PRINCIPI
I principi applicabili alla protezione dei dati delineano le responsabilità delle organizzazioni nella gestione dei dati personali.
Liceità, Correttezza e Trasparenza: i dati personali sono elaborati in modo lecito, equo e trasparente nei confronti degli individui.
Limitazione delle finalità: i dati personali sono raccolti per scopi determinati, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi; l’ulteriore elaborazione a fini di archiviazione nell’interesse pubblico, a fini di ricerca scientifica o storica o a fini statistici non è considerata incompatibile con le finalità iniziali.
Minimizzazione dei dati: i dati personali sono adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per cui sono trattati.
Esattezza: i dati personali sono accurati e, ove necessario, aggiornati; si deve prendere ogni ragionevole misura per garantire che i dati personali che sono inaccurati, avendo riguardo alle finalità per cui sono trattati, siano cancellati o rettificati senza indugio.
Limitazione del periodo di conservazione: i dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un periodo non superiore a quello necessario per gli scopi per i quali i dati personali sono trattati; i dati personali possono essere conservati per periodi più lunghi, nella misura in cui i dati personali saranno trattati esclusivamente a scopo di archiviazione nell’interesse pubblico, a scopi di ricerca scientifica o storica o a fini statistici, subordinatamente all’applicazione delle misure tecniche e organizzative appropriate richieste dal GDPR nell’ottica di salvaguardare i diritti e le libertà delle persone.
Integrità e riservatezza: i dati personali sono elaborati in modo tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione contro l’elaborazione non autorizzata o illecita e contro la perdita accidentale, la distruzione o il danneggiamento, utilizzando misure tecniche o organizzative appropriate.
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui sono trattati. L’azienda deve applicare l’anonimizzazione o la pseudonimizzazione ai dati personali, se possibile, per ridurre il rischio per gli interessati.
Responsabilizzazione: il GDPR richiede inoltre che “il titolare del trattamento sia responsabile e in grado di dimostrare la conformità ai principi”. Il titolare è competente per il rispetto dei principi sopra descritti e deve essere in grado di comprovarlo.
- L’organizzazione implementa misure tecniche e organizzative appropriate per dimostrare che i dati vengono elaborati in linea con i principi stabiliti nel GDPR.
- L’organizzazione fornisce politiche sulla privacy complete, chiare e trasparenti.
- Saranno mantenute le registrazioni delle attività relative all’elaborazione di rischi più elevati, come l’elaborazione di dati di categorie speciali o di dati relativi a condanne penali e reati. Le registrazioni interne delle attività di elaborazione includono quanto segue:
- Nome e dettagli dell’organizzazione
- Scopo del trattamento
- Descrizione delle categorie di individui e dei dati personali
- Programmi di fidelizzazione
- Categorie di destinatari di dati personali
- Descrizione delle misure di sicurezza tecniche e organizzative
- Dettagli sui trasferimenti verso paesi terzi, compresa la documentazione delle misure di sicurezza del meccanismo di trasferimento in vigore
L’organizzazione implementa misure che soddisfano i principi della protezione dei dati in base alla progettazione e alla protezione dei dati per impostazione predefinita, come ad esempio:
- Riduzione dei dati
- Pseudonimizzazione
- Trasparenza
- Permettere alle persone di monitorare il trattamento
- Creazione e miglioramento continuo delle funzionalità di sicurezza.
Se del caso, saranno utilizzate valutazioni d’impatto sulla protezione dei dati.
PROTEZIONE DEI DATI
L’organizzazione deve dimostrare la conformità con i principi del GDPR, affinché questo sia evidente è necessario dar luogo alla protezione dei dati personali raccolti durante le sue attività aziendali.
Notifica agli interessati
Al momento della raccolta o prima della raccolta di dati personali per qualsiasi tipo di attività di trattamento, inclusa ma non limitata a, la vendita di prodotti, servizi o attività di marketing, L’Organizzazione deve informare adeguatamente gli interessati di quanto segue:
- i tipi di dati personali raccolti,
- le finalità del trattamento,
- i metodi di trattamento,
- i diritti degli interessati riguardo ai loro dati personali,
- il periodo di conservazione,
- i potenziali trasferimenti internazionali di dati, se i dati saranno condivisi con terzi e le misure di sicurezza dell’Azienda per proteggere i dati personali.
Tutte le precedenti informazioni sono fornite tramite un’Informativa sulla Privacy.
Consenso
Il consenso deve essere un’indicazione positiva. Non può essere dedotto dal silenzio, inattività o caselle pre-barrate.
Il consenso sarà accettato solo se è dato in modo libero, specifico, informato e inequivocabile indicazione della volontà dell’individuo.
Quando viene dato il consenso, verrà conservato un documento che documenta come e quando è stato dato il consenso.
La fiducia garantisce che i meccanismi di consenso soddisfino gli standard del GDPR. Laddove non sia possibile soddisfare lo standard del consenso, è necessario trovare una base legale alternativa per l’elaborazione dei dati oppure interrompere il trattamento.
Il consenso può essere ritirato dall’individuo in qualsiasi momento.
Il consenso dei genitori sarà cercato prima del trattamento dei dati di un bambino, tranne nei casi in cui il trattamento sia collegato a servizi di prevenzione o di consulenza offerti direttamente a un minore.
Raccolta
L’organizzazione deve sforzarsi di raccogliere il minor numero di dati personali possibili. Se i dati personali sono raccolti da terzi, deve garantire che i dati personali siano raccolti legalmente.
Uso, conservazione e smaltimento
Le finalità, i metodi, il limite di registrazione e il periodo di conservazione dei dati personali devono essere coerenti con le informazioni contenute nell’Informativa sulla Privacy. L’organizzazione deve mantenere l’esattezza, l’integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. È necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati, utilizzati in modo improprio o abusati e prevenire le violazioni dei dati personali. L’organizzazione è responsabile della conformità con i requisiti elencati in questa sezione.
Divulgazione a terzi
Ogni volta che l’organizzazione utilizza un fornitore o un partner commerciale terzo per il trattamento dei dati personali per suo conto, l’Organizzazione deve garantire che questo Responsabile del trattamento esterno fornisca misure di sicurezza per salvaguardare i dati personali adeguate ai rischi associati. A tal fine, è necessario utilizzare un Questionario di Conformità del Responsabile del trattamento esterno al GDPR.
La Società deve richiedere contrattualmente al fornitore o partner commerciale di fornire lo stesso livello di protezione dei dati. Il fornitore o il partner commerciale devono trattare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti dell’Azienda o dietro istruzioni dell’Azienda e non per altri scopi. Quando l’Azienda tratta i dati personali congiuntamente con un terzo indipendente, l’Azienda deve specificare esplicitamente le responsabilità proprie e quelle del terzo nel relativo contratto o qualsiasi in altro documento legale vincolante, come l’Accordo con il Fornitore del Trattamento dei Dati.
Trasferimento transfrontaliero dei dati personali
Prima di trasferire i dati personali fuori dall’UE devono essere utilizzate misure di protezione adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall’Unione Europea e, se necessario, deve essere ottenuta l’autorizzazione della relativa Autorità per la Protezione dei Dati. L’entità che riceve i dati personali deve rispettare i principi del trattamento dei dati personali stabiliti nella Procedura di Trasferimento Transfrontaliero di Dati Personali.
Il diritto di essere informato
L’informativa sulla privacy fornita agli interessati in merito al trattamento dei propri dati personali sarà redatta in un linguaggio chiaro, trasparente, facilmente accessibile e gratuito.
Se i servizi sono offerti direttamente a un minore, l’organizzazione garantirà che l’informativa sulla privacy sia scritta in modo chiaro e che il bambino possa capire.
In relazione ai dati ottenuti sia direttamente dall’interessato che indirettamente, le seguenti informazioni saranno fornite all’interno dell’informativa sul trattamento dei dati personali:
- l’identità e i dettagli di contatto del titolare e, se del caso, il rappresentante del titolare e il responsabile della protezione dei dati
- lo scopo e la base legale per l’elaborazione dei dati
- i legittimi interessi del titolare del trattamento o di terzi
- qualsiasi destinatario o categoria di destinatari dei dati personali
- dettagli sui trasferimenti verso paesi terzi e le misure di sicurezza in vigore
- il periodo di conservazione dei criteri utilizzati per determinare il periodo di conservazione.
- L’esistenza dei diritti dell’interessato, incluso il diritto a:
- Ritirare il consenso in qualsiasi momento
- Presentare una denuncia all’autorità di controllo.
- L’esistenza di processi decisionali automatizzati, inclusa la profilazione, come vengono prese le decisioni, il significato del trattamento e le conseguenze.
Laddove i dati siano ottenuti direttamente dall’interessato, saranno fornite le informazioni relative al fatto che la fornitura di dati personali faccia parte di un obbligo legale o contrattuale e i dettagli delle categorie di dati personali, nonché eventuali conseguenze di mancata fornitura dei dati personali.
Qualora i dati non siano ottenuti direttamente dall’interessato, saranno fornite informazioni sulla fonte da cui provengono i dati personali e se provengono da fonti accessibili pubblicamente.
Per i dati ottenuti direttamente dall’interessato, queste informazioni saranno fornite nel momento in cui i dati sono stati ottenuti.
In relazione ai dati che non sono ottenuti direttamente dall’interessato, queste informazioni saranno fornite:
- entro un mese dal ricevimento dei dati
- se la divulgazione ad un altro destinatario è prevista, al più tardi, prima che i dati vengano divulgati
- se i dati vengono utilizzati per comunicare con l’interessato, al più tardi, quando ha luogo la prima comunicazione.
Il diritto di accesso
Gli interessati hanno il diritto di ottenere la conferma che i loro dati sono utilizzati per un trattamento.
Gli interessati hanno il diritto di presentare una richiesta di accesso per accedere ai propri dati personali al fine di verificare la liceità del trattamento.
L’organizzazione verificherà l’identità della persona che effettua la richiesta prima che venga fornita qualsiasi informazione.
Una copia delle informazioni sarà fornita al singolo gratuitamente; tuttavia, l’organizzazione può imporre una “commissione” per soddisfare le richieste di ulteriori copie delle stesse informazioni.
Laddove una richiesta di accesso sia stata effettuata elettronicamente, le informazioni saranno fornite in un formato elettronico comunemente usato.
Se una richiesta è manifestamente infondata, eccessiva o ripetitiva, verrà addebitata una commissione. Tutte le tariffe saranno basate sul costo amministrativo per fornire le informazioni.
Tutte le richieste verranno fornite senza indugio e al più tardi entro un mese dal ricevimento.
In caso di richieste numerose o complesse, il periodo di conformità sarà esteso di ulteriori due mesi. L’individuo verrà informato di questa estensione e riceverà una spiegazione del motivo per cui l’estensione è necessaria, entro un mese dal ricevimento della richiesta.
Nel caso in cui una richiesta sia manifestamente infondata o eccessiva, l’organizzazione ha il diritto di rifiutarsi di rispondere alla richiesta. La persona sarà informata di questa decisione e sulle motivazioni, nonché del suo diritto di presentare reclamo all’autorità di controllo e a un ricorso giudiziario entro un mese dal rifiuto.
Nel caso in cui una grande quantità di informazioni venga elaborata su un interessato, l’organizzazione chiederà all’interessato di specificare le informazioni a cui è rivolta la richiesta.
Il diritto di rettifica
Gli individui hanno il diritto di rettificare dati personali inesatti o incompleti.
Laddove i dati personali in questione siano stati divulgati a terzi, l’organizzazione li informerà della rettifica ove possibile.
Laddove appropriato, l’organizzazione informerà l’interessato sulle terze parti a cui i dati sono stati comunicati.
Le richieste di rettifica verranno fornite entro un mese; questo sarà esteso di due mesi quando la richiesta di rettifica è complessa.
Laddove non venga intrapresa alcuna azione in risposta a una richiesta di rettifica, l’organizzazione ne spiegherà la ragione all’individuo e informerà il loro diritto di presentare reclamo all’autorità di controllo e a una soluzione giuridica.
Il diritto alla cancellazione
Gli interessati hanno il diritto di richiedere la cancellazione o la rimozione di dati personali in cui non vi siano motivi validi per la loro continua elaborazione.
Gli interessati hanno il diritto di richiedere la cancellazione nelle seguenti circostanze:
- quando i dati personali non sono più necessari in relazione allo scopo per il quale sono stati originariamente raccolti / elaborati
- quando l’interessato ritira il proprio consenso
- quando l’interessato si oppone al trattamento e non sussiste alcun interesse legittimo per continuare l’elaborazione
- i dati personali sono stati trattati illegalmente
- i dati personali devono essere cancellati per rispettare un obbligo legale.
I dati personali vengono elaborati in relazione all’offerta di servizi a un minore.
L’organizzazione ha il diritto di rifiutare una richiesta di cancellazione in cui i dati personali vengono elaborati per i seguenti motivi:
- esercitare il diritto alla libertà di espressione e informazione
- rispettare un obbligo legale per l’esecuzione di un compito di interesse pubblico o l’esercizio dell’autorità pubblica
- per scopi di salute pubblica nell’interesse pubblico
- per scopi di archiviazione nell’interesse pubblico, ricerca scientifica, ricerca storica o scopi statistici
- l’esercizio o la difesa di rivendicazioni legali.
Poiché un minore può non comprendere appieno i rischi connessi al trattamento dei dati al momento del consenso, sarà prestata particolare attenzione alle situazioni esistenti in cui un minore ha dato il consenso al trattamento e successivamente richiederanno la cancellazione dei dati, indipendentemente dall’età al momento tempo della richiesta.
Laddove i dati personali siano stati divulgati a terzi, questi saranno informati della cancellazione dei dati personali, a meno che non sia impossibile o comporti sforzi sproporzionati per farlo.
Laddove i dati personali sono stati resi pubblici all’interno di un ambiente online, l’organizzazione informerà le altre organizzazioni che trattano i dati personali per cancellare i collegamenti e le copie dei dati personali in questione.
Il diritto di limitare il trattamento
Gli individui hanno il diritto di bloccare o sopprimere il trattamento dei dati personali fatto dall’organizzazione. Nel caso in cui il trattamento sia limitato, l’organizzazione memorizzerà i dati personali, ma non li processerà ulteriormente, garantendo che siano state conservate solo le informazioni sufficienti dell’interessato per garantire che la restrizione venga rispettata in futuro. L’organizzazione limiterà il trattamento dei dati personali nelle seguenti circostanze:
- laddove una persona contesti l’accuratezza dei dati personali, il trattamento sarà limitato fino a quando l’organizzazione non avrà verificato l’esattezza dei dati
- quando l’interessato ha contestato il trattamento e l’organizzazione sta valutando se i suoi motivi legittimi prevalgono su quelli dell’interessato.
- quando il trattamento è illegale e l’individuo si oppone alla cancellazione e richiede invece una restrizione
- dove l’organizzazione non ha più bisogno dei dati personali ma l’interessato richiede i dati per stabilire, esercitare o difendere un reclamo legale.
Se i dati personali in questione sono stati divulgati a terzi, l’organizzazione li informerà della limitazione del trattamento dei dati personali, a meno che non sia impossibile o comporti sforzi sproporzionati per farlo.
L’organizzazione informerà gli interessati quando una restrizione al trattamento è stata revocata.
Il diritto alla portabilità dei dati
Le persone hanno il diritto di ottenere e riutilizzare i propri dati personali per i propri scopi tra diversi servizi. I dati personali possono essere facilmente spostati, copiati o trasferiti da un ambiente IT a un altro in modo sicuro e protetto, senza ostacoli all’usabilità.
Il diritto alla portabilità dei dati si applica solo nei seguenti casi:
- ai dati personali che un interessato ha fornito a un titolare
- quando il trattamento è basato sul consenso dell’individuo o sull’esecuzione di un contratto
- quando il trattamento viene eseguito con mezzi automatizzati.
I dati personali saranno forniti in una forma strutturata, comunemente usata e leggibile da un dispositivo automatico. L’organizzazione fornirà le informazioni gratuitamente. Laddove possibile, i dati saranno trasmessi direttamente a un’altra organizzazione su richiesta dell’interessato. L’organizzazione non è tenuta ad adottare o mantenere sistemi di elaborazione tecnicamente compatibili con altre organizzazioni. Nel caso in cui i dati personali riguardino più di un interessato, l’organizzazione valuterà se fornire le informazioni che potrebbero compromettere i diritti di qualsiasi altro interessato.
L’organizzazione risponderà a qualsiasi richiesta di portabilità entro un mese.
Nel caso in cui la richiesta sia complessa o siano state ricevute diverse richieste, i tempi possono essere prorogati di due mesi, assicurandosi che l’individuo sia informato della proroga e delle motivazioni entro un mese dal ricevimento della richiesta.
Qualora non venga intrapresa alcuna azione in risposta ad una richiesta, l’organizzazione, senza indugio e al più tardi entro un mese, spiegherà agli interessati la ragione di questo e li informerà del loro diritto di fare reclamo all’autorità di controllo e ad una soluzione giuridica.
Diritto all’oblio
Su richiesta, gli interessati hanno il diritto di ottenere dall’Organizzazione la cancellazione dei propri dati personali. Quando l’Organizzazione agisce come Titolare deve intraprendere le azioni necessarie (comprese le misure tecniche) per informare i terzi che utilizzano o trattano tali dati per conformarsi alla richiesta.
Il diritto di obiettare
L’organizzazione informerà gli interessati del loro diritto di opporsi al primo punto di comunicazione, e tali informazioni saranno delineate nell’informativa sulla privacy e portate esplicitamente all’attenzione dell’interessato, assicurando che sia presentato in modo chiaro e separato da ogni altra informazione.
L’organizzazione informerà le persone del loro diritto di opporsi al primo punto della comunicazione, e queste informazioni saranno delineate nell’informativa sulla privacy e riportate esplicitamente all’attenzione dell’interessato, assicurando che sia presentato in modo chiaro e separatamente da qualsiasi altra informazione.
Le persone hanno il diritto di obiettare a quanto segue:
- trattamento basato su interessi legittimi o esecuzione di un compito nell’interesse pubblico
- marketing diretto
- trattamento a fini di ricerca scientifica e storica e statistica.
Quando i dati personali vengono trattati per l’esecuzione di un incarico legale o di interessi legittimi:
- i motivi di obiezione di un individuo devono essere relativi alla sua particolare situazione.
- L’organizzazione interromperà l’elaborazione dei dati personali dell’individuo a meno che il trattamento non sia finalizzato alla costituzione, all’esercizio o alla difesa di rivendicazioni legali o, laddove l’organizzazione possa dimostrare motivi legittimi convincenti sulla necessità del trattamento, che prevalgono sugli interessi, i diritti e le libertà dell’individuo.
Quando i dati personali vengono elaborati a fini di marketing diretto:
- l’organizzazione interromperà l’elaborazione dei dati personali per scopi di marketing diretto non appena viene ricevuta un’obiezione.
- L’organizzazione non può rifiutare l’obiezione di un individuo in merito ai dati che vengono elaborati a fini di marketing diretto.
Quando i dati personali vengono trattati a fini di ricerca:
- la persona deve avere motivazioni relative alla sua particolare situazione al fine di esercitare il proprio diritto di obiettare.
- Laddove il trattamento di dati personali è necessario per l’esecuzione di un adempimento di interesse pubblico, l’organizzazione non è tenuto a rispettare l’obiezione al trattamento dei dati.
Quando l’attività di elaborazione è quella di cui sopra, ma viene eseguita online, l’organizzazione offrirà un metodo alle persone per opporsi online.
Privacy per design
L’organizzazione agirà in conformità con il GDPR adottando un approccio di privacy by design e implementando misure tecniche e organizzative che dimostrino come l’organizzazione ha considerato e integrato la protezione dei dati nelle attività di trattamento.
Linee guida sul corretto trattamento
I dati personali devono essere trattati solo se esplicitamente autorizzati dall’Organizzazione.
L’Azienda deve decidere se eseguire la Valutazione d’Impatto sulla Protezione dei Dati per ciascuna attività di trattamento dei dati in base alle Linee guida sulla Valutazione d’Impatto sulla Protezione dei Dati.
Trattamento legale
Le basi legali per l’elaborazione dei dati saranno identificate e documentate prima che i dati vengano elaborati. Ai sensi del GDPR, i dati saranno trattati legittimamente alle seguenti condizioni:
- è stato ottenuto il consenso dell’interessato
- il trattamento è necessario per:
- il rispetto di un obbligo legale
- l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri conferito al titolare
- per l’esecuzione di un contratto con l’interessato o per adottare misure per stipulare un contratto
- protezione degli interessi vitali di un interessato o di un’altra persona
- ai fini degli interessi legittimi perseguiti dal titolare del trattamento o da una terza parte, eccetto laddove tali interessi siano superati dagli interessi, dai diritti o dalle libertà dell’interessato.
I dati particolari verranno elaborati solo alle seguenti condizioni:
- consenso esplicito dell’interessato, a meno che la dipendenza dal consenso sia vietata dalla legislazione dell’UE o degli Stati membri
- trattamento effettuato da un organismo senza fini di lucro con finalità politiche, filosofiche, religiose o sindacali a condizione che il trattamento riguardi solo membri o ex membri (o coloro che hanno contatti regolari con esso in relazione a tali scopi) e non c’è divulgazione a terzi senza consenso
- il trattamento si riferisce a dati personali manifestamente resi pubblici dall’interessato
- il trattamento è necessario per:
- esecuzione degli obblighi previsti dal diritto del lavoro, della previdenza sociale o della protezione sociale o di un contratto collettivo
- protezione degli interessi vitali di un interessato o di un altro individuo in cui l’interessato sia fisicamente o legalmente incapace di dare il consenso
- l’istituzione, l’esercizio o la difesa di rivendicazioni legali o quando i tribunali agiscono nella loro capacità giudiziaria
- ragioni di rilevante interesse pubblico sulla base della legislazione dell’Unione o degli Stati membri, proporzionata all’obiettivo perseguito e che contiene garanzie adeguate
- finalità della medicina preventiva o lavorativa, per valutare la capacità lavorativa del dipendente, la diagnosi medica, la fornitura di assistenza o assistenza sanitaria o sociale o la gestione di sistemi e servizi sanitari o di assistenza sociale sulla base della legislazione dell’Unione o degli Stati membri o un contratto con un professionista della salute
- ragioni di interesse pubblico nel settore della salute pubblica, come la protezione contro gravi minacce per la salute a carattere transfrontaliero o la garanzia di elevati livelli di assistenza sanitaria e di prodotti medicinali o dispositivi medici
- scopi di archiviazione nell’interesse pubblico, o scopi di ricerca scientifica e storica o scopi statistici.
Linee guida per stabilire l’Autorità di controllo capofila
Autorità di controllo capofila
Occorre identificare un’Autorità di Controllo Capofila soltanto se l’Azienda esegue il trattamento transfrontaliero dei dati personali. Il trattamento transfrontaliero dei dati personali avviene se:
- il trattamento di dati personali è effettuato da società controllate dall’Azienda stabilite in altri Stati Membri;
- il trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un’Azienda nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.
Se l’Azienda ha stabilimenti solo in uno Stato membro e le sue attività di trattamento riguardano solo gli interessati in tale Stato membro, non è necessario istituire un’Autorità di Controllo Capofila. L’unica autorità competente sarà l’autorità di controllo nel paese in cui l’Azienda è stabilita legalmente.
Lo Stabilimento Principale per il titolare di Dati
L’organizzazione deve identificare lo stabilimento principale in modo che possa essere determinata l’Autorità di controllo capofila. Se l’Azienda è stabilita in uno Stato Membro dell’Unione e prende decisioni relative alle attività di trattamento transfrontaliero al posto della sua amministrazione centrale, vi sarà un’unica autorità di controllo capofila per le attività di trattamento dei dati svolte dall’Azienda. Se l’Azienda ha più stabilimenti che agiscono in modo indipendente e prendono decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali, l’organizzazione deve riconoscere che esiste più di un’autorità di controllo capofila.
Lo Stabilimento Principale per il Responsabile del trattamento dei Dati
In caso l’Azienda agisca come un Responsabile del trattamento di dati, lo stabilimento principale sarà la sede dell’amministrazione centrale. Nel caso in cui il posto di amministrazione centrale non si trovi nell’UE, lo stabilimento principale sarà lo stabilimento nell’UE in cui si svolgono le principali attività di trattamento.
Lo Stabilimento Principale per Aziende al di fuori dell’Unione per titolare e Responsabile del trattamento dei dati
Se l’Azienda non ha uno stabilimento principale nell’Unione, e ha una o più società controllate nell’UE, allora l’autorità di controllo competente è l’autorità di controllo locale.
Se la Società non ha uno stabilimento principale nell’Unione né società controllate nell’UE, deve nominare un rappresentante nell’UE e l’Autorità di controllo competente sarà l’Autorità di controllo locale in cui è situato il rappresentante.
Informativa sull’utilizzo dei Cookies
Si informa l’utente che in questo sito vengono usati esclusivamente cookies tecnici per analizzare statisticamente le visite al sito e per gestire la sessione di navigazione dello stesso. Essi hanno esclusivamente scopi statistici e funzionali e raccolgono informazioni in forma aggregata.
In particolare i cookies utilizzati in questo sito sono:
_ga
Utilizzato per generare dati statistici in forma anonima su come il visitatore utilizza il sito internet.
Scadenza: 2 anni.
SGPBShowingLimitationDomain235
Cookie tecnico di sessione
wordpress_logged_in_***
wp-settings-1
Utilizzato da WordPress per il controllo delle impostazioni
scadenza: sessione
wp-settings-time-1
Utilizzato da WordPress pe impostare il tempo di sessione
Scadenza: sessione
Si informa al riguardo che Google fornisce ai visitatori che non vogliono che le informazioni relative alla loro navigazione siano inviate ai relativi server la possibilità di installare un “opt-out browser add-on” disponibile per i browser più moderni: http://tools.google.com/dlpage/gaoptout