GDPR
Cosa intendiamo per dato personale?
Negli articoli precedenti abbiamo visto le nuove regole sul trattamento dei dati personali e come essere conformi al GDPR.
Nell’ultimo anno la violazione della privacy è stato un topic mondiale, il caso più famoso riguarda l’indagine su Cambridge Analytica, un caso che ha portato che ha risvegliato la curiosità e i dubbi di tantissime persone.
Per questo motivo, oggi voglio soffermarmi sul significato di “Dato Personale” e spiegarti le differenze dei dati citati dal nuovo regolamento europeo.
Che cos’è il dato personale?
Il dato personale è una qualsiasi informazione riguardante una persona fisica identificata o identificabile attraverso informazioni supplementari.
Come identifichiamo la persona fisica attraverso il dato personale?
Una persona fisica può essere identificata grazie alla raccolta e al trattamento dei dati personali e di informazioni secondarie.
La persona fisica a cui si riferiscono i dati trattati è chiamata “interessato”. L’interessato è in fase di identificazione quando c’è una possibilità di distinguere il soggetto interessato da qualsiasi altro soggetto.
Tutti quei dati che consentono l’identificazione dell’interessato sono classificati come dati personali.
Tipologie dei dati
I dati riferiti ad un soggetto sono tanti. Per questo motivo, ti elencherò le tre tipologie di dati, che sono stati inseriti nei nuovi articoli del GDPR.
- Dati identificativi
I dati identificativi riguardano tutte le informazioni che permettono l’identificazione diretta di un soggetto. Queste informazioni sono denominate PII (Personally Identifiable Information) e sono:
- Nome e cognome;
- Luogo e data di nascita;
- Indirizzo di casa;
- Numero di telefono;
- Impronta digitale;
- Calligrafia;
- Numero di targa del veicolo;
- Numero di carta di credito;
- Numero identificativo nazionale;
- Numero di patente;
- Indirizzo e-mail;
- Indirizzo IP;
- Identità digitale;
- Nickname e Account.
- Dati Giudiziari
I Dati giudiziari sono informazioni che devono essere trattate sotto il controllo dell'autorità pubblica e il trattamento deve essere autorizzato dal diritto dell'Unione o degli Stati membri, deve prevedere garanzie appropriate per i diritti e le libertà dell’interessato.
- Dati sensibili
Il termine “dati sensibili” è stato sostituito con “dati soggetti a trattamento speciale” e hanno lo scopo di garantire la libertà di pensiero e la dignità di una persona.
Con l’entrata in vigore del GDPR sono state aggiunte delle regolamentazioni sul trattamento di questi dati.
L’art. 9 sancisce il divieto di trattare dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, l’orientamento sessuale di un soggetto.
Tra questi dati sono state inserite tre categorie:
- Dati Biometrici: informazioni relative alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica;
- Dati Personali relativi alla salute: informazioni attinenti alla salute fisica o mentale di un soggetto, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
- Dati Genetici: informazioni relative alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica.
Il divieto al trattamento dei dati sensibili è revocato se:
- L'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
- Il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale. Il trattamento deve essere autorizzato dal diritto dell’Unione o degli Stati membri;
- Il trattamento è necessario per tutelare un interesse vitale dell'interessato;
- Il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro, nell'ambito delle sue legittime attività e con adeguate garanzie e riferito unicamente ai membri, ex membri o persona con contatti regolari con la fondazione;
- Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
- Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale;
- il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica;
- il trattamento è necessario ai fini di ricerca scientifica o storica o a fini statistici.
Compreso il concetto di dato personale e le tipologie, sicuramente nella tua testa ronza la domanda: “Ma chi tratta questi dati?”. Ecco te le elenco subito, le figure di riferimento sono tre:
- Titolare
- Responsabile
- DPO
Il titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico etc., che adotta le decisioni sugli scopi e sulle modalità del trattamento.
Il responsabile è la persona fisica o giuridica al quale il titolare affida specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati. La persona di riferimento può essere un ente con sede esterna alla struttura.
Il DPO, ovvero “Data Protection Office”, è una nuova figura introdotta nel GDPR.
Quest’ultima figura è un “Responsabile della protezione dei dati” , dovrà svolgere i suoi compiti con piena autonomia e indipendenza e risponde esclusivamente al Titolare del trattamento.
Il DPO è un argomento ampio che spiegherò prossimamente in un articolo dedicato.