I dati personali nel gdpr

Quali sono i dati personali di cui parla il GDPR?

GDPR: cosa sono i dati personali?

I dati personali sono il cuore del Regolamento Generale sulla Protezione dei Dati Personali meglio noto come GDPR (Reg. UE 2016/679).

In questo articolo cercheremo di spiegare cosa significhi “dati personali“.

Purtroppo, non esiste un elenco definitivo di ciò che è o non è un dato personale, quindi il tutto si riduce all’interpretazione corretta della definizione fornita dal GDPR:

Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile (“soggetto interessato”).

In altre parole, è un dato personale qualsiasi informazione che riguardi chiaramente una determinata persona.

Il GDPR chiarisce inoltre il concetto affermando:

“Una persona fisica identificabile è colui che può essere identificato, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati di localizzazione, un identificatore online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona naturale. ”

Questa definizione riguarda una grande quantità di informazioni: in determinate circostanze, l’indirizzo IP, il colore dei capelli, il lavoro o le opinioni politiche di qualcuno potrebbero essere considerati dati personali.

Il concetto di “determinate circostanze” merita di essere evidenziato, perché se le informazioni sono considerate dati personali, spesso ciò dipende al contesto in cui i dati vengono raccolti.

Le organizzazioni solitamente raccolgono molti tipi diversi di informazioni sulle persone e, anche se un dato non consente di individuare una persona in particolare, potrebbe diventare rilevante (ai fini di tale individuazione) insieme ad altri dati.

Ad esempio: un’organizzazione che raccoglie informazioni su persone che acquistano prodotti dal proprio sito Web potrebbe chiedere loro di indicare la propria occupazione. Ciò non rientra nel campo di applicazione dei dati personali del GDPR, poiché, con tutta probabilità, molte persone fanno lo stesso tipo di lavoro. Allo stesso tempo, l’organizzazione potrebbe chiedere anche in quale azienda lavorano: anche questo dato, da solo, non può essere utilizzato per identificare qualcuno (a meno che non sia l’unico dipendente).

Tuttavia, se raccolte insieme, queste informazioni potrebbero essere utilizzate per ridurre il numero di persone potenziali a tal punto che, in molti casi, sarebbe possibile stabilire con certezza o buona approssimazione l’identità di qualcuno.

Si potrebbe pensare che il nome di qualcuno sia sempre un dato personale, ma non è così semplice: ad esempio il nome Mario Rossi potrebbe non essere necessariamente un dato personale perché ci sono molte persone con quel nome. Tuttavia, se tale nome fosse combinato con altre informazioni (come un indirizzo, un luogo di lavoro o un numero di telefono), allora lo diventerà in quanto l’individuo è stato ormai univocamente identificato.

Si osservi, comunque, che i nomi non sono necessariamente necessari per identificare qualcuno: quante persone conosciamo e siamo in grado di identificare sebbene non ne sappiamo il nome?

Una serie di esempi di dati personali

Come abbiamo spiegato sopra, può essere difficile stabilire se determinate informazioni soddisfano la definizione di dati personali del GDPR. Tuttaviaè possibile stilare un elenco di elementi che potrebbero essere considerati dati personali, da soli o in combinazione con altri dati:

  • Capacità di spesa o preferenze negli acquisti
  • Informazioni biografiche o situazione di vita attuale, incluse date di nascita, numeri di previdenza sociale, numeri di telefono e indirizzi e-mail
  • Dati biometrici quali impronte digitali, peso, immagine della retina, …
  • Aspetto e comportamento, inclusi il colore degli occhi, il peso e i tratti caratteriali.
  • Dati sul posto di lavoro e informazioni sull’educazione, inclusi salari, informazioni fiscali e numeri degli studenti
  • Dati su incassi, debiti e pagamenti
  • Dati privati e soggettivi, tra cui religione, opinioni politiche e dati di geo-localizzazione.
  • Gusti e preferenze
  • Salute, malattia e genetica, tra cui anamnesi, dati genetici e informazioni sui congedi per malattia.

In che modo il GDPR richiede che siano gestiti i dati personali

Se non si è certi che le informazioni memorizzate siano dati personali, è meglio applicare il principio di massima precauzione, ossia garantire che, comunque, i dati siano al sicuro, sia ridotto al minimo il numero di dati archiviati, si raccolgano solo dati necessaria per completare le attività di dell’organizzazione e si conservino i dati solo fino al momento in cui la loro necessità termina.

I dati personali che si raccolgono dovrebbero essere il più possibile pseudonimizzati e/o crittografati.

La pseudonimizzazione maschera i dati sostituendo le informazioni identificative con identificatori artificiali. Sebbene sia fondamentale per proteggere i dati – viene menzionata moltissime volte nel GDPR – e possa aiutare a proteggere la privacy e la sicurezza dei dati personali, la pseudonimizzazione ha i suoi limiti, motivo per cui il GDPR menziona anche la crittografia.

La crittografia rende illeggibili (ai non autorizzati) tutte le informazioni, garantendo una maggiore protezione.

Pseudonimizzazione e crittografia possono essere usati contemporaneamente o separatamente.

Dall’attivazione del GDPR nel maggio 2018, è necessario, quindi, che le organizzazioni si pongano seriamente nell’ottica di proteggere opportunamente i dati personali.

Gestire correttamente i dati personali è solo una delle cose che le organizzazioni devono fare per conformarsi al GPDR.

Se desiderate ulteriori informazioni in merito o avete bisogno di una consulenza sul Reg. UE 2016/679 (GDPR) potete contattarci liberamente.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.