Nel mondo moderno, i dati personali rappresentano uno degli asset più preziosi. Ogni giorno, miliardi di informazioni viaggiano su internet, vengono raccolte da aziende, analizzate da istituzioni e utilizzate da individui in vari contesti. Ma cosa sono e quali sono esattamente i dati personali? Quali le differenze tra dati personali ed informazioni? E come si inquadra tutto questo all’interno del contesto normativo?
In questo articolo, esploreremo il concetto di dati personali, le figure coinvolte nella loro gestione, la normativa di riferimento e la distinzione fondamentale tra dati personali e dati sensibili.
Nell'articolo
Informazioni o dati personali?
Informazioni e dati personali non sono affatto sinonimi. Anzitutto nelle definizioni.
Le informazioni sono (Standard ISO/IEC 27001) “l’insieme di dati che hanno valore per un individuo o un’organizzazione”. Mentre i dati personali sono, come da definizione di cui all’art. 4 del GDPR: “ … qualsiasi informazione riguardante una persona fisica identificata o identificabile (l’interessato); si considera identificabile la persona fisica che piò essere indentificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Cosa sono le informazioni
Le informazioni seguono i supporti attraverso i quali esse vengono trattate, archiviate o trasmesse su strumenti analogici come la carta e/o digitali come i computer e le reti che li interconnettono.
Nella categoria delle informazioni troviamo qualsiasi tipo di dato, riferibile a qualsiasi contesto, dal semplice bit all’informazione strutturata complessa.
Cosa sono i dati personali
I dati personali invece appartengono alla persona a cui si riferiscono, indipendentemente dal supporto nel quale sono memorizzati. In altre parole, un dato personale è qualunque informazione che, da sola o in combinazione con altre, permette di risalire all’identità di un individuo.
L’identificabilità è uno degli aspetti chiave dei dati personali. Un dato non deve necessariamente identificare direttamente una persona per essere considerato tale: basta che renda possibile la sua identificazione indiretta, magari attraverso il confronto con altre informazioni. Questo aspetto è diventato cruciale nell’era digitale, in cui una grande quantità di dati viene raccolta e correlata per formare un quadro complessivo di chi siamo.
Quali sono i dati personali
Nella declinazione dei dati personali, importanti sono:
- i dati anagrafici (nome cognome) quelli cioè che consentono l’identificazione diretta
- i dati identificativi (codice fiscale, indirizzo IP, numero di targa) che permettono l’identificazione indiretta.
- i dati rientranti in categorie particolari, i così detti “ex sensibili”, quelli cioè che rivelano l’origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, i dati relativi alla salute o alla vita sessuale, oltre ai dati genetici, biometrici così come previsti dal Regolamento UE 679/2016, art. 9
- I dati relativi a condanne penali e reati “giudiziari” (art. 10 del regolamento)
Differenza tra dati personali e dati sensibili
Un tema spesso dibattuto riguarda la distinzione tra dati personali e dati sensibili. Anche se tutti i dati sensibili sono dati personali, non tutti i dati personali sono sensibili. La differenza fondamentale risiede nella natura e nel grado di protezione richiesto.
- Dati personali: Come accennato, includono qualsiasi informazione che permette di identificare una persona. Questi dati richiedono protezione e devono essere trattati in modo conforme alla normativa, ma non necessitano di misure di sicurezza straordinarie.
- Dati sensibili: Sono una sottocategoria di dati personali che richiedono una protezione ancora più elevata. Secondo il GDPR, i dati sensibili includono informazioni che rivelano l’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici (utilizzati per identificare in modo univoco una persona), dati relativi alla salute o alla vita sessuale e all’orientamento sessuale di una persona.
Dati personali e nuove tecnologie
Con l’evoluzione delle nuove tecnologie, altri dati personali rivestono un ruolo significativo come quelli relativi alle comunicazioni elettroniche (a mezzo internet o telefono) e quelli che consentono la geolocalizzazione fornendo informazioni sui luoghi frequentati e sugli spostamenti avvenuti.
Le figure coinvolte nella gestione dei dati personali
La protezione dei dati personali coinvolge diverse figure, principalmente le persone fisiche e giuridiche che trattano tali dati. Le principali figure coinvolte sono:
- L’interessato: è la persona fisica alla quale si riferiscono i dati personali. Per esempio, se un’azienda detiene il tuo nome, indirizzo e numero di telefono, tu sei l’interessato.
- Il titolare del trattamento: è l’entità, sia una persona fisica che giuridica, pubblica o privata, che decide come e perché i dati personali dell’interessato verranno trattati. Ad esempio, un’azienda che raccoglie i dati dei propri clienti agisce come titolare del trattamento.
- Il responsabile del trattamento: è la persona fisica o giuridica che tratta i dati per conto del titolare. Questo potrebbe essere un’azienda esterna a cui viene affidata la gestione dei dati, come un fornitore di servizi di cloud computing o di marketing.
- Il Data Protection Officer (DPO): è una figura obbligatoria in determinate organizzazioni, introdotta dal Regolamento Generale sulla Protezione dei Dati (GDPR). Ha il compito di monitorare la conformità alle normative sulla protezione dei dati e fungere da punto di contatto tra l’azienda e le autorità di controllo.
La normativa di riferimento: il GDPR
Il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore il 25 maggio 2018, è il principale strumento legislativo che disciplina la protezione dei dati personali nell’Unione Europea. La normativa ha rivoluzionato il modo in cui i dati devono essere raccolti, gestiti e protetti, e ha imposto regole rigide sulle modalità di trattamento. Il GDPR si applica a tutte le organizzazioni che trattano dati personali di cittadini dell’UE, indipendentemente dalla sede dell’azienda.
Uno degli obiettivi principali del GDPR è quello di restituire agli individui il controllo sui propri dati personali, imponendo ai titolari di trattamento requisiti specifici per ottenere il consenso, notificare le violazioni dei dati e rispettare i diritti degli interessati, come il diritto di accesso e di rettifica dei dati personali.
Un altro aspetto fondamentale del GDPR è l’introduzione del principio di responsabilizzazione (accountability), che impone ai titolari del trattamento di dimostrare di aver adottato misure adeguate a proteggere i dati personali.
Consulta anche i seguenti articoli
Dati sensibili: quali sono e la normativa in materia di privacy
Privacy: definizione e aggiornamenti
La definizione di sicurezza informatica e le linee guida per proteggere i dati sensibili
Protezione e trattamento dei dati personali: i profili professionali
Consulta i volumi di EPC Editore
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore