GDPR: Cosa si intende per dati personali?

I dati personali sono elemento centrale del Regolamento generale sulla protezione dei dati (GDPR), ma molte persone non sono ancora sicure di cosa si intenda per “dati personali”. Non esiste un elenco definitivo di ciò che è o non è un dato personale, quindi tutto si riduce alla corretta interpretazione della definizione data dal GDPR:

“«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)” Art. 4

In altre parole, qualsiasi informazione che riguarda chiaramente una determinata persona. Ma quanto si applica in generale? Il GDPR chiarisce:

“si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” Art. 4

Dati personali e contesto di raccolta

In determinate circostanze, l’indirizzo IP, il colore dei capelli, il lavoro o le opinioni politiche di qualcuno potrebbero essere considerate dati personali.

I termini “determinate circostanze” meritano di essere evidenziati, perché le informazioni sono considerate dati personali in base al contesto in cui i dati vengono raccolti. Le organizzazioni solitamente raccolgono molti tipi diversi di informazioni sulle persone, e anche se un dato non identifica qualcuno, potrebbe diventare rilevante se considerato insieme ad altri dati.

Ad esempio, un’organizzazione che raccoglie informazioni su persone che scaricano prodotti dal proprio sito web potrebbe chiedere loro di indicare la loro occupazione. Ciò non rientra nel campo di applicazione dei dati personali del GDPR, poiché, con tutta probabilità, molte persone hanno la stessa occupazione. Allo stesso modo, un’organizzazione potrebbe chiedere a quale azienda lavorano, che, ancora una volta, non può essere utilizzata per identificare qualcuno (a meno che non sia l’unico dipendente).

Tuttavia, se raccolte insieme, queste informazioni potrebbero essere utilizzate per limitare il numero di persone a tal punto da poter stabilire l’identità di qualcuno.

Ma non è sempre così. Ad esempio, sapere che qualcuno è un benzinaio Q8 non limita molto le cose, in questo caso, i dati dovrebbero essere combinati con ulteriori informazioni, come il nome della persona.

Il nome proprio di persona è dato personale?

Quindi il nome della persona viene considerato dato personale? La risposta non è così semplice, come spiega l’autorità di controllo del Regno Unito, ICO:

“Di per sé il nome John Smith potrebbe non essere un dato personale perché ci sono molte persone con quel nome. Tuttavia, se il nome è combinato con altre informazioni (come un indirizzo, un luogo di lavoro o un numero telefonico), questo di solito sarà sufficiente per identificare chiaramente un individuo”.

Tuttavia, anche i nomi non sono sempre necessari per identificare qualcuno:

“Semplicemente perché non conosci il nome di un individuo non significa che non lo puoi identificare. Molti di noi non conoscono i nomi dei vicini, ma siamo ancora in grado di identificarli”.

Lista di informazioni considerate dati personali

Come abbiamo detto sopra, è difficile dire quale informazione viene considerata dato personale secondo la definizione data dal Regolamento. Ecco una lista di informazioni (redatta dall’azienda di cloud service Boxcryptor) che possono essere considerate dati personali, sia prese singolarmente che in combinazione tra loro:

  • Informazioni biografiche o situazioni di vita attuale, come data di nascita, numero di previdenza sociale, numero di telefono ed indirizzo email.
  • Aspetto fisico e comportamento, come colore degli occhi, peso e tratti del carattere.
  • Dati relativi al posto di lavoro e informazioni sull’istruzione, come salario, informazioni fiscali e numero di matricola dello studente.
  • Dati privati e soggettivi, come religione professata, opinioni politiche e dati di geo-localizzazione.
  • Salute, malattia e dati genetici, tra cui anamnesi ed informazioni sui congedi per malattia.

Come gestire i dati personali

Gestire in modo corretto i dati personali è solo una delle attività che le organizzazioni devono fare per conformarsi al GDPR. Per scoprire quali sono le altre attività da eseguire o per maggiori informazioni sui dati personali e come gestirli, scarica il libro verde gratuito Regolamento Generale sulla Protezione dei Dati (GDPR) – Guida alla conformità.

Ti fornirà una panoramica delle principali modifiche introdotte dal Regolamento, insieme ad un piano di azione per raggiungere la conformità nel migliore dei modi.

Scaricalo ora, è gratis!

Scarica »

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.