Breve ripasso: cos’è un dato personale?
Il dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile (nome, età, residenza, codice fiscale, targa dell’auto, reddito, stato di salute, data di nascita, opinione politica,etc.).
Quotidianamente, in ogni parte del mondo, vengono trattati miliardi di dati personali tramite internet, in modalità cartacea e verbalmente.
La normativa di riferimento per eccellenza, ovvero il Regolamento UE 2016/679 (GDPR), ci dice esplicitamente che un dato personale è trattato quando viene: “Raccolto, registrato, organizzato, strutturato, conservato, adattato, modificato, estratto, consultato, usato, comunicato, diffuso, interconnesso, limitato, cancellato o distrutto.”
In poche parole, spesso è sufficiente anche solo vedere un dato personale per parlare di trattamento.
I dati personali vengono trattati per le finalità più disparate, a seconda dell’obiettivo che si vuole perseguire.
Ma andiamo per gradi: chi è che definisce le finalità del trattamento?
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, viene chiamato nel gergo tecnico “Titolare del trattamento”.
Il Titolare potrebbe essere, quindi, ad esempio, un’azienda di produzione tessile, un ente pubblico, un ospedale, un negozio di vestiti, una società sportiva, un centro commerciale o un ristorante.
Ci si potrebbe chiedere: “Perché un ristorante dovrebbe trattare dei dati?”.
In primo luogo, vengono trattati i dati dei dipendenti (camerieri, baristi, chef…) per finalità relative al rapporto di lavoro (ferie, permessi, sicurezza sul lavoro, buste paga, orari…), in secondo luogo eventuali dati dei clienti per finalità di marketing (promozioni o invii pubblicitari), iscrizioni ad eventi (degustazioni), o addirittura per conoscere le loro allergie in modo tale da evitare l’uso di determinati ingredienti.
Per questo motivo, tutte le realtà aziendali, piccole o grandi e appartenenti a qualsiasi settore, trattano dati personali. Questi potranno essere relativi ai soci, ai dipendenti, ai clienti, ai potenziali clienti, ai collaboratori, ai fornitori, agli utenti, e via dicendo.
Le persone fisiche delle quali vengono trattati i dati si chiamano “interessati”.
Categorie di dati personali
La normativa privacy (GDPR) suddivide i dati personali in tre categorie:
- Dati particolari (denominati “dati sensibili” dalla normativa precedente);
- Dati giudiziari;
- Dati comuni.
I dati particolari, espressamente descritti nell’art. 9 del GDPR, sono:
- l’origine razziale o etnica;
- le opinioni politiche;
- le convinzioni religiose o filosofiche;
- l’appartenenza sindacale;
- dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica
- dati relativi alla salute;
- dati relativi alla vita sessuale o all’orientamento sessuale della persona.
I dati giudiziari, invece, vengono citati nell’art. 10 del GDPR e sono:
- condanne penali;
- reati;
- dati inerenti alle misure di prevenzione (a seguito di un provvedimento giudiziario).
Infine, quali sono i dati comuni?
I dati comuni sono… tutti gli altri!
La normativa applica ai dati comuni il principio di esclusione, ovvero, elencando in maniera specifica quelli particolari e quelli giudiziari, fa rientrare automaticamente tutti gli altri tipi di dati nella categoria di quelli comuni.
Soffermiamoci sui dati particolari
L’errore più comune
Spesso nella maggior parte delle realtà aziendali (appartenenti a qualsiasi settore) si sente pronunciare la frase “…trattiamo dati particolari…trattiamo dati sensibili…”, nonostante non sia realmente così.
Non bisogna affidarsi al proprio metro di giudizio per valutare se un dato sia comune o particolare. È necessario, invece, seguire quello che ci viene indicato dalla normativa e, nello specifico, dagli articoli del GDPR citati precedentemente.
Ad esempio, mettiamo il caso che un agente assicurativo chieda ad un proprio cliente, al fine di stipulare una polizza assicurativa, quanto guadagna, se ha figli e il suo codice IBAN. Nonostante siano informazioni molto riservate, rientrano nella categoria dei dati comuni in quanto non presenti tra i dati personali elencati nell’art. 9 del GDPR.
Alla luce di quanto evidenziato finora, è quindi importante capire quali categorie di dati personali si stiano trattando, poiché le basi giuridiche che legittimano il trattamento di tali dati sono diverse a seconda delle categorie (comuni, particolari, giudiziari). Inoltre, le misure di sicurezza che il Titolare del trattamento dovrà adottare per tutelare i dati particolari e giudiziari, dovranno essere molto più stringenti rispetto a quelle dei dati comuni.
Foto, video, registrazioni telefoniche: in quali casi rientrano nella categoria dei dati particolari.
Cominciamo col dire che foto, video e registrazioni telefoniche non sempre sono dati personali.
La foto di un paesaggio, il video di un tramonto o una telefonata in cui si parla delle condizioni meteorologiche, non rivelano nessun tipo di dato personale.
Diventano, invece, dati personali quando consentono l’identificazione in maniera univoca di una persona fisica.
La foto di due amici che si abbracciano è un dato comune. L’immagine contenuta nell’ecografia di una donna incinta è un dato particolare, in quanto rileva lo stato di salute (gravidanza) di una persona.
Il video di una passeggiata in riva al mare di una persona, è un dato comune. Il video di un intervento chirurgico o il video di un gruppo di persone che pregano, rientrano nella fattispecie di dati particolari.