Glossario

L’Accountability, o autoresponsabilità, è un principio cardine del GDPR che impone alle aziende di garantire e dimostrare attivamente la conformità alle normative sulla protezione dei dati personali, attraverso misure proattive, documentate e verificabili. Questo approccio mira a responsabilizzare le aziende nella gestione trasparente e sicura dei dati.

L’autorità di controllo è l’organismo pubblico responsabile di monitorare l’applicazione delle normative sulla protezione dei dati personali, garantendo la conformità al GDPR. In Italia, l’autorità di controllo è il Garante per la Protezione dei Dati Personali, che tra le sue attività, può anche avviare delle ispezioni preso le aziende per verificarne la compliance privacy.

L’autorizzazione al trattamento dei dati personali rappresenta il momento di inizio del trattamento dei dati personali per una finalità che poggia su basi giuridiche diverse dal consenso, come il legittimo interesse o gli obblighi contrattuali. È un elemento chiave per assicurare che tutti i trattamenti dati siano conformi alle normative e che la gestione dei dati sia correttamente documentata, non limitandosi solo ai “consensi” veri e propri.

La base giuridica del trattamento si riferisce al motivo legale che rende lecito il trattamento dei dati personali secondo il GDPR. Ogni trattamento deve essere basato su una delle 6 basi giuridiche previste dal Regolamento, come il consenso dell’interessato, l’esecuzione di un contratto, o un obbligo legale.

Il consenso è una delle 6 basi giuridiche previste dal GDPR che legittimano il trattamento dei dati personali. È un’autorizzazione esplicita fornita dall’interessato, che deve essere libera, specifica, informata e inequivocabile, e di cui il titolare del trattamento ha l’onere della prova.

I dati particolari sono categorie di dati personali che richiedono una protezione maggiore rispetto agli altri dati. Questi includono dati sensibili come quelli relativi alla salute, all’origine razziale o etnica, alle convinzioni religiose, all’orientamento sessuale, e altri dati la cui divulgazione potrebbe comportare un impatto significativo sulla privacy dell’interessato.

I diritti degli interessati sono i diritti garantiti dal GDPR alle persone fisiche i cui dati personali vengono trattati, come il diritto di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati e opposizione. Questi diritti consentono agli interessati di avere il controllo sui propri dati e di tutelare la loro privacy, mentre impongono alle aziende l’onere di garantire che tali diritti possano essere esercitati in modo facile e tempestivo.

Il diritto alla cancellazione, noto anche come “diritto all’oblio”, è garantito dall’articolo 17 del GDPR e consente agli interessati di richiedere al titolare del trattamento la cancellazione dei propri dati personali quando sussiste almeno uno dei 6 casi previsti dal Regolamento.

L’articolo 20 del GDPR sancisce il diritto alla portabilità dei dati, che consente agli interessati di ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti.

Il diritto di accesso è uno dei diritti fondamentali garantiti agli interessati dall’art. 15 del GDPR, che attribuisce loro la facoltà di ottenere informazioni su quali dati personali sono trattati, le finalità del trattamento, i destinatari dei dati e altre informazioni rilevanti per garantire la trasparenza.

Il diritto alla limitazione del trattamento è un diritto garantito dal GDPR (art. 18) che permette agli interessati di richiedere al titolare del trattamento di limitare l’uso dei propri dati personali in determinate circostanze, ad esempio quando la loro accuratezza è contestata o il trattamento è illecito.

Il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato è garantito dall’art. 22 del GDPR e consente agli interessati di evitare che vengano prese decisioni che li riguardano significativamente senza un intervento umano, come nel caso di valutazioni automatizzate di credito o selezioni basate su algoritmi.

Il diritto di opposizione è sancito dall’articolo 21 del GDPR e consente agli interessati di opporsi al trattamento dei propri dati personali quando è legato a finalità su base giuridica Legittimo Interesse o Interesse pubblico, o per finalità di Marketing diretto.

Il diritto di proporre reclamo all’autorità di controllo è previsto dal GDPR (art. 77) e consente agli interessati di rivolgersi all’autorità competente (ad esempio, il Garante per la protezione dei dati personali in Italia) in caso di violazioni delle norme sulla protezione dei dati personali per il trattamento che lo riguarda.

Il diritto di rettifica è il diritto previsto dall’art. 16 del GDPR, che consente agli interessati di richiedere al titolare del trattamento la correzione o l’aggiornamento dei propri dati personali, qualora siano inesatti o incompleti. Questo diritto risponde al principio di esattezza previsto dall’art. 5, comma 1, lettera d del GDPR.

Tra i diritti degli interessati previsti dal Regolamento europeo sulla Protezione dei Dati Personali, quello che tutela in particolar modo la libertà di scelta degli utenti è il diritto alla revoca del consenso.
Secondo l’Art. 7 del GDPR, “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento” e il consenso deve poter essere revocato “con la stessa facilità con cui è stato accordato”.

Gli eventi della privacy sono tutte le azioni e interazioni che riguardano il trattamento dei dati personali di un interessato, come la raccolta, l’aggiornamento, la revoca del consenso, la presa visione di un’informativa  o l’esercizio dei diritti.

La GDPR Compliance si riferisce alla conformità di un’azienda alle norme del Regolamento Generale sulla Protezione dei Dati (GDPR), che regola il trattamento dei dati personali all’interno dell’Unione Europea. Essere compliant significa rispettare tutti i requisiti imposti dal regolamento per garantire la protezione dei dati e la tutela dei diritti degli interessati.

La gestione della Data Retention consiste nella gestione pratica dei periodi di conservazione dei dati personali, rispettando le politiche stabilite dalle informative per ciascuna finalità. Trust Guardian automatizza questo processo, notificando ai vari sistemi aziendali (CRM, piattaforme e-commerce, sistemi di marketing automation, ecc.) quando un periodo di conservazione dei dati si è esaurito per ciascun interessato, assicurando la conformità alle normative GDPR.

L’informativa è il documento che i titolari del trattamento devono fornire agli interessati per informarli in modo chiaro e trasparente su come verranno trattati i loro dati personali. Include informazioni sulle finalità del trattamento, i diritti degli interessati e le modalità con cui possono esercitarli.

L’interessato è la persona fisica identificata o identificabile a cui si riferiscono i dati personali trattati. Una persona è considerata identificabile se può essere individuata, direttamente o indirettamente, tramite identificativi come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o altri elementi caratteristici della sua identità.

Il legittimo interesse è una delle sei basi giuridiche per il trattamento dei dati personali che consente a un’azienda di trattare i dati senza il consenso esplicito dell’interessato, purché il trattamento sia necessario e non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

Privacy by Default è un principio del GDPR che richiede ai titolari del trattamento di garantire che, per impostazione predefinita, siano trattati solo i dati personali strettamente necessari per ciascuna finalità specifica. Questo approccio riduce al minimo la raccolta e il trattamento di dati personali non necessari, con l’obiettivo di proteggere i diritti degli interessati.

Privacy by Design è un principio definito nell’art. 25 del GDPR che prevede l’integrazione della protezione dei dati personali fin dalla progettazione di processi, prodotti e servizi. Questo approccio mira a garantire che la privacy e la protezione dei dati siano considerate sin dalle prime fasi di sviluppo, riducendo i rischi e garantendo la conformità.

La profilazione secondo l’art. 4 del GDPR è qualsiasi forma di trattamento automatizzato di dati personali utilizzato per valutare aspetti personali relativi a un individuo, come il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti. Questo trattamento tipicamente è basato sul consenso dell’interessato.

Il punto di verità dei consensi è un concetto chiave nella gestione della privacy, che si riferisce all’archivio centralizzato e affidabile di Trust Guardian che raccoglie e conserva tutti i consensi forniti dagli interessati e gli eventi della privacy relativi.

Il soft spam è una comunicazione promozionale inviata senza consenso esplicito, ma legittimata da un rapporto contrattuale preesistente con il cliente. La normativa privacy permette l’invio di questo tipo di messaggi a condizione che vengano rispettati alcuni requisiti specifici e che il cliente abbia la possibilità di opporsi in qualsiasi momento, come previsto dall’art. 130 comma 4 del Codice Privacy.

Un touchpoint è qualsiasi punto di contatto tra l’azienda e i tuoi clienti, sia online che offline, dove vengono raccolti dati personali o si sviluppa un’interazione con il cliente, generando degli eventi della privacy. è fondamentale censire, analizzare e mettere in sicurezza ogni singolo punto di contatto tra te ed il tuo cliente, in modo da minimizzare rapidamente le occasioni di illecito privacy, aumentare concretamente l’accountability della tua azienda ed elevare la resilienza a contestazioni e visite ispettive.

Con trattamento di dati personali si intende tutto (ma proprio tutto) quello che è possibile fare con un dato.
Per intenderci, sono trattamenti la semplice conservazione o la visualizzazione di un dato.
Il Regolamento individua 16 tipologie di trattamento di dati personali.