Ma io non tratto dati personali

La falsa certezza di molte aziende e liberi professionisti convinti che la normativa privacy (GDPR) sia un problema degli altri

Dati personali? Non ne trattiamo

Questa la risposta che nella maggior parte dei casi ci sentiamo dare quando parliamo di privacy: “Noi non trattiamo dati personali… abbiamo solo fatture, nomi di clienti e fornitori”.

Vediamo di fare un po’ di chiarezza.

Cos’è un dato personale?

Partiamo dalla definizione: “dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4 GDPR).

Qualsiasi: significa che è sufficiente che un’informazione sia riconducibile ad una persona fisica, per essere in possesso di un dato personale. L’informazione può essere qualificata sia oggettivamente che soggettivamente:

oggettivamente: il referente del nostro fornitore di boccioni dell’acqua è Giorgio Rossi;
soggettivamente: la nuova stagista, Paola Bianchi, parla un pessimo inglese.

Entrambe queste informazioni dicono qualcosa circa qualcuno, quindi sono dati personali.

Ci sono dati e dati

Ora che abbiamo la certezza che passiamo gran parte del nostro tempo lavorativo trattando dati personali (numeri di telefono, indirizzi e-mail, web conference, indirizzi di destinazione, giudizi su clienti e fornitori, contratti…), è importante distinguere tra dati personali comuni, particolari e giudiziari.

Ci sono dati e dati

Quali sono i dati particolari?

Sono dati particolari quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Se facciamo mente locale, ci renderemo conto che, nella stragrande maggioranza dei casi, gli unici dati particolari che le aziende trattano sono quelli relativi ai Lavoratori in materia di diritto del lavoro e della sicurezza e protezione sociale.

I dati di tipo particolare sono informazioni che riguardano la sfera più intima delle persone e possono essere trattati solo in circostanze eccezionali, ad esempio, chiedendo un consenso esplicito all’Interessato prima della raccolta di tali dati (art.9 GDPR).

Quali sono i dati giudiziari?

I dati giudiziari sono quelli relativi alle condanne penali, ai reati o a connesse misure di sicurezza. Il trattamento di tali dati deve avvenire, alternativamente, sotto il controllo della autorità pubblica ovvero previa autorizzazione proveniente da norme dell’Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati (art. 10 GDPR).

Quali sono i dati comuni?

Tutti gli altri.

Ad esempio: nome, cognome, età, codice fiscale, data di nascita, reddito, targa, mansione lavorativa, indirizzo, e-mail, numero di telefono, etc.

Diramiamo gli ultimi dubbi

Le immagini sono dati personali?
- Sì, se in un’immagine è presente una persona anche sconosciuta, quell’immagine è un dato personale.
Quindi anche le immagini riprese mediante la videosorveglianza?
- Sì, tant’è vero che, prima di attivare un sistema di videosorveglianza in azienda, devo adempiere a tutti gli obblighi previsti dalla normativa privacy di riferimento, cartellonistica e informative in primis;
Nel biglietto da visita ci sono dati personali?
- Sì, il senso di un biglietto da visita è proprio quello di dare informazioni circa una persona (nome, cognome, numero di telefono, e-mail, indirizzo PEC, azienda di riferimento, ruolo, etc.)

In conclusione

Non esistono aziende o liberi professionisti che non trattino dati personali, che sia per ragioni di puro business, per finalità amministrative, di marketing o di sicurezza.

Proprio per questo motivo non ci sono aziende o liberi professionisti esentati dall’obbligo di applicare in toto la normativa privacy.