Che cosa sono i dati personali?
Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile.
Esempi di informazioni che possono consentire l'identificazione diretta o indiretta di un individuo e quindi che possono essere qualificate come dati personali, sono:
- nome, cognome, numero di telefono dei clienti, parti interessate, dipendenti, fornitori;
- numeri di identificazione, come il codice cliente, la matricola del dipendente
- il riferimento di una prenotazione;
- indirizzi e-mail, dati di localizzazione;
- la cronologia di navigazione di una persona;
- la cronologia degli acquisti e le ricevute di una persona;
- foto, video e registrazioni audio contenenti immagini o voci di persone.
Con questi dati personali, un individuo può essere identificato direttamente o indirettamente:
- se, ad esempio, la tua organizzazione sta elaborando il nome o il cognome di una persona, questi dati personali permettono l'identificazione diretta di tale individuo;
- se la tua organizzazione sta elaborando il codice cliente o il riferimento di una prenotazione, questi dati personali possono consentire l'identificazione indiretta di tale individuo.
- Qualsiasi tipo di informazione trattata in relazione ad un individuo direttamente o indirettamente identificato (come preferenze, abitudini) sarà considerata un dato personale.
Leggi di più
Categorie particolari di dati personali
Alcuni tipi di dati personali, di solito chiamati dati sensibili, appartengono a categorie speciali che meritano maggiore protezione. Ai sensi dell'articolo 9 del GDPR, i dati sensibili includono dati che rivelano informazioni su:
- la salute di un individuo;
- la vita sessuale o l'orientamento sessuale di un individuo;
- l'origine razziale o etnica di un individuo;
- le opinioni politiche, le convinzioni religiose o filosofiche di un individuo;
- i dati biometrici e genetici di un individuo;
- l’adesione sindacale.
Il trattamento dei dati sensibili di una persona è generalmente vietato, tranne in circostanze specifiche che ne giustifichino il trattamento (come il consenso esplicito).
Per maggiori dettagli sulle circostanze in cui i dati sensibili possono essere trattati, controllare il trattamento dei dati personali in modo lecito
Dati personali relativi a condanne penali e reati
Il trattamento dei dati personali relativi a condanne penali e reati è soggetto a rigorose condizioni di legge. Questi dati personali possono essere trattati solo da un'autorità pubblica, come la Polizia, sotto il controllo di un'autorità pubblica o se autorizzati dalla legge nazionale.
Lista delle buone pratiche del GDPR
- Chiedersi se lo scopo per il quale i dati personali possono essere raccolti è giustificato.
- Raccogliere solo dati personali necessari per le finalità specifiche previste.
- Informare le persone su come e per quali scopi i loro dati personali possono essere trattati.
- Verificare se si dispone di una base giuridica adeguata per il trattamento dei dati personali. Nel caso in cui si intenda fare affidamento sul consenso delle persone fisiche, chiedere il loro consenso prima del trattamento dei loro dati personali.
- Assicurarsi che i dati personali delle persone siano trattati in modo sicuro.
- Mantenere i dati personali accurati e aggiornati.
- Cancellare i dati personali delle persone quando non più necessari. Tenere presente che la legislazione nazionale può obbligare a conservare determinati dati (ad esempio per motivi fiscali).
Cosa significa trattamento dei dati personali?
Il trattamento dei dati personali delle persone fisiche comprende qualsiasi tipo di attività (operazione di trattamento) svolta o meno con mezzi automatizzati su, o con, i dati personali delle persone fisiche.
Esempi di operazioni di trattamento includono la raccolta, la registrazione, l'organizzazione, l'utilizzo, la modifica, la memorizzazione, la divulgazione dei dati personali delle persone.
Anche se il GDPR riguarda principalmente il trattamento automatizzato di dati personali, anche i trattamenti effettuati manualmente saranno soggetti al GDPR dal momento in cui i file cartacei sono organizzati in modo sistematico, ad esempio ordinati in ordine alfabetico in un archivio.
Leggi di più
Il GDPR si applica alla tua organizzazione?
Il GDPR può applicarsi a tutte le organizzazioni pubbliche e private se:
- L'organizzazione in questione è stabilita nell'UE o nello Spazio economico europeo (SEE — paesi dell'UE + Islanda, Liechtenstein e Norvegia); oppure
- L'organizzazione non è stabilita nel SEE, ma i suoi prodotti o servizi sono offerti a persone che si trovano nel SEE, o l'organizzazione sta monitorando il comportamento delle persone che si trovano nel SEE.
Il GDPR si applica anche a qualsiasi subappaltatore che possa trattare i dati personali delle persone per conto di un'organizzazione privata o pubblica.
In pratica, il GDPR si applica se sussistono una delle seguenti condizioni
- Sei una società con sede in un paese SEE;
- Sei un'organizzazione, con sede in un paese non SEE, che vende beni o offre servizi, anche gratuitamente, a persone in un paese SEE;
- Sei una società informatica con sede in un paese non SEE che è stata subappaltata da un'organizzazione privata con sede nel SEE per gestire le loro banche dati informatiche, come la banca dati di un cliente;
- Sei un fornitore di servizi con sede nel SEE e tratti dati personali per conto di un'altra società.
I principi chiave del GDPR
Nel trattamento dei dati personali delle persone, la tua organizzazione deve rispettare i seguenti 6 principi chiave del GDPR. Inoltre, la tua organizzazione deve essere in grado di dimostrare la sua conformità a questi principi.
Legittimità, correttezza e trasparenza
Qualsiasi trattamento di dati personali deve essere lecito, corretto e trasparente.
La tua organizzazione può trattare i dati personali di un individuo solo se il trattamento previsto è lecito; quindi, basato sul consenso dell'individuo, necessario per l'esecuzione di un contratto, o sulla base di una delle altre basi giuridiche per il trattamento dei dati di cui all'articolo 6 del GDPR.
Se il trattamento è basato sul consenso, la tua organizzazione deve garantire che tale consenso sia liberamente prestato, informato, specifico e inequivocabile. In altre parole, non deve esserci alcun dubbio che le persone fisiche siano consapevoli di ciò a cui acconsentono, per quali scopi il trattamento viene effettuato, e che tale consenso è stato dato consapevolmente prima dell'inizio del trattamento. Inoltre, le persone dovrebbero essere in grado di revocare liberamente il loro consenso. Se ti rendi conto che il trattamento dei loro dati sarà comunque necessario (come nell’ambito di un contratto), significa che il consenso non è la base giuridica appropriata.
Limitazione della finalità
La tua organizzazione può raccogliere dati personali solo per scopi specifici, espliciti e legittimi. Il trattamento dei dati di una persona deve essere strettamente limitato alle finalità inizialmente stabilite e quindi non trattate per scopi successivi o per altre finalità incompatibili con le finalità iniziali.
Minimizzazione dei dati
La tua organizzazione può trattare i dati personali necessari e proporzionati alla luce dello scopo previsto.
Precisione
I dati personali delle persone che la tua organizzazione elabora devono essere accurati e aggiornati. I dati personali inesatti devono essere rettificati o cancellati.
Limitazione della conservazione
La conservazione dei dati personali delle persone fisiche deve essere limitata nel tempo, alla luce dello scopo per il quale tali dati sono stati raccolti e trattati. Pertanto, i dati personali delle persone fisiche devono essere cancellati o resi anonimi una volta che tali dati non saranno più necessari. In pratica, ciò significa che l'organizzazione deve disporre di una politica interna per quanto riguarda i periodi di conservazione dei dati per finalità diverse, nonché di una procedura per l'eliminazione dei dati.
Sicurezza
Il trattamento dei dati delle persone fisiche deve essere effettuato in modo sicuro. In tal senso, devono essere messe in atto solide garanzie in materia di protezione dei dati, quali adeguate misure di cybersicurezza, per garantire che i dati delle persone siano adeguatamente protetti. Tali misure devono impedire la divulgazione accidentale, non autorizzata o illecita, la perdita, la distruzione o il danneggiamento dei dati personali delle persone.
Leggi di più
Linee guida sul trattamento dei dati personali ai sensi dell'articolo 6, paragrafo 1, lettera b), RGPD nel contesto della fornitura di servizi online agli interessati
EDPB