, quando questi individui conservano informazioni personali sui loro pazienti, clienti, membri del collegio elettorale ecc. Esempi di organizzazioni possono essere i controllori di dati, a scopo di lucro o non, privati ​​o governativi, grandi o piccoli, quando queste organizzazioni conservano informazioni personali sui propri dipendenti, clienti, ecc.
      Dati biometrici I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
      Dati genetici I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione
      Dati personali Qualsiasi informazione relativa a un individuo identificato / identificabile, che riguardi la sua vita privata, professionale o pubblica. Può essere qualsiasi cosa, da un nome, una foto, un indirizzo di posta elettronica, i dati bancari, i post sui siti di social networking, informazioni mediche, l’indirizzo IP o una combinazione dei dati che identifichi direttamente o indirettamente la persona.
      Dati Personali Giudiziari Dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
      Dati personali Particolari/sensibili Il GDPR si riferisce a dati personali sensibili come a “categorie speciali di dati personali”. Le categorie speciali di dati includono l’origine razziale o etnica, le opinioni politiche, le opinioni religiose o filosofiche, l’appartenenza sindacale, l’orientamento sessuale e i dati sanitari, genetici e biometrici elaborati per identificare un individuo in modo univoco. I dati personali relativi alle condanne penali e ai reati non sono inclusi, ma simili garanzie supplementari si applicano al loro trattamento.
      Dati relativi alla salute I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute
      Destinatario la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento
      DPIA – Data Privacy Impact Assestment procedura di analisi per la valutazione dei rischi connessi al trattamento di dati, con lo scopo di identificare le misure idonee per affrontarli. Si tratta di un procedimento obbligatorio per tutti quei trattamenti che presentano rischi elevati per i diritti e le libertà delle persone fisiche.
      GDPR Un regolamento con il quale il Parlamento europeo, il Consiglio dell'Unione europea e la Commissione europea intendono rafforzare e unificare la protezione dei dati per tutti gli individui all'interno dell'Unione europea.
      GEPD Il Garante Europeo della Protezione dei Dati (GEPD) è stato istituito nel 2004 con l’obiettivo di garantire che le istituzioni e gli organismi dell’UE rispettino il diritto alla privacy delle persone durante l’elaborazione dei loro dati personali. Nelle sue principali funzioni, il GEPD (1) sorveglia l’elaborazione dei dati personali dell’amministrazione europea per garantire il rispetto delle norme sulla privacy, gestisce i reclami e conduce indagini; e (2) consiglia le istituzioni e gli organi dell’Unione Europea su tutti gli aspetti relativi all’elaborazione dei dati personali e alle relative politiche e legislazioni.
      Gruppo di lavoro Articolo 29 Il Gruppo di lavoro Articolo 29 è un organismo non regolamentare per la protezione dei dati. La sua funzione principale è quella di fornire pareri di esperti e di presentare raccomandazioni agli Stati membri e al pubblico in materia di protezione dei dati e di trattamento dei dati personali. L’organo stesso è costituito da rappresentanti delle autorità nazionali di protezione dei dati dell’Unione europea, del Garante Europeo della Protezione dei Dati (GEPD) e dalla Commissione Europea. È stato trasformato in “Comitato Europeo per la Protezione dei Dati (CEPD)” ai sensi del GDPR.
      Gruppo imprenditoriale un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate
      Impresa la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica
      Informativa le informazioni che il titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto quando i dati sono raccolti presso l’interessato stesso, oppure presso terzi. L’informativa deve precisare sinteticamente e in modo colloquiale quali sono gli scopi e le modalità del trattamento; se l’interessato è obbligato o no a fornire i dati; quali sono le conseguenze se i dati non vengono forniti; a chi possono essere comunicati o diffusi i dati; quali sono i diritti riconosciuti all’interessato; chi sono il titolare e l’eventuale responsabile del trattamento e dove sono raggiungibili (indirizzo, telefono, fax, ecc.).
      Interessato Un interessato è una persona fisica. Esempi di interessati possono essere un individuo, un cliente, un potenziale cliente, un dipendente, un referente, ecc.
      Limitazione di trattamento il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro
      Norme vincolanti d’impresa le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;
      Portabilità dei dati (Data Portability) Si tratta dell’obbligo, per i responsabili del trattamento, di fornire all’interessato una copia dei propri dati in un formato che consenta un facile utilizzo nei confronti di un altro soggetto.
      Privacy by Design e by Default configurare il trattamento dei dati personali prevedendo, fin dalle fasi di progettazione, misure indispensabili per soddisfare i requisiti del regolamento e tutelare i diritti degli interessati. Ciò richiede “un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili”(Garante Privacy).
      Processore di dati Un processore di dati elabora i dati per conto del controllore di dati. Esempi includono società che elaborano le buste paga, i contabili e le società di ricerca di mercato.
      Profilazione La profilazione è qualsiasi forma di trattamento automatizzato di dati personali intesi a valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, l’ubicazione, la salute, le preferenze personali, l’affidabilità o il comportamento.
      Pseudonimizzazione il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile
      Rappresentante del Trattamento le organizzazioni che hanno sede fuori dall’UE devono designare, come disposto dall’articolo 27, una persona fisica o giuridica stabilita nell’Unione che li rappresenti per quanto riguarda gli obblighi relativi al regolamento UE 2016/679.
      Registro dei Trattamenti documento contenente tutte le informazioni relative alle operazioni di trattamento effettuate all’interno di un’organizzazione (azienda, ente o associazione). In esso vengono indicate le finalità del trattamento, ma anche informazioni quali le modalità di conservazione, le categorie degli Interessati e dei dati personali, gli eventuali trasferimenti verso paesi terzi, eventuali misure di sicurezza applicate, etc.
      Esiste in duplice versione, una per il Titolare e una per il Responsabile del Trattamento.
      Responsabile del Trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
      Responsabile per la Protezione dei Dati Personali – DPO (Data Protection Officer)  il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
      La nomina del DPO all’interno di un’azienda è obbligatoria al verificarsi delle seguenti condizioni:
      – il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, escluse le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
      – le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
      – le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati particolari | sensibili) o di dati relativi a condanne penali e a reati.
      Sportello unico Se un’impresa ha sede in più di uno Stato membro, avrà una “autorità capofila”, determinata dal luogo del suo “stabilimento principale” nell’UE. Un’autorità di controllo che non sia l’autorità capofila può anche avere un ruolo regolatore, ad esempio quando il trattamento influisce sugli interessati nel paese in cui tale autorità di controllo è l’autorità nazionale.
      Stabilimento principale 1. per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
      2. con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;
      Terzo Un terzo è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo diverso dall’oggetto interessato, dal controllore, dal processore e dalle persone che, sotto l’autorità diretta del controllore o del processore, è autorizzata a elaborare i dati.
      Titolare del Trattamento La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
      Trasferimento Il trasferimento di dati personali a paesi al di fuori del SEE o a organizzazioni internazionali è soggetto a restrizioni. Come per la Direttiva sulla Protezione dei Dati, i dati non devono essere trasportati fisicamente per essere trasferiti. La visualizzazione dei dati conservati in un’altra ubicazione costituirebbe un trasferimento per gli scopi del GDPR.
      Trattamento Il trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate ai dati personali, come la creazione, raccolta, registrazione, visualizzazione, estrazione, utilizzo, modifica, trasmissione, cancellazione, ecc.
      Valutazione dell’impatto sulla privacy Il GDPR impone un nuovo obbligo ai controllori dei dati e ai processori di dati di condurre una Valutazione d’Impatto sulla Protezione dei Dati (nota anche come valutazione d’impatto sulla privacy, o PIA – Privacy Impact Assessment) prima di intraprendere un trattamento che presenti un rischio specifico sulla privacy in virtù della sua natura, del campo di applicazione o dello scopo.
      Violazione dei dati personali La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati