eSignGlobaleSignGlobal
安全中心
Home
 21 CFR Part 11
Fornitori di eSignGlobal

GDPR

Dichiarazione di conformità ai dati dell’UE

  1. Panoramica della legislazione UE sulla protezione dei dati personali

L’UE ha promulgato il Regolamento generale sulla protezione dei dati (GDPR) nel 2016, entrato in vigore nel 2018. Il GDPR mira a proteggere il diritto alla privacy e alla protezione dei dati di tutte le persone all’interno dell’UE. Il GDPR si applica a tutte le aziende e organizzazioni che trattano dati personali, indipendentemente dalla loro posizione geografica, purché le loro attività di trattamento dei dati coinvolgano i dati personali dei cittadini dell’UE.

(一)Definizioni correlate

  1. Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; le specifiche devono essere definite dalla legge dell’UE o dei suoi Stati membri.

  2. Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo che tratta dati personali per conto del titolare del trattamento. Tuttavia, a volte è difficile determinare se un’entità sia un titolare del trattamento o un responsabile del trattamento.

  3. Dati personali significa qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Il GDPR ha ampliato la portata dei dati personali. Secondo la definizione del GDPR, i dati personali includono anche le impronte digitali (come indirizzi IP e cookie). Inoltre, i dati genetici o biometrici sono inclusi nella categoria dei “dati sensibili”.

  4. Il GDPR menziona esplicitamente che i dati personali sensibili devono essere altamente protetti. Questi dati includono: origine razziale ed etnica di una persona, opinioni politiche, convinzioni religiose e filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, informazioni sulla vita sessuale o sull’orientamento sessuale e informazioni sui precedenti penali. Le istituzioni mediche devono generalmente soddisfare standard più elevati di requisiti di protezione dei dati.

  5. Contenuti principali

(一)Le aziende devono seguire i seguenti passaggi per raggiungere la conformità al GDPR:

(1)Audit dei dati: eseguire un audit delle attività di trattamento dei dati esistenti per garantire la comprensione della fonte, dello scopo dell’uso e del periodo di conservazione dei dati personali.

(2)Aggiornamento dell’informativa sulla privacy: aggiornare l’informativa sulla privacy per garantire che il suo contenuto sia conforme ai requisiti del GDPR e informare chiaramente gli utenti su come vengono trattati i loro dati.

(3)Stabilire un meccanismo di conformità: stabilire un sistema di gestione della protezione dei dati per garantire che tutte le attività di trattamento dei dati seguano i principi del GDPR.

(4)Formazione dei dipendenti: fornire ai dipendenti formazione sul GDPR e sulla conoscenza della protezione dei dati per aumentare la loro consapevolezza della conformità.

Monitoraggio e revisione: monitorare regolarmente le attività di trattamento dei dati per garantire la continua conformità ai requisiti del GDPR.

  1. Quando il trattamento dei dati personali è lecito

Ai sensi dell’articolo 6 del GDPR, il trattamento dei dati personali deve rispettare i seguenti sei fondamenti giuridici:

(1)L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più finalità specifiche;

(2) Il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte o per l’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

(3)Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

(4)Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

(5)Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

(6)Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. (Nota: questa disposizione non si applica al trattamento effettuato dalle autorità pubbliche nell’esercizio delle loro funzioni)

Ottenere il consenso preventivo è la condizione preliminare più importante per le aziende per trattare legalmente i dati personali dei cittadini dell’UE. Ad esempio, quando si affronta la conformità al GDPR, Facebook dovrebbe cercare di ottenere il consenso piuttosto che aderire al principio di minimizzazione dei dati.

L’ottenimento del consenso deve essere dimostrabile, chiaramente distinto da altre questioni e revocabile. Vale la pena notare che per il trattamento di dati sensibili è necessario ottenere un consenso esplicito. Consensi vaghi o “omnibus” sono considerati non validi. Le aziende devono presentare agli interessati espressioni linguistiche di facile comprensione, affinché possano scegliere se acconsentire o meno al trattamento dei propri dati personali. In considerazione di ciò, almeno in teoria, le richieste di consenso vaghe, piene di termini tecnici e di lunga durata non esisteranno più.

Inoltre, il silenzio, le caselle preselezionate o la mancanza di attività non costituiscono un consenso valido. Quando un utente deve spuntare una casella o acconsentire telefonicamente, questa è una scelta esplicita.

I minori di 16 anni non hanno il diritto legale di acconsentire, ma gli Stati membri dell’UE possono abbassare questo limite di età a 13 anni.

(二)Trasferimento transfrontaliero di dati personali

1、Trasferimento all’interno dell’UE

Nel caso di trasferimento di dati personali all’interno dell’UE, il GDPR non impone ulteriori requisiti all’applicabilità diretta del GDPR. Tuttavia, quando un titolare del trattamento si avvale di un responsabile del trattamento, il rapporto tra il titolare del trattamento e il responsabile del trattamento deve essere disciplinato da un accordo e deve essere conforme agli standard minimi stabiliti dal GDPR in questi casi. L’accordo tra il titolare del trattamento e il responsabile del trattamento (articolo 28 del GDPR) stabilisce l’oggetto e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento.

  1. Trasferimento di dati extra UE: passaggi per conformarsi al GDPR

Per i trasferimenti di dati extra UE, il GDPR prevede circostanze specifiche in cui tali trasferimenti possono avvenire. In particolare, le organizzazioni che si occupano di trasferimenti di dati personali extra UE dovranno verificare.

se la Commissione Europea ha una decisione di adeguatezza e, in caso contrario, fornire garanzie aggiuntive tramite accordi contrattuali.

(1) La Commissione Europea può pubblicare decisioni sul livello di protezione dei dati di un paese extra UE (ad esempio, lo Scudo UE-USA per la privacy). Queste decisioni si basano su una valutazione completa se un paese terzo ha garanzie legali di protezione dei dati adeguate equivalenti a quelle dell’UE. Il risultato di una decisione di adeguatezza è la rimozione di qualsiasi ostacolo al trasferimento di dati dall’UE (nonché da Norvegia, Liechtenstein e Islanda) a quel paese terzo senza ulteriori requisiti di protezione dei dati.

(2) Il trasferimento deve essere soggetto a garanzie appropriate

Se un paese terzo non rientra nell’ambito di una decisione di adeguatezza, le organizzazioni dell’UE dovrebbero prendere in considerazione una delle seguenti alternative:

**1) ** Clausole contrattuali standard . La Commissione Europea può anche adottare clausole contrattuali standard per facilitare ai titolari del controllo UE la fornitura di adeguate protezioni per la protezione dei dati quando trasferiscono dati personali a titolari del controllo o responsabili del trattamento extra UE. Finora, la Commissione Europea ha pubblicato due serie di clausole contrattuali standard: per i trasferimenti di dati da un titolare del controllo UE a un titolare del controllo extra UE o SEE e da un titolare del controllo UE a un responsabile del trattamento extra UE o SEE. Le autorità di protezione dei dati possono anche adottare clausole modello. Tuttavia, queste clausole devono essere approvate dalla Commissione. Ultimo ma non meno importante, i trasferimenti transfrontalieri possono anche essere basati su clausole contrattuali ad hoc concordate tra l’esportatore e l’importatore di dati, che devono essere approvate dalla DPA competente.

**2) ** Regole aziendali vincolanti (BCR) . Se i dati personali vengono trasferiti da un’entità aziendale a un’altra (indipendentemente dalla regione), il trasferimento dei dati sarà soggetto a regole aziendali vincolanti (BRC). Le regole aziendali vincolanti sono regole giuridicamente vincolanti approvate dalle autorità di controllo competenti che disciplinano i trasferimenti e il trattamento di dati personali all’interno di un gruppo di imprese o di un gruppo di imprese impegnate in un’attività economica congiunta e dei suoi dipendenti, compresi quelli situati al di fuori dell’UE territorio. Rispetto alle clausole contrattuali standard, il vantaggio delle BCR è che, una volta ottenuta l’approvazione da parte delle autorità di protezione dei dati, tutti i futuri trasferimenti intragruppo possono avvenire indipendentemente dalla regione senza ulteriori requisiti.

Garanzie aggiuntive Oltre alle opzioni di cui sopra, il GDPR introduce due strumenti di adeguatezza alternativi per i trasferimenti di dati: meccanismi di certificazione approvati e codici di condotta approvati. Entrambi i meccanismi consentono i trasferimenti di dati a condizione che l’importatore di dati si impegni in modo vincolante e applicabile ad applicare adeguate garanzie per la protezione dei dati.

**(3) ** Deroghe al trasferimento di dati

In una serie di situazioni, i trasferimenti di dati personali possono essere effettuati in assenza dei meccanismi di trasferimento di cui sopra. Queste situazioni sono limitate e includono quanto segue:

  1. Il soggetto dei dati ha esplicitamente acconsentito;

  2. Il trasferimento è necessario per la conclusione o l’esecuzione di un contratto;

  3. Ci sono importanti motivi di interesse pubblico;

  4. È necessario per l’istituzione, l’esercizio o la difesa di rivendicazioni legali;

  5. È necessario per tutelare gli interessi vitali dell’interessato o di un’altra persona;

  6. Riguarda dati contenuti in pubblici registri;

Inoltre, il GDPR introduce una nuova restrizione, ovvero la deroga, per i trasferimenti non ripetitivi che coinvolgono un numero limitato di interessati. In assenza di altre basi giuridiche, il trasferimento è consentito quando è necessario ai fini degli interessi legittimi dell’esportatore obbligatorio a condizione che tali interessi non prevalgano sugli interessi o sui diritti e libertà fondamentali dell’interessato e che l’esportatore abbia fornito garanzie adeguate in relazione al trasferimento. In tal caso, l’esportatore deve informare l’autorità di protezione dei dati competente e l’interessato in merito al trasferimento.

Contattaci
Consulenza WhatsApp
Richiedi una demo
Prodotti
Assistente IA
Funzionalità principali
Settori
Casi studio
Confronti
Risorse
链接:eSignBao |Alibaba Cloud |AWS |Huawei Cloud
Politica sulla privacy |Termini di servizio |Accordo sul livello del servizio
Copyright © 2025 eSignGlobal. All Rights Reserved.