Come adeguarsi al GDPR: cosa sono i dati personali

Posted onAuthorStefano BendandiLeave a comment

I dati personali sono informazioni riguardanti le persone fisiche che godono del sistema di protezione stabilito dal Reg. UE 679/2016 (noto anche come “RGPD” o “GDPR”).

Cosa significa l’espressione “dato personale”? Quali sono i fattori che permettono di distinguere un “dato personale” da altri tipi di informazione? Quali sono le categorie di “dati personali” che la normativa tutela? E perchè proteggerli?

Questi sono alcune delle domande alle quali cercheremo di rispondere con questo post.

Dati personali: definizione

Il GDPR offre la seguente definizione di dato personale (art. 4, n. 1): qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).

La prima cosa che balza all’occhio è il riferimento all’esistenza di una qualsiasi informazione riguardante una persona fisica.

La normativa, infatti, tutela le sole informazioni delle persone fisiche (es. nome e cognome). Invece, le informazioni riguardanti entità giuridiche (es. la ragione sociale di una società di capitali) non godono di alcuna protezione.

Pertanto, il primo criterio per stabilire se esiste un dato personale è che l’informazione  riguardi una o più persone. Ovviamente la circostanza deve essere valutata nel singolo caso specifico.

Un altro criterio è rappresentato dalla finalità per cui le informazioni sono trattate.

Se la finalità è valutare, trattare in un certo modo o influire sullo stato o sul comportamento di una persona allora, con buona probabilità, le informazioni potranno ritenersi personali.

Infine, un ultima possibilità per distinguere è il risultato. Quando il trattamento dei dati può avere un impatto sui diritti e le libertà degli interessati, si può ritenere che i dati abbiano natura personale.

Dati personali: significato di informazione

Il concetto di informazione può essere visto dal punto di vista della natura, del formato e del contenuto.

Per sua natura l’informazione può riguardare:

  • un fatto attribuito ad una persona (es. il possesso di un titolo o di una caratteristica),
  • una opinione o valutazione espressa sulla persona

Il concetto di dato personale include le informazioni disponibili in qualsiasi formato: alfabetico, numerico, audio, grafico, ecc.

Ed è indifferente il modo in cui l’informazione è archiviata, se su carta oppure su un database o in un filmato di videosorveglianza.

Dati personali: comuni e particolari

Dal punto di vista del contenuto una informazione personale può costituire un dato comune (es. nome, cognome, codice fiscale, indirizzo di residenza, ecc.) oppure particolare, come:

  1. i dati genetici,
  2. i dati biometrici,
  3. i dati relativi alla salute,
  4. i dati relativi alla vita sessuale o all’orientamento sessuale della persona,
  5. qualsiasi informazione di natura personale che rivela:
    • l’origine razziale o etnica,
    • le opinioni politiche,
    • le convinzioni religiose o filosofiche,
    • l’appartenenza sindacale

Queste informazioni hanno un contenuto tale da creare un rischio significativo per i diritti e le libertà delle persone cui appartengono.

Perciò la normativa stabilisce un divieto generale di trattare queste categorie di dati (art. 9, par. 1), salvo alcune eccezioni (art. 9, par. 2).

Dati genetici, biometrici e sulla salute

I dati che riguardano le caratteristiche genetiche, ereditarie o acquisite di una persona e che forniscono informazioni uniche sulla sua fisiologia o salute e risultano dall’analisi di un suo campione biologico (es. cromosomi, DNA) sono genetiche (art. 4, n. 13).

Le informazioni personali relative alle caratteristiche fisiche, fisiologiche o comportamentali di una persona sono biometriche.

Queste informazioni devono essere ottenute attraverso un trattamento tecnico specifico che permetta l’identificazione della persona (art. 4, n. 14); esempi di dati biometrici sono:

  1. le impronte digitali,
  2. la struttura della retina o del volto,
  3. la voce,
  4. la forma della mano,
  5. altre caratteristiche di comportamento della persona, come la firma, la pressione esercitata sui tasti, il modo di camminare, ecc.

Le fotografie, invece, non possono considerarsi dati biometrici, a meno non siano trattate attraverso un dispositivo tecnico specifico che permetta l’identificazione univoca della persona.

I dati sullo stato di salute fisica o mentale di una persona sono relativi alla salute (art. 4, n. 15); appartengono a questa categoria anche le informazioni:

  • raccolte per ricevere servizi di assistenza sanitaria;
  • un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla a scopo sanitario;
  • le informazioni contenute in esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici;
  • qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte;

Identificazione o identificabilità della persona

L’informazione deve riguardare una persona identificata o identificabile affinchè possa ritenersi dato personale.

Una persona è identificata quando è distinta da altre ed è riconoscibile come individuo.

Non occorre che la persona sia effettivamente identificata ma è sufficiente che sia identificabile, direttamente o indirettamente, attraverso informazioni particolari, ad esempio:

  • nome,
  • numero di identificazione,
  • dati relativi all’ubicazione,
  • identificativo online,
  • uno o più elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale della persona

Tuttavia, la sola possibilità ipotetica di distinguere una persona non è sufficiente per considerarla identificabile.

Bisogna considerare, caso per caso, l’insieme dei mezzi che possono essere utilizzati ragionevolmente per identificare la persona. E la ragionevolezza dipende da differenti fattori, quali:

  • il costo e benefici dell’identificazione,
  • le tecnologie disponibili in quel momento e la possibilità di un loro sviluppo futuro,
  • le finalità ed il modo in cui è organizzato il trattamento,
  • gli interessi dei singoli,

Pertanto, una persona non può essere considerata identificabile se la sua identificazione richiede tempi, sforzi e risorse irragionevoli.

I dati anonimi sono personali?

Anonimizzare i dati significa eliminare da un insieme di dati personali tutte quelle informazioni che permettono di identificare uno o più individui.

Il Gruppo dell’art. 29 per la tutela dei dati personali ha espresso in un documento la sua opinione sulle tecniche di anonimizzazione. La conclusione è che qualunque sia la tecnica utilizzata, essa deve impedire l’identificazione di un individuo.

Perciò un dato smette di essere personale e diventa anonimo soltanto  se viene privato di tutti le porzioni di informazione che servono ad identificare nuovamente una o più persone. E un dato anonimo non è più soggetto alla normativa del GDPR.

Questo significa anche che ogni operazione di anonimizzazione comporta un certo rischio. Il rischio è che uno o più interessati possano essere nuovamente identificati.

Questo rischio deve essere valutato. Per la sua valutazione è necessario considerare alcuni fattori come i tempi, gli sforzi o le risorse necessarie in base alla natura dei dati, al contesto del trattamento, alle tecniche di identificazione disponibili e ai relativi costi.

I dati pseudoanonimi sono personali?

Pseudonimizzare significa sostituire con uno pseudonimo gli attribuiti di carattere personale (es. nome, cognome, ecc.) dei dati che permettono l’identificazione di una o più persone.

I dati pseudoanonimi, al contrario di quelli anonimizzati, sono dati personali.

L’unica differenza è che i dati personali non possano essere attribuiti ad una persona senza l’utilizzo di informazioni aggiuntive.

Queste informazioni aggiuntive devono essere conservate separatamente e sottoposte a misure per garantire che i dati non siano attribuiti ad una persona fisica identificata o identificabile.

Il GDPR considera la pseudonimizzazione come una tecnica che migliora il livello di protezione dei dati. Essa viene consigliata sia nell’ambito della progettazione (art. 25, par. 1) che della sicurezza del trattamento (art. 32, par. 1, lett a).

Dati personali: perchè proteggerli

La prima ragione, la più ovvia, si collega all’esigenza di evitare le sanzioni previste dal GDPR.

Le sanzioni sono organizzate in due fasce a seconda della natura della violazione:

  1. fino a 10 mln € oppure fino al 2% dell’ultimo fatturato globale annuo;
  2. fino a 20 mln € oppure fino al 4% dell’ultimo fatturato globale annuo;

Oltre queste sanzioni bisogna considerare che un trattamento dei dati che viola la normativa è un trattamento illecito. Questo significa che i dati non possono essere più trattati.

Inoltre, i soggetti a cui si riferiscono i dati possono chiedere un risarcimento dei danni, materiali o immateriali, subiti per effetto di un trattamento illecito.

E il titolare dei dati è esonerato dalla responsabilità soltanto se dimostra che non ha causato i danni in alcun modo.

La seconda ragione per proteggere i dati personali può essere, forse, meno ovvia ma non per questo meno importante.

La nozione di dato personale, come abbiamo visto, è così ampia da includere qualsiasi informazione che possa identificare, direttamente o indirettamente una persona fisica.

Quindi, i dati personali hanno un loro valore. Viviamo in un epoca in cui non si può più affermare, ad esempio, che i dati utili alla fatturazione siano importanti e quelli personali no.

Nessuna fatturazione può, infatti, avvenire senza trattare i dati personali e senza che essi siano trattati in modo lecito. E questo vale per molte delle attività legate al business o ad una professione.

Nessuno si sognerebbe mai di non proteggere i dati richiesti dalla fatturazione, ma la stessa attenzione deve essere riservata oggi anche ai dati di natura personale.

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.